Por casualidad leí hoy acerca de esta enorme vulnerabilidad con respecto a mi enrutador Dlink DIR-600. ( enlace )
Solo por curiosidad sobre lo que encontraría, intenté enviarle algunos comandos y también funcionó en el primer intento. Algo gracioso, como ls
o ifconfig
, se vio desde eso ... hasta que probé el comando ps
que imprimió lo siguiente:
PID USER VSZ STAT COMMAND
1 0 592 S init
2 0 0 SW [kthreadd]
3 0 0 SW [ksoftirqd/0]
4 0 0 SW [events/0]
5 0 0 SW [khelper]
6 0 0 SW [async/mgr]
7 0 0 SW [sync_supers]
8 0 0 SW [bdi-default]
9 0 0 SW [kblockd/0]
10 0 0 SW [cfg80211]
11 0 0 SW [rpciod/0]
12 0 0 SW [kswapd0]
13 0 0 SW [aio/0]
14 0 0 SW [nfsiod]
15 0 0 SW [crypto/0]
21 0 0 SW [mtdblockd]
60 0 1368 S xmldb -n wrgn49_dlob_dir600b -t
61 0 888 S servd -d schedule_off
177 0 852 S logd -p notice
178 0 828 S klogd -p notice
185 0 852 S gpiod
453 0 996 S /var/run/fakedns --port=63481 --address=/#/1.33.203.3
490 0 872 S ddnsd
502 0 832 S telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl
510 0 592 S init
693 0 0 SW [RtmpCmdQTask]
700 0 1008 S hostapd /var/servd/hostapd-ra0.conf
701 0 852 S updatewifistats -i ra0 -x /phyinf:3 -r /runtime/phyin
723 0 836 S portt -c DNAT.PORTT
1127 0 988 S udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
1656 0 852 S neaps -i br0 -c /var/run/neaps.conf
1665 0 828 S netbios -i br0 -r dlinkrouter
1666 0 844 S llmnresp -i br0 -r dlinkrouter
1683 0 1012 S udhcpd /var/servd/LAN-1-udhcpd.conf
1769 0 960 S lld2d -c /var/lld2d.conf br0 ra0
1853 0 1008 S proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
1944 0 984 S dnsmasq -C /var/servd/DNS.conf
1973 0 1508 S httpd -f /var/run/httpd.conf
4379 0 968 S /usr/sbin/phpcgi /htdocs/web/command.php
4380 0 692 S sh -c ps >> /var/cmd.result
4381 0 592 R ps
Aquí estoy especialmente preocupado por el servidor de teletrabajo (pid 502), las falsas (pid 453) y también la arrogancia de mi proveedor, que proporciona un enrutador que ya no está actualizado para las vulnerabilidades de seguridad y que me cobro el dinero por el alquiler de esa caja. para mi ...
Entonces, lo primero que se hizo fue eliminar todos los procesos sospechosos, pero, como se esperaba, después de reiniciar la máquina, todo estaba como antes, en funcionamiento. Revisé varios archivos de configuración estándar pero parecían normales ..
Así que mis preguntas son ahora: ¿mi enrutador está seriamente comprometido? ¿Es suficiente para evitar que esos procesos se inicien? ¿Me he perdido algo? También este "xmldb" (pid 60) me parece algo sospechoso.