Пользователь
0,0
рейтинг
18 января 2014 в 02:08

Разработка → Подмена DNS сервера. Будьте осторожны

Привет, хабросообщество.

Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.

Завязка


Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.

Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.

Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.

Всему виной безответственность


Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:

176.102.38.70
8.8.8.8

Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).

Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.

Вот это поворот


2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.

Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?

Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.

В тылу врага


Оформлена админка была со вкусом
image
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))

В разделе Stat можно было увидеть сколько всего залогировано входов. Ситуация примерно такая:
VK ~72000
OK ~45000
QIWI ~9000
BTC — 5

Неплохие результаты (не считая btc), да?

Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.

В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.

Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.

Результаты


Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.

offtop
Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.

Быть осторожен, хаброжитель, зло не дремлет!

P.S.: Видимо, мне теперь придется отказаться от вечерних прогулок :D
А вы поменяли пароль на роутере?

Проголосовало 4637 человек. Воздержался 381 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

zumm @Cyapa
карма
41,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (140)

  • +6
    3 момента.
    1) От MITM существует такая вещь как https, на qiwi она вроде присутствует, на яндексе тоже. Поэтому проблема глыбже чем «подменили днс», проблема в том, что люди вообще не понимают основ безопасности — они бы и на vkontakt-mobile-version.com ввели бы пароль…
    2) Доступ в админку роутера без острой необходимости вообще не должен даваться по вайфаю, только прямой провод.
    3) На большинстве сервисов есть логи ИП, которые можно посмотреть. Поэтому не вполне понятно зачем мошенникам было палиться реально заходя на сервис, могли бы выдать ошибку и по второму разу пустить уже на корректный адрес.
    • +1
      1. Как вы верно подметили, кто б туда смотрел.
      2. Полностью согласен.
      3. Зачем они это делали понятно — узнать о кошельке больше информации. Они это могли делать и на стороне клиента, через JS, например. А вообще, раз уж они оставляют IP из своей подсети в роутерах, то их наверное не очень то волнует его сокрытие.
      • 0
        3) Имелось ввиду сокрытие от пользователя, во имя беспалевности и долгих лета дыры. Мы вот ходим на гмыл, есть вероятность что плюнули бы на сертификат (малая, но есть), но если бы заметили там левый ИП — точно насторожились бы.
        • 0
          Я думаю, такой цели и не было. Судя по логам, которые я видел, деньги снимались моментально (а тут уж пользователь всяко заметит).
          Что еще более интересно, тот кошелек, на который я заходил, светился в логах раз 10, и с него уже снимали деньги, а человек так и не догадался изменить пароль…
          • +4
            Вы-то на эти кошельки не со своего ИП хоть заходили? А то чревато.
            • 0
              Я заходил только на один кошелек. Так как времени было мало, я использовал анонимный прокси. Хотя не уверен в его качестве и отсутствии логов.
    • 0
      как бы они сделали пункт 3, если подменили человеку DNS-сервер?
      • +2
        Так подменили-то на свой, на контроллируемый.
        Ничто не мешает выставить ТТЛ днс записей в пару минут и после первого захода, считав все данные, дать команду днс серверу отдавать настоящие ИП.
        • 0
          Тогда в это время сорвется с крючка другая пара-сотен «клиентов», кто отрезолвит вконтактик/киви в нормальный IP-адрес.
          • 0
            Не сорвётся. Разным клиентам можно отдавать разные адреса: кому-то левый, кому-то настоящий. И с любыми TTL и прочими атрибутами.
            • –2
              Во-первых, трэкать клиентов придется, кому когда и какой отдали IP-адрес, во-вторых, сами себя задудосят (с) с TTL = 0 или близком к тому. Плюс, опять же, надо быть уверенным к тому, что клиентский софт (браузер в данном случае) не будет еще и сам дополнительно кешировать, то есть соблюдать TTL. В общем, шибко много если и есть риск не затащить нагрузку.
    • –8
      Проще уж wifi сеть сразу сделать скрытой.
      • +3
        И с фильтрацией по MACу, ага.
        • 0
          У меня домашняя wi-fi так и настроена. Собственно, первое, что сделал, обзаведясь домашней точкой — сменил пароли (и админский, и пользовательский), сменил SSID, пароль для подключения, задал ограничения по макам и отключил вещание SSID. Настройку поставил возможной только с одного из локальных портов. От всех проблем не спасёт, но значительно сократит их возможный перечень.

          • +6
            Это, скорее, для самообманауспокоения. Хорошего пароля и отключения WPS обычно достаточно.
            Тем более в статье не Wi-Fi для атаки использовался.
          • +1
            С отключеным вещанием SSID бывают глюки у разных девайсов, да и батарейка, возможно, будет разряжаться быстрее т.к. телефон тот же будет периодически пытаться подключиться к невидимой сети.
            • 0
              Тоже столкнулся с проблемой постоянных разрывов связи и необходимости ручного переподключения андроидофона при настройке сокрытия SSID. Может кто посоветует утилиты/опции для Андроида чтобы убрать этот глюк?
              • +1
                Я думаю проще будет убрать сокрытие сети, это на многих девайсах так.
                • +1
                  Сеть при активности рано или поздно демаскируется (на probe, assoc/reassoc). Смысл в отключении beacon'ов?
                  • +1
                    Да никакого, от глаз обывателей разве что. А так 10 минут поснифферил aircrack-ом и всех видно.
                    • 0
                      Спасибо,
                      собственно — к этому и пришел, поэтому и использовал «опцию» «не скрывать SSID». ))
    • +8
      Проблема еще в том в 99,999% случаев все идет как надо, годы идут и все в порядке. Сотни раз ходишь и все значки на месте — тут любого задолбает каждый раз на них внимательно пялится. А в один прекрасный момент — опа! А ты уже за 0,3 секунды привычным высокопрофессиональным движением руки успел вбить свой крутой пароль. Я не ленюсь проверить что в адресной строке только если сервис всегда пускает по куке, а тут я вдруг разлогинен. Но это не важные сервисы как раз, а если подменили ДНС и верстка в полном порядке, а киви/пэйпал/т.п. каждый раз просят пароль — то и на хабре попадется значительная доля, хотя эти сервисы и позаботились чтобы у них сертификат зеленым отсвечивал.
      Я бы очень хотел (а может есть?) плугин который бы помнил про все мои сайты «как должно быть» — сертификат+айпи. И при изменении этих параметров жирно предупреждал. Впрочем и это не спасет если не заметил что попал на vk1.com…
      • +3
        lastpass спасает часто в таких случаях (меня кстати пару раз спас), но если свёрстано всё один в один и подменили DNS запись — то тут кто угодно попасться может.
      • 0
        Вот тут в тред врывается аутентификация по клиентским сертификатам (для ssh — ключам). Не подделаешь такую и пароль никакой не светишь в процессе, поскольку пароль вообще не используется (используется диалог ввода ключа для расшифровки сертификата, который не получится подделать).

        Например, так сделано на StartSSL. При регистрации локально на компьютере пользователя создаётся пара ключ-запрос, запрос посылается на сервер и там подписывается, назад возвращается сертификат. Пара ключ-сертификат и устанавливается в браузер, а впоследствии используется для аутентификации.
        Для реализации подобного сервису необходимо либо стать публично-известным ЦС, либо доверять стороннему ЦС (тому же startssl), либо требовать от пользователей установки своего корневого сертификата в браузер.
        • 0
          > диалог ввода ключа для расшифровки сертификата
          имелось ввиду «для расшифровки секретного ключа от сертификата»
        • 0
          Для реализации подобного совершенно не обязательно, чтобы клиент доверял своему же сертификату, главное — чтобы его мог проверить сервер. Так что никакого своего ЦС делать не надо, как и доверять сторонним.
          • 0
            Верно, в принципе свой сертификат не обязательно проверять локально. Но некоторые браузеры (емнип, IE) не позволяют установить невалидный с их точки зрения персональный сертификат, так что им ЦС — нужен. А как с этим дело обстоит в андроидах и прочих мобильных мне вообще неизвестно.
            • +1
              добавление корпоративных ЦС и сертификатов ssl на почту
              внутренние порталы на мобильные платформы — отдельный печальный гемор…
              • 0
                Представляю себе каждого пользователя Вконтакте, устанавливающего в браузер сертификат сначала ЦС, а затем персональный.
        • –3
          Т.е. вариант «увели ваш личный клиентский сертификат» вы не рассматриваете в принципе?
          • +1
            При чём здесь это? Клиентский сертификат гарантирует защиту от фишинга, а не от кражи вообще. То есть, пароль можно стырить фишингом, сертификат — нет, даже если подменить DNS.

            В топике речь именно про фишинг (с подменой DNS).
    • –2
      От MITM https не спасет, если подменем DNS ибо до этапа установления https просто не дойдет дело, доменное имя будет разрешено на другой IP, и даже если предположить, что клиент может заметить, что сервис перестал быть https, мошенники могут подстраховаться и сделать свой https на своем сертификате, легитимном и доверенном.
  • +2
    ISPsystem оповестили о таком клиенте?
    И да, жаль, что народ в большинстве своем не обращает внимание на наличие или отсутствие замочка в адресной строке.
    • 0
      Нет, не оповестил. Как то не догадался. Да и на надо ли?
      • +14
        Если Ваша цель победить злых хакеров — надо.
        Идиоты-хакеры выставившие admin/admin вполне могли заходить со своего домашнего IP, а в управлении К совсем не идиоты сидят.
        • +1
          Для меня это все в новинку, никогда не занимался подобным. Так что даже не знаю, куда именно писать.
          • +2
            В первую очередь пишите в qiwi. Это их клиентов обокрали, они должны заботиться о них.
            • 0
              QIWI видимо уже давно в курсе массовой пропажи денег у клиентов так как минимум c 13 января заставляет всех поменять пароль.
              • +1
                Добавлю официальный ответ QIWI по этому событию — смена паролей связана с изменением алгоритма работы системы безопасности.
        • +2
          управлении К совсем не идиоты сидят

          Кстати, вы интересную тему подняли. Этим мудрым людям нужно основание, чтобы начать шевелится. Абуза провайдеру — не основание. ISP должен пнуть свой юридический отдел, который в свою очередь должен написать мудрое заявление в отдел К, мол вот смотрите мой абонент занимается противозаконной деятельностью. Учтите, что в 99% процентов случаев противозаконной деятельностью занимается не сам абонент, а вирус на его машине. Теперь представим себе серьезного дядю из отдела К, к которому лично пришел серьезный дядя из юридического отдела провайдера, с заявлением о том, что у его абонента вирус!
          И вопрос по конкретному случаю автора. Что ему нужно сделать, чтобы данное конкретное преступление начало расследоваться?
          • +2
            угу. а потом будет как в историях про арест нашедшего чужой телефон, который он хотел вернуть хозяину.
            Печальные реалии отбивают желание контактировать с милицией
            • +2
              В Сочи, кажется, дело происходило?
          • 0
            Что ему нужно сделать, чтобы данное конкретное преступление начало расследоваться?

            Написать заявление в милицию или прокуратуру. Статья 156.9 УК РФ «Мошенничество в сфере компьютерной информации» является статьёй публичного обвинения (в данном случае вроде как) и возбудить уголовное дело должны по заявлению от любого лица. ВОт только есть нюанс со входом в Киви — не уверен, что это действие правомерно и автор сам не нарушил закон.
            • +1
              Вне зависимости от входа в Киви необходимо помнить, что владельцев подставных сайтов нужно еще искать, а автор вот он, сам пришел и 272-я статья УК РФ к его заявлению полностью подходит ибо: «1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».
              • 0
                Ну да, он же ещё и скопировал к себе, да выложил в паблик. Ну тот может сработать то, что делал он это в целях правоприменения, изобличения преступников, а не с умыслом на противоправные действия.
                • +2
                  По духу закона он не виновен, но кто-ж разбираться будет…
                  • 0
                    Вот именно по этому, я, все таки, откажусь, от официальных заявлений.
                    • 0
                      В чьи органы заявление Вы отказываетесь писать?
                      По хорошему надо начинать дрюкать провайдера. Тем более что ответа на абузу не было, а это не вежливо.
                      Но опять таки — если окажется что клиент был взломан, то дальше уже кто будет копать? Интерпол? Вот реально кто тут крайний? Мне не сложно написать заявление если мне точно укажут куда писать и хоть чуток посоветуют что писать. Тем более что у меня есть множество мелких косвенных аргументов в пользу того что провайдер не совсем белый и пушистый в этом вопросе. Есть смутное ощущение что они торгуют проксями и тому подобными «серыми» вещами.
      • 0
        ИМХО в любом случае да.
        Как минимум, что могут сделать ISPsystem — заблочить клиента, изменить DNS и повесить заглушку с информацией о взломе и инструкцией как исправить.
    • +1
      А есть вообще у кого-нибудь положительный опыт абузописательства отечественным и близким к ним ISP? Недавно стал жертвой почтоломателей. В логах около десяти айпишников из России и Украины. Написал абузы всем провайдерам. Как вы думаете сколько ответили?
      • 0
        Думаю, в абузе российским прован небесполезно указать, что в случае отказа будете писать жалобу на их бездействие в роскомнадзор и прокуратуру. И таки-да, не полениться и написать.
        • 0
          Ну дык, я не поленился и написал. Я говорю, что результата ноль и интересуюсь, есть ли истории успеха. Интересно, был ли хоть один борец с ветряными мельницами, который в такой ситуации как у автора заставил бы машину сдвинутся с места и покарать злоумышленника.
          И я говорю, что не было отказа на жалобу. Вообще ни какого ответа не было. Ну и даже если ответ будет, это не обозначает каких-либо реальных санкций против злоумышленника.
          Реальный пример который может попробовать каждый. Начинаем скачивать какой-нибудь популярный торрент, смотрим айпишники раздающих и пишем абузы их провайдерам, грозим роскомнадзором и прокуратурой. Противозаконная деятельность со стороны айпишников налицо. Какие по вашему мнению действия предпримет их провайдер? Почему борцы с нелицензионным контентом до сих пор не используют этот метод?
          • 0
            Потому, что нужно ещё доказать, что именно от этого айпишника ты получил и это именно защищённый контент, а не образ убунты в файле «унесённые ветром 2.avi». И это действительно раздавал пользователь, а не злоумышленник, получивший контроль над его компьютером.
            • 0
              Спасибо, кэп. Для того и пример. А в чем принципиальное отличие абузы из примера от случая автора? Как автор говорит
              Сейчас там расположена ненормативная лексика

              злодейка деятельность прекратил.
              • –1
                Случай со списком адресов — это ничего. Список имён, если хотите. Откуда он взялся? Чёрт его знает.

                Другое дело — свершившееся событие, которое должно было быть залогировано у провайдеров во всяких СОРМах.
                • 0
                  которое должно было быть залогировано у провайдеров во всяких СОРМах

                  Потому, что нужно ещё доказать, что именно от этого айпишника ты получил и это именно защищённый контент, а не образ убунты в файле «унесённые ветром 2.avi»

                  Вы уж определитесь. А то так и будем по кругу ходить. Злодейство против автора, неким образом все-же эквивалентно раздаче пиратского контента. И то и то — преступления. Оба они свершились. Почему на жалобу по поводу первого провайдер должен оперативно отреагировать, а жалобу по поводу второго — проигнорировать.
  • –18
    Сижу исключительно через OVPN и с статичными DNS 8.8.8.8/8.8.4.4
  • –29
    176.102.38.39

    Как жаль, что я вычЕслен =( =( =(

    А вы молодец!
    Кстати, что насчёт меня — если нужно настроить роутер для кого-то, кто является моим знакомым и у кого компьютерами занимаюсь только я — ставлю TP-Link WR740N с OpenWRT, причём без LuCI. Затем пару строчек в конфигах — и всё готово =) Не глючит, непрошибаемо (с нормальным паролем, конечно) и недорого.
    • +4
      Что насчет меня — я Никита. Не глючу, прошибаем и некупите.
    • –3
      Простите, а можно объяснить, за что столько минусов? Просто непонятно, если честно =(
      • +2
        Глупость в «OpenWRT без LuCI». Вы привязываете людей к себе а-ля vendor lock-in и пытаетесь здесь выдать это за благо.

        Если уж делаете кому-то что-то, делайте так, чтобы он и без вас мог потом эксплуатировать. OpenWRT и с LuCI не особенно тривиален в управлении, а уж без него — и подавно.
  • 0
    У меня странный рутер (от провайдера) — он не сохраняет изменения пароля.
    Так-то я попытался сразу сменить после установки.

    Поныне изменений конфигурации рутера ни разу не обнаруживал, левых клиентов тоже.

    Пойду-ка я на пчелайн.
    • 0
      А там где-то в настройках, есть урл некий, его если изменить то все потом будет хорошо )
      • 0
        Не понял. o_0
        • 0
          Покопайтесь в настройках роутера, там будет параметр с урлом, на какой-то сервер. Не помню точно, как оно звучит). Если его изменить на локалхост, то после этого настройки сбрасываться не будут.
          • 0
            DDNS: ISP=dyndns.org, не редактируется, только выбирается. Другие значения gnudip, tzo, ods
            NTP: Time Server=time.nist.gov
            Других урл и белых IP в настройках нема.
            • 0
              Есть такая штука — TR-069, которая позволяет провайдеру управлять вашим оборудованием. Теоретически создано это для удобства: вам дают железку, а настраивать вам ничего не надо, в лучшем случае — через панель управления у провайдера (который потом сформирует конфиг для вашей железки и зальёт на неё).

              То, что описано в вашем случае — очень похоже, так что ищите настройки в личном кабинете.
    • 0
      Подобный косяк наблюдался у D-Link DSL-2640 c одной из версий прошивки «из коробки». Не Ваш случай?
  • +10
    Только что случилось невероятное. Я наконец решил сменить пароль на роутер, но проблема была в том, что когда специалист компании его устанавливал, я не спросил логин с паролем. Так что я запустил чат с техподдержкой и спросил как мне сменить пароль к роутеру. Специалист попросил зайти по адресу 192.168.0.1 и ввести в качестве логина и пароля ввести admin/password. Потом он сказал мне сменить пароль к wifi. Я уточнил, что мне не надо менять пароль к вайфаю и что я хочу сменить пароль именно у роутера. Дальше у нас случился такой диалог.

    Marshall Maxton: Are you referring to login password of the router's home page?
    ILYA: Yes
    Marshall Maxton: I understand your requirement. But trust me, if you do change the password and unfortunately forget it. It will be quite cumbersome to retrieve it. We always recommend our customers to use TWC generated password to access router's home page. This ensures complete security of your wireless Internet set up.
    ILYA: You can't be serious :) Time Warner specialist who is recommending to leave admin/password?
    Marshall Maxton: Yes, that's correct!!!
    ILYA: That's always the first thing to do: change standard password.

    В конце он еще добавил, что если я непременно хочу сменить пароль к роутеру, то мне надо позвонить по телефону техподдержки или создать тикет. На этом я с ним уже попрощался.
    • +2
      Не говоря уже о том, что нажатие кнопки reset сбрасывает и пароль и все настройки.
      Видимо, товарищам из техподдержки лень ходить к пользователю, забывшему пароль на роутер, поэтому они предпочитают чтоб никто пароли не менял :))
    • 0
      Если вы смените пароль с QNS^at7\ на 111, скорее всего, это понизит степень вашей защищенности. Это я вам объясняю позицию Marshall Maxton.

      Я почему-то уверен, что «TWC generated password» не равно admin/admin
      • 0
        Я так и подумал когда admin/admin не подошло, поэтому на полгода и забыл про это. Если бы не этот пост, то и не вспомнил.

        У меня в первом абзаце написан «TWC generated password» — admin/password, то есть буквально admin и password )
        • 0
          Простите, дальше написано матом (это не вам, это маршалу)

          (beep)(beep)(beep).
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Ну мне на дефолтные сбрасывать не хотелось, я бы кнопкой reset для этого мог воспользоваться. Кстати, как через Google + сбрасывать, я ничего такого не слышал и сам Гугл по такому запросу ничего не выдает.

      Я, кстати, сразу после установки попробовал admin/admin как у меня в Москве всегда было, но он не подошел и я решил, что тут устанавливаются сложные пароли и забыл про это.
      • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Спасибо, наконец дошли руки поменять дефолтный пароль к роутеру…
  • +3
    Вы модель роутера не озвучили. Интересно админка светит во внешнюю сеть по умолчанию, или друг так его настроил?
    • 0
      Модель роутера, к сожалению, сейчас не вспомню. Но, могу сказать, что модель светится почти всегда, если форма авторизация кастомная, то там имеется логотип, а при WWW-Authenticate имя сервера всегда равно модели роутера.
  • 0
    Была подобная история с локальной машиной, буквально месяц назад, брат пожаловался на инет, как позже выяснилось перед этим была установлена какая-то игруха с торрентов. Быстрая проверка конфигов сети выявила подмену днс, по умолчанию в той сети вместо адреса днс-ов должен быть адрес роутера, так он настроен, а там были левые адреса, которые кстати подменяли страницу вконтакте, остальное не проверял. Все вычистил, игруху удалил, надо бы сказать чтоб пасс вконтакте сменил, хотя что злоумышленники смогут найти на странице семиклассника?!
    • +1
      хотя что злоумышленники смогут найти на странице семиклассника?!

      Его друзей, которым можно впарить «игруху». «Игруха» попросит СМС, чтобы просто подтвердить подключение бесплатного Премиума, дающего игровое преимущество.
  • +14
    А зачем менять пароль кроутеру, если админка (по умолчанию) доступна только из локальной сети?
    • 0
      Не везде. Поверь. В последнее время — да, в роутерах админка закрыта для доступа снаружи. Год назад 90% было разрешено.
      • +1
        Открывают админку провайдеры, если им дать настроить роутер. Производитель не настолько опрометчив
        • 0
          Сам покупал роутер (ASUS RT-N10), сам ставил. Настраивать толком ничего не пришлось — роутер заработал с пол-пинка. Только спустя несколько лет поинтересовался темой защиты и ужаснулся, что все это время жил с admin/admin.
          Кстати говоря, пароль-то я сменил, а вот стандартный PIN (12345670, кажется) поменять не удалось — пришлось вообще отключить WPS. Так что производитель иногда даже мешает залатать дыры :)
          • 0
            Прошивку на последнюю то обновляли?
            • 0
              Конечно.
          • 0
            Простите за примитивный вопрос, но сейчас тоже задумался над тем, что никогда сильно не вникал в настройки роутера.
            Однако, что такое PIN код для роутера и что он дает?
            • 0
              PIN-код может использоваться в WPS. Но это небезопасно, а поскольку эта фича обязательна если используется WPS — для безопасности рекомендуется отключать WPS.

