-
Junior Member
- Вес репутации
- 60
Атака 192.168.1.1
Дважды за последнюю неделю Аутпост (4 версия) выдавал сообщение об атаках: "Сканирование портов 1029, 1031, 1034, 1035" и "...2052, 2053, 2063, 2064", оба раза указан IP 192.168.1.1 ...
Что может значить?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
обычно такой адрес имеет шлюз или роутер, какое подключение к инету используется и используются подобные устройства? обычно можно сделать игнор. этого сообщения.
-
Junior Member
- Вес репутации
- 60
Да я понял, что это модем, но почему фаер опознает как атаку? Не первый год, однако оборудование стоит...Подключение ADSL, модем D-Link 2500 BRUD
Разве сам модем можно заразить чем -либо?
-
но почему фаер опознает как атаку?
Параноидальность...
Разве сам модем можно заразить чем -либо?
Можно...
-
-
У меня такой модем, никто никого не атакует... Может и заразился чем-нибудь, например Psyb0t
-
-
Junior Member
- Вес репутации
- 60
Вот только что снова сообщение об атаке от модема на порты 3375-3381. О параноидальности фаера говорить не приходится- не один год связка работает
Как просканировать модем антивирусом? Никогда не задавался таким вопросом, устройство-то внешнее...
-
Сообщение от
gorill
Вот только что снова сообщение об атаке от модема на порты 3375-3381. О параноидальности фаера говорить не приходится- не один год связка работает
Как просканировать модем антивирусом? Никогда не задавался таким вопросом, устройство-то внешнее...
А его не нужно сканировать - необходимо:
1. отключить модем от внешней сети, отсавить только LAN
2. перезалить в него прошивку, скачав ее с сайта производителя
3. задать в админпанели модема сложный пароль админа
4. Если есть настройка безопасности в плане того, из каких сетей разрешено подключение - то оставить только LAN, управление модемом из WAN запретить
5. Подключить модем к внешней сети и наблюдать
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Зайцев Олег
2. перезалить в него прошивку, скачав ее с сайта производителя
3. задать в админпанели модема сложный пароль админа
4. Если есть настройка безопасности в плане того, из каких сетей разрешено подключение - то оставить только LAN, управление модемом из WAN запретить
Сделано давно, кроме WAN (там настройки доступа провайдера вписаны) и прошивки, вот ее-то я и залил (с оф. сайта!) с месяц назад и такое ощущение, что с ее появлением и пробудился какой-то зверь... Вот только что Аутпост снова выдал, что заблокировал атаку на порты 1446, 1447, 1461, 1462...
Прошивку менял из-за самопроизвольного отключения сети, в техподдержке D-Link настоятельно посоветовали сменить (была самая первая версия) на самую новую. В итоге и сеть также обрывается и атаки получил...
Последний раз редактировалось gorill; 15.08.2009 в 14:49.
-
А каким образом вообще происходит "заражение модема".
Достаточно посетить не надежный сайт?
Запустить невесть что на своей машине?
Или есть другие варианты?
-
Junior Member
- Вес репутации
- 60
Сообщение от
kLen
А каким образом вообще происходит "заражение модема".
Сам думаю:как? Нарыл в инете немного инфы по заражению модемов, но все касается Линукса.
Ау! Умные головы! Ну кто-нить знает, как с этим бороться? Или выбросить модем и купить новый?
-
Сообщение от
kLen
А каким образом вообще происходит "заражение модема".
Все очень просто - стоит только расмотреть "роутер" или "ADSL модем-роутер" с технической точки хрения. А это не более чем обычный компьютер, снабженный несколькими сетевыми интерфейсами, модулями ADSL и WiFi и т.п. В простейшем случае это микрокомпьютер - у него небольшой объем ОЗУ, слабенький процессор, Flash память вместо диска и т.п. - но это тем не менее полноценный компьютер. Операционной системой у него как правило является тот или иной клон Linux, урезанный до минимума и снабженный WEB оболочкой для управления. Как следствие, нет принципиальной разницы между заражением такого "компьютера" и обычного ПК под Linux (незаражаемость которого является не более чем байкой). Условие заражение - соблюдение одного из двух условий:
- возможность доступа к модему по сети по Telnet и/или FTP. Атака может идти как из LAN, так и из WAN (как правило именно из WAN). Можно удивляться, но факт есть факт - у массы пользователей пароль пустой, доступ из WAN для администрирования открыт и можно творить на их модемах что угодно. В правильно настроенном модеме/роутере это невозможно (под правильностью понимается сложный пароль и запрет доступа из WAN к управлению модемом)
- программное обеспечение модема содержит "дырки", позволяющие таковать его через уязвимость. Это редкость, но исключать ее нельзя
Далее само заражение тривиально - получив доступ к модему извне злоумышленникам досточносто применить WGET или его аналог для того, чтобы закачать программный код зловреда и затем запустить его ...
Добавлено через 16 минут
Сообщение от
gorill
Прошивку менял из-за самопроизвольного отключения сети, в техподдержке D-Link настоятельно посоветовали сменить (была самая первая версия) на самую новую. В итоге и сеть также обрывается и атаки получил...
D-Link - это "хорошая" штука. По опыту прошивки сырые, глюкавые, и стабильная работа определяется везением (если повезет на конкретной модели с конкретной прошивкой, стабильно работающей на конкретном провайдере). Ответов у саппорта всего два - "поменяйте прошивку на самую новую" и "какая у вас прошивка - самая новая ? ну тогда понятно... там есть баг - к 2115 году мы его обязательно исправим"
Путей решения конкртно данной проблемы три:
1. Выкинуть Firewall и заменить его сниффером - и посмотреть, что и откуда идет и что вообще там творится. Если нет опыта в таких делах, то лучше призвать на помощь знакомого системщика
2. Выкинуть заменить модем самодельным роутером на базе чего-то из Unix-ов, например на базе FreeBSD (сам модем будет подключен к нему именно "модемом"). Это громоздкое решение, но зато получим предсказуемое поведение, и аппрат будет работать, пока не сломается (для установки и настройки потребуется опять же привлечь знакомого ситемщика). Для дома малоприемлемое решение ...
3. Пытаться разобраться в настройках модема и с тем, что творится с его прошивкой, долбая техподдержку. Я бы советовал для начала разобаться, как настроен Firewall и NAT, и в каком режиме работает модем (бриджа или роутера). Модем должен быть роутером, Firewall и NAT включены, все фичи со словом "DMZ" - выключены
Я бы посоветовал решать проблемы в порядке 3 - 1 - 2 ..
Последний раз редактировалось Зайцев Олег; 15.08.2009 в 22:46.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
-
Zyxel
А вообще и D-Link нормально работает, если не гоняться за наисвежайшими прошивками. Так что попробуйте откатить версию прошивки на оригинальную.
-
-
Junior Member
- Вес репутации
- 57
где-то пол года назад, сменил прошивку модема на новую. (скачал с оф-сайта. модем D-Link). после замены прошивки, firewall выдал сообщение - "сканирование портов. атакующий узел - 192.168.1.1 "
откатил версию прошивки назад. (на заводскую). "проблема" исчезла.
модем успокоился
-
Junior Member
- Вес репутации
- 55
От Зайцева Олега прозвучала мысль об обязательности настройки модема роутером. У нас так и было в течение 2-х лет. А когда у провайдера начались проблемы с устойчивостью соединения, буквально "выдушили", чтобы настроили бриджом. Связь от этого лучше не стала. Перепрошивать, слава Богу, я так и не собралась. Почитала эту тему и радуюсь. Все тот-же D-Link. Продвинутые друзья (среди них есть и системщики) и саппорт мне так и не объяснили, чем бридж отличается от роутера, и что предпочтительнее. Я имею в виду не принцип организации подключения к интернет, а устойчивость соединения и прочие прелести. Получается лучше роутер? А зачем саппорт рекомендует бридж? Саппорт - вредители? Прелесть общения с саппортом отдельная душевная песня...
-
Сообщение от
Elena
От Зайцева Олега прозвучала мысль об обязательности настройки модема роутером. У нас так и было в течение 2-х лет. А когда у провайдера начались проблемы с устойчивостью соединения, буквально "выдушили", чтобы настроили бриджом. Связь от этого лучше не стала. Перепрошивать, слава Богу, я так и не собралась. Почитала эту тему и радуюсь. Все тот-же D-Link. Продвинутые друзья (среди них есть и системщики) и саппорт мне так и не объяснили, чем бридж отличается от роутера, и что предпочтительнее. Я имею в виду не принцип организации подключения к интернет, а устойчивость соединения и прочие прелести. Получается лучше роутер? А зачем саппорт рекомендует бридж? Саппорт - вредители? Прелесть общения с саппортом отдельная душевная песня...
Очень упрощенно, то, что важно для вас: в режиме роутера ваш модем является устройством, имеющим внешний IP-адрес и, соответственно, видимым в сети. В режиме бриджа таким устройством будет ваша машина, подключенная к этому модему. Естественно, безопаснее режим роутера. Кроме того, роутеры, как правило, обладают дополнительным функционалом (сетевой экран, NAT) - в режиме бриджа этот функционал не будет задействован. Техподдержка могла предложить режим бриджа по целому ряду причин: подозревали, что роутер неверно настроен, требовался функционал, который вашим модемом не поддерживается (например, установка VPN-канала), итд, итп. Они - не вредители, просто они предложили сделать так, как им удобнее, а не вам безопаснее
-
-
Junior Member
- Вес репутации
- 55
Большое спасибо. В качестве общей информации действительно самое то. Коротко и понятно.
-
Добавлю только то, что D-Link-овские модемы очень часто не могут выполнить пересоединение при смене сессии в режиме роутера. С этим очень многие встречаются и соответственно это не проявляется в режиме бриджа, т.к. соединением управляет именно компьютер а не модем.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Добавлю только то, что D-Link-овские модемы очень часто не могут выполнить пересоединение при смене сессии в режиме роутера. С этим очень многие встречаются и соответственно это не проявляется в режиме бриджа, т.к. соединением управляет именно компьютер а не модем.
Не наблюдал подобного
-
-
The worst foe lies within the self...
-