Как узнать домашний роутер заражен ли ботнет?

woxel

Постоялец
Регистрация
11 Май 2013
Сообщения
63
Реакции
27
Дома установлен модем-роутер D-Link DSL 2640U. В свете хакерских событий, как узнать он заражен ли ботнет? На модеме установлен длинный пароль админа.
 
Зараза может проявляться по разному.

Если это подмена каких-то серверов, показ вам рекламы, то роутер будет просто подменять ип адреса этих серверов. может ип адреса рекламных сетей.
Можно попробовать сравнить резолвинг через роутер и через какойто сторонний сервер (но к нему надо подключиться защищённо, обычный dig/nslookup от вас через этот же роутер - не годится)

В таких случая надо просто обращать внимание на неожиданный контент... Но если рекламу не показывают, а подменяют только сайты отдельных крипто-бирж, обменок, то не заметите если не пользуетесь.


Другой случай, когда роутер часть ботнета, который когото ддосит. Тут у вас на выходе почти постоянно будет трафик кудато.

Проще всего проверить трафик от вас (tcpdump/wireshark-ом) подключившись свитчем с мониторинг портом между вашим WAN портом и кабелем к провайдеру.
Разумеется отфильтровав трафик только по вашему ип или МАК адресу.

Разумеется желательно при этом отключить все домашние устройства от роутера. И вайфай погасить.

Можно попросить админов провайдера это сделать на их стороне, кстати....


Длина пароля не важна. Ломают обычно не подбором паролей, а через уязвимости, дающие доступ без пароля в систему роутера, часто минуя админ доступ к интерфейсу управления роутером.

Да, часто можно просто перешить роутер на более новую или более старую прошивку (с дальнейшим обновленим) с полным сбросом, для очистки. Прошивку качать лучше мимио вашего роутера, а то адрес производителя могут быть недоступны.

PS: а лучше дайте старичку покой, поменяйте роутер на чтото современное. Благо сейчас есть недорогие Xiaomi которые умеют еще и в Openwrt (чтоб потом не было таких проблем)
 
Не мог долго ответить, меня не было.
Cогласен, модем-роутер древний D-Link DSL 2640U, версия прошивки у него установлена последняя 1.0.32. Живу в провинции, здесь безлимитная скорость ADSL2+ у меня не выше:
Скорость входящего потока: 13023 Кбит/с.
Скорость исходящего потока: 1159 Кбит/с.
Если ставить 4G роутер, там наверно скорость будет выше, но и лимит на месяц (например 100 Гб) на загрузку, а так я за сутки могу скачать 100-110 Гб.

Заметил в настройках Межсетевой экран - Виртуальные серверы эту запись: Teredo 192.168.1.6:58889->58889 UDP, у которого порт 58889 внешний и внутренний 58889 идут ip 192.168.1.6, но я его не ставил, его не было еще месяц назад. УДАЛИЛ.
Вчера модему я заблокировал навсякий случай: подключение к интерфейсу из интернета и также telnet. Все настройки его проводятся только из внутреннй сети модема. И пароль заменил на новый.

А так надо брать новой Xiaomi, но потом, по деньгам.
 
UDP маппинг могла и какаято программа с домашнего компа заказать через UPnP протокол...
Например игра, или какойто мессенджер для голоса, или чтото подобное, что хочет по удп связываться с миром с возможностью принять трафик к себе.

А вообще в домашней сети 192.168.1.6 адрес комуто выделяется ? или выделялся ?

Попробуйте в настройках найти и отключить UPNP , если это оно, то новый мапинг не должен появится.

Но еще раз. Если есть сомнения и нет возможности поменять роутер, а прошивка последняя, стоит попробовать даунгрейд прошивке, потом снова залить новую.
То есть :
найти предыдущую прошивку, скачать.
найти последнюю и тоже скачать.
Потом сделать сброс настроек роутера, накатить предыдущую прошивку снова без сохранения настроек,
потом накатить последнюю прошивку, без сохранения настроек.
 
Назад
Сверху