Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
2015-05-31 19:41 GMT+03:00 Kostas Oikonomou kikono...@yahoo.gr: Ευχαριστώ πολύ για τις απαντήσεις που ήταν ιδιαίτερα κατατοπιστικές. Θα προχωρήσω σε αλλαγή του username και password που είναι admin και admin. Στο Linux Weekly News (LWN) υπάρχει σχετικό άρθρο, http://lwn.net/SubscriberLink/647080/5d7ae7244ff39ebc/ Παραπάνω αναφέρθηκε να γίνει δοκιμή της σύνδεσης στη θύρα 10073 για να δούμε αν λειτουργεί το σκουλήκι. Διαβάζουμε ότι το σκουλήκι ελέγχει ποια είναι η πηγή της σύνδεσης και δεν επιτρέπει τη σύνδεση από μη-αποδεκτές (για αυτό) διευθύνσεις IP. Οπότε ο έλεγχος που περιγράψαμε για τη θύρα 10073 θα είναι πάντα αρνητική. Ακόμα, μαθαίνουμε ότι η τρέχουσα υλοποίηση του σκουληκιού δεν αποθηκεύει στο δρομολογητή κάποιο κώδικα (ώστε να ενεργοποιηθεί αυτόματα μετά από επανεκκίνηση του δρομολογητή). Και ότι η τρέχουσα υλοποίηση χρησιμοποιεί μόνο πολύ βασικές αδυναμίες στην ασφάλεια. Οπότε, η βέλτιστη αντιμετώπιση είναι πράγματι να αλλάξουμε/βάλουμε τον κωδικό στη σελίδα διαχείρισης του δρομολογητή μας. Αν είναι κάτι σαν admin/admin ή κάποια άλλη προεπιλογή (δείτε και https://cirt.net/passwords), τότε αλλάξτε. Συχνά ξεχνάμε τους κωδικούς, οπότε μια τυπική αντιμετώπιση είναι π.χ. να γράψουμε το νέο κωδικό σε κάποιο post-it και να το κολλήσουμε στο κουτί του οικιακού μας δρομολογητή. Να επισημάνω ξανά ότι μιλάμε για τον κωδικό στη σελίδα διαχείρισης του δρομολογητή (όχι για ADSL που έχει να κάνει με το πάροχο). Σίμος Στις 9:50 μ.μ. Σάββατο, 30 Μαΐου 2015, ο/η george macris george.makri...@gmail.com έγραψε: Έκανα ανάρτηση στο φόρουμ τα όσα συζητήθηκαν εδώ http://forum.ubuntu-gr.org/viewtopic.php?f=25t=31183 Στις 30 Μαΐου 2015 - 9:14 μ.μ., ο χρήστης george macris george.makri...@gmail.com έγραψε: Η απορία του Κώστα ήταν μια πολύ καλή αφορμή να τσεκάρω-ουμε τα ρούτερ αλλά και (προσωπικά) να μάθω-ουμε κάποια βασικά και απαραίτητα από την απάντηση του Σίμου .Να υπάρχουν συχνά τέτοιες απορίες αλλά και κατατοπιστικές απαντήσεις.Προτείνω να γραφτεί και στο φόρουμ για ενημέρωση και εκεί . Στις 30 Μαΐου 2015 - 9:13 π.μ., ο χρήστης Νίκος Αλμπανόπουλος nalmpanopou...@gmail.com έγραψε: Μπράβο, κατατοπιστικό. (error και στα τρία εγώ) On 30/05/2015 01:50 πμ, Simos Xenitellis wrote: 1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port. Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας. Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση. Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο. 2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out» 3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι. -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150530/c10733b8/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150531/b9bf75c7/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150604/a275c5b3/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
Έκανα ανάρτηση στο φόρουμ τα όσα συζητήθηκαν εδώ http://forum.ubuntu-gr.org/viewtopic.php?f=25t=31183 Στις 30 Μαΐου 2015 - 9:14 μ.μ., ο χρήστης george macris george.makri...@gmail.com έγραψε: Η απορία του Κώστα ήταν μια πολύ καλή αφορμή να τσεκάρω-ουμε τα ρούτερ αλλά και (προσωπικά) να μάθω-ουμε κάποια βασικά και απαραίτητα από την απάντηση του Σίμου .Να υπάρχουν συχνά τέτοιες απορίες αλλά και κατατοπιστικές απαντήσεις.Προτείνω να γραφτεί και στο φόρουμ για ενημέρωση και εκεί . Στις 30 Μαΐου 2015 - 9:13 π.μ., ο χρήστης Νίκος Αλμπανόπουλος nalmpanopou...@gmail.com έγραψε: Μπράβο, κατατοπιστικό. (error και στα τρία εγώ) On 30/05/2015 01:50 πμ, Simos Xenitellis wrote: 1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port. Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας. Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση. Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο. 2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out» 3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι. -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150530/c10733b8/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
