image

Gebruikers schuldig aan geïnfecteerde Linux-routers

woensdag 25 maart 2009, 11:35 door Redactie, 17 reacties

De meeste eigenaren van de 100.000 Linux-routers die door de Psyb0t worm zijn besmet en onderdeel van een botnet uitmaken, zijn hiervoor zelf verantwoordelijk, aldus onderzoekers. Gisteren waarschuwde DroneBL voor de malware, die met name misbruik van zwakke gebruikersnamen en wachtwoorden maakt. Het probleem treft alleen routers en modems die een mipsel architectuur gebruiken, waaronder ook apparaten met een custom firmware zoals OpenWRT en DD-WRT. Daarnaast moet telnet, SSH of de webinterface via het web te benaderen zijn.

Als laatste is een combinatie van een zwak wachtwoord en gebruikersnaam vereist of de daemons die de firmware gebruikt moeten lek zijn. Alle routers die niet aan deze criteria voldoen, lopen geen risico om door Psyb0t besmet te raken. "Negentig procent van de routers en modems in dit botnet zijn besmet door een fout van de gebruiker", aldus de onderzoekers van DroneBL.

In het geval van een besmetting zijn poorten 22, 23 en 80 geblokkeerd. Gebruikers krijgen dan het advies om een "hard reset" op het apparaat uit te voeren, het admin wachtwoord te wijzigen en de laatste firmware te installeren. "Deze stappen verwijderen de rootkit en zorgen ervoor dat je apparaat niet nog een keer besmet raakt."

Reacties (17)
25-03-2009, 12:19 door Eerde
Dus begrijp ik goed dat mijn
login: admin
wachtwoord: admin
niet voldoende is ?
25-03-2009, 12:52 door Anoniem
Eerde,

Geef me jouw IP adres eens, ik zal eens testen ;-)

Grtz
25-03-2009, 13:00 door Zarco.nl
Wel als je er van buitenaf niet bij kunt :P
25-03-2009, 13:27 door Ilja. _V V
Nah, jochies, moet *ik* een nieuwe router kopen of is dat nog niet nodig???...
25-03-2009, 13:29 door Wollige Willie
Door Zarco.nlWel als je er van buitenaf niet bij kunt :P

Het is juist wél voldoende als je er vanaf buiten niet bij kunt. Zarco slaat de plank even volledig mis....
25-03-2009, 14:16 door Anoniem
De conclusie is incorrect getrokken. Ik lees in de teksten dat de onderzoekers geen weet hebben welke apparaten uit zichzelf kwetsbaar zijn. Dan kan je niet zeggen dat het dus maar de schuld is van de gebruiker, omdat die als enige over blijft om iets over te kunnen zeggen. Toegegeven, ik vind ook dat een beheerder een eindverantwoordelijkheid heeft om zijn apparaten voldoende te beschermen. Maar als je niet kan aangeven of de fout in het apparaat zelf zit is het fout om een andere schuldige aan te wijzen.
25-03-2009, 14:20 door Sith Warrior
Door Wollige Willie
Door Zarco.nlWel als je er van buitenaf niet bij kunt :P

Het is juist wél voldoende als je er vanaf buiten niet bij kunt. Zarco slaat de plank even volledig mis....

Volgens mij sla je zelf met de hamer op het verkeerde hout.

op die site van DroneBL staat:

You are only vulnerable if:

Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
Your device also has telnet, SSH or web-based interfaces available to the WAN, and
Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

Lees, WAN = je internet poort dus als je vanaf het internet router niet kan bereiken (buiten je eigen netwerk dus) ben je niet vulnerble.

Dus met andere woorden, Zarco.nl heeft volledig gelijk als die zegt dat het geen hol uitmaakt wat je wachtwoord is voor deze exploit, zolang je router maar niet benaderbaar is van buitenaf.
25-03-2009, 14:29 door Thing
'Er van buitenaf niet bijkunnen is genoeg' is schijnveiligheid. Er zijn zat exploits die via een webbrowser een connectie naar de LAN-kant van je router kunnen maken en daar kunnen inloggen om vervolgens 'van binnenuit' een rootkit te plaatsen of settings te wijzigen.
25-03-2009, 15:20 door Anoniem
Door EerdeDus begrijp ik goed dat mijn
login: admin
wachtwoord: admin
niet voldoende is ?
Gesprek 1 “ nee meneer dat is niet voldoende dus u moet dat veranderen “
“ohhh u bent digibeet, ehhh 75 jaar ? ehhh, nou ja eigen schuld , maar we zullen u even helpen met veranderen. “

Stel dat dit goed gaat en de persoon niet in huilen is uitgebarsten omdat hij / zij de aanwijzingen van de helpdesk ( als die al WIL helpen ) niet meer kan volgen en nu helemaal geen internet meer heeft.

Gesprek 2 enkele weken later vanwege een storing “”
“ geen probleem , u moet even de router een harde reset geven, daar moet u …. En dan ….., en dan werkt alles weer “ KLIK opgehangen

En raad eens …… u bent weer terug bij admin / admin zonder dat u zich dat als digibeet realiseert

Ik snap heus wel dat uw opmerking met enig sarcasme is bedoeld, maar het bovenstaande is realiteit van elke dag.

Hoezo de gebruiker schuld, zijn ze nu helemaal van de pot getrokken.
Hiermee zou men dus stellen, de gebruiker moet een bepaalde kennis hebben anders is hij / zij schuldig.
Natuurlijk zou je als system admin / nerd / deskundige enzzz willen dat er geen gebruikers zonder kennis, een computer bezitten en al helemaal geen internet, maar dat is nu eenmaal niet zo.
( en ik ben blij dat ook normale mensen een computer bezitten en kunnen gebruiken )

Net zo goed als men het wetboek niet helemaal heeft gelezen, net zo goed als dat men stelt dat u de belasting wetgeving dient te kennen ( de uitspraak daar is, onbekendheid is geen excuus )

Neee, de leverancier ( isp’s ) die dergelijke routers neer zetten / hebben gezet, die hebben een veel grotere verantwoording
Die zouden minstens alle slechte kunnen vervangen of zorgen dat dit in orde komt
Dat zijn de mensen die zich met verve aan hun verantwoording ontrekken. En wel uit financiële overwegingen.

Veel mensen die commentaar geven, stappen makkelijk hier overheen en redeneren uit hun eigen kennis, dat is een pertinente denk fout

Met vriendelijke groet,
De Hooge
25-03-2009, 16:03 door Eerde
Een router zou een shellscriptje moeten draaien bij installatie / harde reset dat de gebruiker dwingt een sterk login + ww combi in te geven en ook om WPA PSK2 te gebruiken.
25-03-2009, 17:00 door Anoniem
hmm afgelopen week is 2.2.4.0 uitgekomen voor m'n fonera 2...het eerste scherm vraagt idd om mijn admin/admin paswoord te wijzigen...

by default luistert ie niet op ssh/web via de WAN maar dat is idd snel aan te passen...
voorlopig nog geen foneras geinfecteerd...
alhoewel ze openwrt/mipsel gebaseerd zijn :-)
25-03-2009, 17:13 door Anoniem
Door EerdeEen router zou een shellscriptje moeten draaien bij installatie / harde reset dat de gebruiker dwingt een sterk login + ww combi in te geven en ook om WPA PSK2 te gebruiken.
Daar kan iemand weinig op tegen hebben, gelet op veiligheid. Maar ondertussen hebben de fabrikanten niet altijd even veel oog voor veiligheid en zetten de voordeur standaard open, met opzet of uit onwetendheid.
25-03-2009, 17:18 door Anoniem
deze infectie gebeurd blijkbaar HELEMAAL niet op OPENWRT/DDWRT boxen maar alleen op het onbekende NB5 router van een of andere telecom?

http://www.adam.com.au/bogaurd/PSYB0T.pdf


ook blijkt de auteur van het botnet reeds afgelopen zondag zijn "research" te hebben stopgezet

“Topic for #mipsel is: .silent on .killall .exit ._exit_ .Research is over: for those interested I reached 80K. That was fun :), time to get back to the real life...
25-03-2009, 20:00 door Anoniem
Door Anoniemdeze infectie gebeurd blijkbaar HELEMAAL niet op OPENWRT/DDWRT boxen maar alleen op het onbekende NB5 router van een of andere telecom?
...
Bekend ja, maar dat is niet het enige waar de kern van de zaak zit
Open routers lan en wan, zijn een risico wat niet zou moeten voorkomen
en de makers en verstrekkers zouden daar voor moeten zorgen,

de Hooge
26-03-2009, 08:46 door Anoniem
Door AnoniemEerde,

Geef me jouw IP adres eens, ik zal eens testen ;-)

Grtz

192.168.1.10

;-)
26-03-2009, 08:51 door [Account Verwijderd]
[Verwijderd]
26-03-2009, 10:58 door Anoniem
er is geen verschil meer tussen 'van buiten' en 'van binnen' sinds wifi en browsers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.