Mi enrutador dlink parece estar comprometido

5

Por casualidad leí hoy acerca de esta enorme vulnerabilidad con respecto a mi enrutador Dlink DIR-600. ( enlace )
Solo por curiosidad sobre lo que encontraría, intenté enviarle algunos comandos y también funcionó en el primer intento. Algo gracioso, como ls o ifconfig , se vio desde eso ... hasta que probé el comando ps que imprimió lo siguiente:

PID USER       VSZ STAT COMMAND
    1 0          592 S    init                
    2 0            0 SW   [kthreadd]
    3 0            0 SW   [ksoftirqd/0]
    4 0            0 SW   [events/0]
    5 0            0 SW   [khelper]
    6 0            0 SW   [async/mgr]
    7 0            0 SW   [sync_supers]
    8 0            0 SW   [bdi-default]
    9 0            0 SW   [kblockd/0]
   10 0            0 SW   [cfg80211]
   11 0            0 SW   [rpciod/0]
   12 0            0 SW   [kswapd0]
   13 0            0 SW   [aio/0]
   14 0            0 SW   [nfsiod]
   15 0            0 SW   [crypto/0]
   21 0            0 SW   [mtdblockd]
   60 0         1368 S    xmldb -n wrgn49_dlob_dir600b -t 
   61 0          888 S    servd -d schedule_off 
  177 0          852 S    logd -p notice 
  178 0          828 S    klogd -p notice 
  185 0          852 S    gpiod 
  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  490 0          872 S    ddnsd 
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl      
  510 0          592 S    init                
  693 0            0 SW   [RtmpCmdQTask]
  700 0         1008 S    hostapd /var/servd/hostapd-ra0.conf 
  701 0          852 S    updatewifistats -i ra0 -x /phyinf:3 -r /runtime/phyin
  723 0          836 S    portt -c DNAT.PORTT 
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1656 0          852 S    neaps -i br0 -c /var/run/neaps.conf 
 1665 0          828 S    netbios -i br0 -r dlinkrouter 
 1666 0          844 S    llmnresp -i br0 -r dlinkrouter 
 1683 0         1012 S    udhcpd /var/servd/LAN-1-udhcpd.conf 
 1769 0          960 S    lld2d -c /var/lld2d.conf br0 ra0 
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 1973 0         1508 S    httpd -f /var/run/httpd.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result 
 4381 0          592 R    ps 

Aquí estoy especialmente preocupado por el servidor de teletrabajo (pid 502), las falsas (pid 453) y también la arrogancia de mi proveedor, que proporciona un enrutador que ya no está actualizado para las vulnerabilidades de seguridad y que me cobro el dinero por el alquiler de esa caja. para mi ...
Entonces, lo primero que se hizo fue eliminar todos los procesos sospechosos, pero, como se esperaba, después de reiniciar la máquina, todo estaba como antes, en funcionamiento. Revisé varios archivos de configuración estándar pero parecían normales ..

Así que mis preguntas son ahora: ¿mi enrutador está seriamente comprometido? ¿Es suficiente para evitar que esos procesos se inicien? ¿Me he perdido algo? También este "xmldb" (pid 60) me parece algo sospechoso.

    
pregunta fab 10.09.2015 - 21:36
fuente

1 respuesta

2

Cuando ejecuta ps, la salida es la lista de procesos en ejecución actual. En ocasiones, esto incluirá una lista del proceso, incluidos los argumentos de la línea de comandos utilizados para iniciar el proceso. Aquí hay algunos comandos de apariencia posiblemente peligrosos de tu salida:

  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl       
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result 
  • Veo que falsificaciones apunta a todas sus solicitudes de DNS a 1.33.203.3.
  • Telnet acepta conexiones solo de Alphanetworks.
  • Parece que su tráfico está siendo proxy a 1.33.203.39 (no se puede encontrar ninguna documentación en el indicador -m).
  • Tiene una página de PHP que se ejecuta bajo el nombre "command.php". Le sugeriría que revise el código fuente de ese archivo.
  • La salida de 'ps' se está agregando a cmd.result (que puede haber sido usted).

En una nota posiblemente relacionada, una búsqueda de google para "proxyd -m" devuelve esta esencia .

Si algo o todo esto te parece falso, te sugiero que reinicies el dispositivo de fábrica. Si no hay parches disponibles para su dispositivo, vea si puede cargar cualquier firmware de código abierto (como OpenWRT) y confirme el hash de la imagen cuando lo descargue.

    
respondido por el KDEx 10.09.2015 - 23:35
fuente

Lea otras preguntas en las etiquetas