              Да вообще идея WPS — бред. Какая разница, вводить PIN или WPA PSK, а если разницы нет, каким именно образом и что именно WPS упрощает?
            • 0
              Как описал merlin-vrn, WPS позволяет подключиться к Wi-Fi при помощи PIN — восьмицифрового ключа.
              Что он даёт? Он позволяет взломать Wi-Fi за 10 часов на большинстве роутеров, где включена эта технология :)
              Ну или и вовсе за несколько секунд, если у Вас не просто включен WPS, а еще и стоит один из заводских пинов.
    • 0
      Возможно DNS адрес был изменен с помощью вируса на компьютерах локальной сети
  • +5
    Объясните, пожалуйста, незнающему. Каким образом кто-то извне можно залезть в мой роутер?
    • +1
      Троян, например.
    • 0
      В настройках есть опция, может быть вы её включили.
    • +2
      У роутеров есть функция удалённой настройки. Если она включена, то в web-админку можно зайти не только вам, но и кому угодно, нашедшему внешний ip-адрес вашего роутера. Главное пароль подобрать.
      Поэтому, если вам удалённый доступ не нужен, вы отключаете его. Если нужен, меняете логин-пароль с тех, что по умолчанию.
    • +2
      Немного интересовался этим вопросом. Дело в том, что производители недорогих SOHO девайсов, что стоят у большинства пользователей не особо заботятся о безопасности. Если уделить достаточное количество времени и сконцентрироваться на конкретной модели, то получить контроль можно над любым роутером. И всякие DD-WRT и OpenWRT — не панацея. Возможны всякие двухходовки, когда мы сначала получаем доступ к локальной сети роутера через уязвимость на win-машине пользователя. Так-же роутер легче атаковать из внутренней подсети провайдера.
      Но я теоретик, мне просто интересно. А тут работают практики. Деньги зарабатывают. Просто админка с паролем по умолчанию на, я так понимаю белом IP. Теоретически, даже если был бы пароль посложнее, его бы сбрутили.
      Странно, что ребята просто подменяют ДНС. Я бы поделил роутеры по моделям и налил бы в них свою модифицированную прошивку. Тут уже бы автор меня не заметил и возможностей с руткитом побольше.
      • 0
        Господа минусующие, в чем я не прав?
      • +1
        Дело в том, что производители недорогих SOHO девайсов, что стоят у большинства пользователей не особо заботятся о безопасности. Если уделить достаточное количество времени и сконцентрироваться на конкретной модели, то получить контроль можно над любым роутером. И всякие DD-WRT и OpenWRT — не панацея.
        Описываемое в статье не касается целенаправленных атак, но только массовых атак на наиболее легкие цели.

        Возможны всякие двухходовки, когда мы сначала получаем доступ к локальной сети роутера через уязвимость на win-машине пользователя.
        Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?

        Просто админка с паролем по умолчанию на, я так понимаю белом IP.
        По умолчанию — только на проводном подключении к LAN-порту. К цвету IP-адресов это не имеет никакого отношения. В нормальных домашних и SOHO роутерах даже доступ к админке роутера по WiFi необходимо включать явно. Не говоря уже про доступ с WAN-порта.

        Я бы поделил роутеры по моделям и налил бы в них свою модифицированную прошивку.
        Представляете трудозатраты на изготовление кастомной прошивки? Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?
        • +3
          Описываемое в статье не касается целенаправленных атак

          Вообще-то в ветке спросили
          Объясните, пожалуйста, незнающему. Каким образом кто-то извне можно залезть в мой роутер?

          И ответ подразумевал более общий вопрос, а не контекст конкретной статьи.
          Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?

          Роутер включен 24 часа в сутки. На нем нет ативируса. Через него идет весь трафик пользователя. Закрепившись на нем один раз получаем знатную ноду для ботнета и попутно данные пользователя. И опять-же вопрос был о способе залезть в роутер. Имея годную защиту от внешней атаки они менее защищены из внутренней сети ( тот-же брут админки).
          К цвету IP-адресов это не имеет никакого отношения.

          В случае серого IP, порт админки должен быть проброшен за NAT на роутер. Чего провайдер делать не будет.
          Представляете трудозатраты на изготовление кастомной прошивки? Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?

          Представляю. Развернуть, впихнуть руткит, свернуть. Зависит от того, сколько моделей роутеров хочется охватить. Но возможно и займет не очень много времени.
          Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?

          Маленькая черная коробочка, знатная цель однако.
          Отвечал теоретически, на теоретический вопрос… понятно, что в реальной жизни все проще и злодей себя особо не утруждает — у него другие цели.
          • 0
            Роутер включен 24 часа в сутки. На нем нет ативируса. Через него идет весь трафик пользователя. Закрепившись на нем один раз получаем знатную ноду для ботнета и попутно данные пользователя. И опять-же вопрос был о способе залезть в роутер. Имея годную защиту от внешней атаки они менее защищены из внутренней сети ( тот-же брут админки).
            Сильно ли антивирусы помогают машинам с установленным руткитом или, тем более, буткитом?

            Почти весь «интересный» траффик шифруется ещё на хосте пользователя.

            Полноценная атака на роутер, с подменой прошивки, является слишком дорогой для сколь-нибудь массового использования. Т. к. требует охвата большого количества прошивок, которые далеко не всегда легко «разворачиваются», как вы выразились. Кроме того, у пользователя могут возникнуть подозрения при сбросе настроек роутера.

            В случае серого IP, порт админки должен быть проброшен за NAT на роутер.
            Атака может вестись из той же сети или с использованием hole punching из сети провайдера.
            • 0
              Чтобы не потерять нить беседы: вы утверждаете, что выраженная мной точка зрения, глупа, несостоятельна и не имеет право быть высказана ибо…
              Атака может вестись из той же сети или с использованием hole punching из сети провайдера.

              Может, но вы меня не правильно поняли. Это была небольшая часть моего комментария, где я говорил по поводу случая описанного в статье.
              Но мне нравится ваш ход мысли. Более общий. Теоретический.
              Полноценная атака на роутер, с подменой прошивки, является слишком дорогой для сколь-нибудь массового использования.

              На самом деле, чтобы что-то утверждать, надо сначала провести исследование и говорить о процентном соотношении определенных моделей роутеров. Утверждать не могу, но думаю можно выделить десяток наиболее распространенных.
              И ведь можно атаковать определенные модели. Т.е. подойти к вопросу не со стороны «есть множество роутеров, хочу подменить в них прошивку», а со стороны «есть прошивка, которую могу подменить, атаковать все модели с этой прошивкой». Тех же Dir300 сколько можно найти на просторах сети? 10-50-100 тыс.?
              Почти весь «интересный» траффик шифруется ещё на хосте пользователя.

              Вы прям объявляете невозможной атаку MITM! Согласен, как с множеством роутеров, в общем случае сложная задача, но есть частности.
              Сильно ли антивирусы помогают машинам с установленным руткитом или, тем более, буткитом?

              Честно, не знаю. Я пользуюсь Linux. Я умею проверить целостность бинарников в системе. Если я найду у себя руткит, я обрадуюсь и это будет маленьким праздником реверсинженеринга. Но мы говорим не обо мне, а о среднем пользователе, который чаще покупает новые компьютеры, чем роутер, не говоря о соотношении смена прошивки роутера к переустановка виндоус. И думаю зря вы так об антивирусах. Есть от них хоть небольшая, но польза.
              И повторюсь, я говорил теоретически о возможности атаки на роутеры. Да, они сложны и дороги. Да, есть множество машин с ZverCD WindowsXP. Да, есть человеческий фактор. Да, есть люди использующие элементарные уязвимости для наживы. Они так зарабатывают деньги, и не ищут сложных путей. Пускай. Я в своем комментарии пытался рассказать о том, что интересно мне. О возможных атаках, а не о том, что реально делают скриптошкольники. Если вы думаете что это глупости, прошу прощения.
        • +2
          Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?

          Ну, например, пользователь не пользуется веб-интерфейсом интернет-банкинга, но пользуется мобильным приложением. Или использует дуал-бут и система, к которой получилось получить доступ, используется крайне редко или в неинтересных случаях (запуск тех же игр). Или, банально, заразить получилось детский компьютер, а есть ещё папин и мамин.
  • 0
    Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.
    стандартный пароль на что? на админку? так надо же для начала пароль от ви-фи подобрать?
    • 0
      Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.
      Не надо подбирать пароль от вафли, потому что админка роутера открыта из WAN.
      • +1
        Кажется, что kos1nus имеет ввиду, что потенциальный злоумышленник должен сначала попасть в эту самую сеть.
        • 0
          А я думаю, что он просто не понял, что потенциальный злоумышленник в эту самую сеть уже потенциально попал. Если человек просканировал свою подсеть — и нашел там роутеры, то точно так же на его месте мог быть нехороший человек, который затем эти самые роутеры взломал.
          • 0
            А, я вас понял. Давно не сталкивался с локальными сетями провайдеров, у моего провайдера абоненты изолированы друг от друга.
            • 0
              Да, из вариантов еще, например, выдача подсетки из 2х айпишников плюс сеть и рассылка, много не насканируешь.
              Это не считая более «дорогих» технологий вроде каждый абонентский порт — один влан.
    • 0
      Думаю речь идет о локальной сети провайдера и на роутерах на WAN-портах включен доступ к админке. Увы, такое сплошь и рядом бывает на предоставляемых провайдером роутерах. Производители, как правило, по умолчанию запрещают такое поведение, а вот провайдеры на своих девайсах включают, чтобы удаленно диагностировать и устранять проблемы, но забывают/ленятся менять пароли.
    • 0
      Возможно просканирован диапазон адресов, к которому принадлежит айпи автора. То есть не физическая подсеть, а логическая, класса C например.
  • +1
    deleted
  • +2
    Просмотрел комментарии по диагонали, но не увидел ответа на вопрос — сообщили ли вы в службу безопасности QIWI и предоставили ли им список скомпрометированных логинов? Они, как минимум, могли бы сделать рассылку по списку с просьбой сменить пароль.
    • 0
      В этой ветке обсуждают абузы.
      • 0
        И из нее всё равно не понятно отписал ли автор или нет после того как ему на это указали :)
        Так что я на всякий случай прову абузу на почту скинул (так и не нашел у них на сайте ни одной почты, написал наобум саппорт@домен и продублировал звонком). Сказали в течении суток разберутся. Хотя конечно бесполезно это. Не верю что кто-то всерьез будет разбираться.
        • 0
          Сайт по IP уже не открывается, походу просто заблочили.
          Хотя я бы на их месте поставил заглушку с информацией о случившимся.
          • 0
            От заглушки толку не будет ведь НС то тоже не работает, так что всё уйдет на 8.8.8.8
            С другой стороны ответа на абузу я пока не получил, саппорт провайдера тут тоже не отписался (хотя ссылку я давал им).
            Скорее всего конечно как всегда всё будет: «сделаем минимум необходимого чтобы отстали и забьем». Мелкому местячковому провайдеру качественный сервис и геморрой с расследованиями или ментами не нужен. Раз уж они даже на круглосуточную поддержку не удосужились раскошелиться… Если даже хабр не особо заморачивается (к примеру полгода назад грозились «расмотреть возможность» добавить две строчки чтобы отрицательным персонажам вроде меня

            Но надежда всё равно остается :)

            • 0
              DNS можно было бы поднять с теми же записями, что и фишинговый отдавал.
              • 0
                Тогда уж со * ибо разбираться никто не будет.
                Но вообще было бы неплохо хоть отписать ответ на абузу, мол «спасибо, разбираемся» или «спасибо, разобрались, абонент заблокирован». Ну а поднимать ДНС точно никто не будет.
            • 0
              Если даже хабр не особо заморачивается (к примеру полгода назад грозились «расмотреть возможность» добавить две строчки чтобы отрицательным персонажам вроде меня

              Недописанная фраза?
              • +2
                Есть такое :)
                Я хотел сказать про сообщение «вы не можете комментировать чаще чем раз в 1 час».
                Я просил администрацию добавить в это сообщение «осталось хх минут».
                Аналогия здесь в том, что сделать это просто — займет минуты три времени разработчика.
                Саппорт мне написал что мол интересно, рассмотрим. И естественно «забил».
                Так же и здесь — вроде просто, вроде реально всё. Но НИКОМУ оно не нужно, и будет выкинуто в унитаз.
  • +2
    Данная проблема была не только на роутерах. Столкнулся что в планировщике прописывается задание по подмене DNS на компьютере. хотя ты и исправил DNS сервера в настройках подключения через время они опять подменялись.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      Это поведение по умолчанию. Как правило, админка ещё и недоступна с WiFi, если это не разрешено явно.
  • +1
    Ни одному сервису, который для меня значим или который оперирует деньгами, подмена dns не страшна (ssl во все поля). Про ssh даже и говорить не буду.
    • 0
      А если будет самоподписанный сертификат?
      • 0
        Как раз с самоподписанными (если они подписаны на совесть, а не абы-как) сертификатами ситуация сейчас лучше, чем с «фабричными».

        Когда вместо сертификата гугла (который выписан гугловым intermediate CA и подписан GeoTrust CA) нам подсунут сертификат для *.google.com, выписанный каким-нибудь турктелекомом, браузер молча съест. А вот если добавленный в «исключения» самоподписанный сертификат поменяется — нам про это скажут.
        • 0
          Я вот не устаю говорить: доверять можно только тем ЦС, которые ты установил в браузер сам (осознавая все возможные последствия этого).
          • 0
            В этом смысле «доверяю только этому сертификату и только для этого сайта» выглядит более просто, чем доверять какому-либо CA. Я вот с трудом себе представляю, какой должна быть организация, чтобы я добровольно ей доверил выписывать сертификаты для (почти) всех сайтов.
        • 0
          а съест ли?
          вот зачем то же в preloaded HSTS списке для гуглодоменов (да и не только гуглодоменов) (http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json ) стоит поле pin?
          такое впечатление что это как раз чтобы указать какие CA могут подписывать

          • 0
            Это уже костыли вокруг SSL. В оригинальном SSL — есть доверенный сертификат, значит надо доверять.
  • +1
    Быстрое гугление по ip нашло темку на форуме Касперского.
    От 16 ноября. Там еще и другие фейковые украинские днс-сервера проскакивают. Неплохо ребята развернулись.
  • +1
    Я с таким сталкивался еще год или два назад. Только в том случае, фейковый DNS применялся для того, что бы демонстрировать рекламу.
  • +2
    [offtopic]
    Кстати, шарики, которые играют, — это новогодние бубенцы от Яндекса. Они висели на странице входа в Яндекс.Почту в этот и прошлый Новые годы (вроде, и раньше, но не уверен).
    Где-то в комментариях к странице они предлагали поставить такие же себе на сайт.

    Я пробовал: http://sijeko.ru/news/happy-new-year-2013.
    [/offtopic]
    • 0
      Эх, а я уж думал хацкеры сами постарались :)
    • 0
      Отсюда вывод, что система не первый год работает.
      • 0
        Ну, как бы, не факт. Они их могли на этот новый год повесить. А создать систему могли хоть за день до этого, хоть за год.
  • 0
    А как они заразили ~10`000 роутеров?

    Если считать в среднем 7 человек на роутере

    • 0
      вы просто погуглите — безопасность роутеров, даже по хабру — бэкдор там, бэкдор тут
      плюс есть специализированные поисковики типа www.shodanhq.com/
      • 0
        Да это понятно, про бекдоры и т п. Физически как?
        • 0
          Что значит физически? Если вы про реальную близость с роутером, то WPS много где включен.
          Есть еще такая вещь, как CSRF, которая нередко встречается в админках www.defcon-russia.ru/16/routerz.pptx

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.