Η απορία του Κώστα ήταν μια πολύ καλή αφορμή να τσεκάρω-ουμε τα ρούτερ αλλά και (προσωπικά) να μάθω-ουμε κάποια βασικά και απαραίτητα από την απάντηση του Σίμου .Να υπάρχουν συχνά τέτοιες απορίες αλλά και κατατοπιστικές απαντήσεις.Προτείνω να γραφτεί και στο φόρουμ για ενημέρωση και εκεί . Στις 30 Μαΐου 2015 - 9:13 π.μ., ο χρήστης Νίκος Αλμπανόπουλος nalmpanopou...@gmail.com έγραψε: Μπράβο, κατατοπιστικό. (error και στα τρία εγώ) On 30/05/2015 01:50 πμ, Simos Xenitellis wrote: 1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port. Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας. Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση. Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο. 2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out» 3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι. -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150530/e084c8bf/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
Μπράβο, κατατοπιστικό. (error και στα τρία εγώ) On 30/05/2015 01:50 πμ, Simos Xenitellis wrote: 1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port. Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας. Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση. Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο. 2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out» 3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι. -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
2015-05-29 21:37 GMT+03:00 Kostas Oikonomou kikono...@yahoo.gr: Αγαπητοί φίλοι, Σήμερα διάβασα την είδηση για ύπαρξη ιού που επιτίθεται σε router που βασίζονται σε Linux. Επειδή δεν γνωρίζω πολλά τεχνικά στοιχεία, επισυνάπτω το σύνδεσμο της είδησης: https://iguru.gr/2015/05/29/47721/malware-social-media-router/και θα ήθελα να ρωτήσω κάποια πράγματα: Έχω στο σπίτι ένα router από την HOL, στο οποίο είναι συνδεδεμένοι δυο σταθεροί υπολογιστές που «τρέχουν» Lubuntu 12.10 32bit και Ubuntu 14.04LTS 64bit. Επίσης υπάρχει και ένας φορητός υπολογιστής που επίσης τρέχει Ubuntu 14.04LTS 64bit. Σε κανένα υπολογιστή δεν υπάρχει εγκατεστημένο antivirus. 1. Ο ιός έχει σχέση με το λογισμικό που είναι εγκατεστημένο στο router (φαντάζομαι ότι το router «τρέχει» κάποιο λογισμικό), ή έχει σχέση με το λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε router; Στην τελευταία περίπτωση έχουμε τρεις τέτοιους υπολογιστές. 2. Αν έχει σχέση με το λογισμικό με το οποίο «τρέχει» το router και όχι με το λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε αυτό, πως μπορώ να ελέγξω με τι λογισμικό «τρέχει» το router μου (για να δω αν είναι βασισμένο σε Linux και, σε αυτή την περίπτωση, πως μπορώ να το «θωρακίσω») 3. Το Ubuntu είναι ασφαλές έναντι των ιών, ή χρειάζεται να εγκαταστήσω antivirus; Οι οικιακοί δρομολογητές (home routers) είναι μικροί υπολογιστές που τρέχουν τον πυρήνα Linux και λογισμικό διαχείρισης της ευρυζωνικής σύνδεσης. Γενικά, αυτό το λογισμικό διαχείρισης εμφανίζει προβλήματα ασφάλειας σε μερικούς κατασκευαστές, με αποτέλεσμα να μπορεί να προσβληθεί ο δρομολογητής από κακόβουλους χρήστες. Το πιο τυπικό πρόβλημα είναι να επιτρέπεται η πρόσβαση στη σελίδα διαχείρισης από τρίτους μέσω του Διαδικτύου. Ναι, όσο παράξενο και να ακούγεται, υπάρχουν περιπτώσεις να μπορεί να συνδεθεί κανείς στο δρομολογητή σας από το διαδίκτυο. Όταν συνδεθεί κάποιος στο δρομολογητή σου, χρειάζεται τυπικά να δώσει κάποιο όνομα χρήστη και κωδικό. Εδώ, αρκετοί κατασκευαστές αφήνουν κάτι εύκολο, όπως admin/admin. Πρόσφατα ανακαλύφθηκε από τεχνικούς της ESET κακόβουλο λογισμικό που εκμεταλλεύεται τις παραπάνω αδυναμίες ώστε να συνδεθεί σε δρομολογητές και με κάποιο τρόπο να εγκαταστήσει κακόβουλο λογισμικό στον ίδιο το δρομολογητή. Ας πούμε ακόμα μια φορά ότι το πρόβλημα είναι στο λογισμικό διαχείρισης του δρομολογητή (και όχι στο πυρήνα Linux). Αυτό που είναι σημαντικό σε κάθε χρήστη, είναι να ελέγξει αν ο οικιακός δρομολογητής είναι προσβάσιμος από έξω, δηλαδή από το διαδίκτυο. Ένας τρόπος για να το ελέγξουμε, είναι να: 1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port. Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας. Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση. Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο. 2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out» 3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι. Διάβασα το PDF που υπάρχει στη σελίδα http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf Το όλο άρθρο δεν έχει πολλές πρακτικές πληροφορίες για διαπίστωση και ασχολείται με την ανάλυση του σκουλικιού. Το πιο σχετικό που γράφει, είναι «If the credentials can be used via Telnet to login, if Telnet is enabled by default and if a shell access can be obtained by typing sh in the device’s prompt, then these are very good indicators that a device could be infected by Linux/Moose.» Είναι πολλά τα Αν που αναφέρει, οπότε με τους παραπάνω ελέγχους μπορείτε να έχετε μια εικόνα. Είναι ακόμα νωρίς για να έχουμε μια ξεκάθαρη εικόνα για αυτή την αδυναμία ασφάλειας, μια αδυναμία στο λογισμικό διαχείρισης δρομολογητών (και άλλων τέτοιων συσκευών). Αν χρήστες με Windows σού δίνουν στικάκια για να τα ελέγξεις, τότε μπορείς να εγκαταστήσεις κάποιο από τα antivirus. Είναι πιο ασφαλές να ελέγξεις από Ubuntu παρά από Windows. Σίμος -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150530/b476e392/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
Re: Malware σε router που βασίζονται σε Linux. Είναι ασφαλές το Ubuntu;
Ας πάρουμε τα πράγματα από την αρχή . εδώ λέει ότι πρόκειται για μια man-in-middle επίθεση . Δηλαδή κάποιος τρίτος να έχει σπάσει τον κωδικό του δικτύου σου και από το δικό του μηχάνημα να κάνει την επίθεση . Προσωπικά δεν εμπιστεύομαι τα routers που δίνουν οι εταιρίες για τη παροχή του διαδικτύου .. Υποθέτω ότι το router που έχεις είναι netfaster , αμά μπορείς άλλαξε το password του wifi σου και το όνομα που του εμφανίζει όπως από NetFaster σε κάτι άλλο ειδικά τα netfaster από μια εφαρμογή στο google play σπάνε εύκολα άμα δεν αλλάξεις το κωδικό . On Fri, 2015-05-29 at 18:37 +, Kostas Oikonomou wrote: Αγαπητοί φίλοι, Σήμερα διάβασα την είδηση για ύπαρξη ιού που επιτίθεται σε router που βασίζονται σε Linux. Επειδή δεν γνωρίζω πολλά τεχνικά στοιχεία, επισυνάπτω το σύνδεσμο της είδησης:https://iguru.gr/2015/05/29/47721/malware-social-media-router/και θα ήθελα να ρωτήσω κάποια πράγματα: Έχω στο σπίτι ένα router από την HOL, στο οποίο είναι συνδεδεμένοι δυο σταθεροί υπολογιστές που «τρέχουν» Lubuntu 12.10 32bit και Ubuntu 14.04LTS 64bit. Επίσης υπάρχει και ένας φορητός υπολογιστής που επίσης τρέχει Ubuntu 14.04LTS 64bit. Σε κανένα υπολογιστή δεν υπάρχει εγκατεστημένο antivirus. 1. Ο ιός έχει σχέση με το λογισμικό που είναι εγκατεστημένο στο router (φαντάζομαι ότι το router «τρέχει» κάποιο λογισμικό), ή έχει σχέση με το λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε router; Στην τελευταία περίπτωση έχουμε τρεις τέτοιους υπολογιστές. 2. Αν έχει σχέση με το λογισμικό με το οποίο «τρέχει» το router και όχι με το λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε αυτό, πως μπορώ να ελέγξω με τι λογισμικό «τρέχει» το router μου (για να δω αν είναι βασισμένο σε Linux και, σε αυτή την περίπτωση, πως μπορώ να το «θωρακίσω») 3. Το Ubuntu είναι ασφαλές έναντι των ιών, ή χρειάζεται να εγκαταστήσω antivirus; Φιλικά Κώστας Οικονόμου -- next part -- An HTML attachment was scrubbed... URL: https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20150529/2ad1c19d/attachment.html -- Ubuntu-gr mailing list Ubuntu-gr@lists.ubuntu.com If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr