Estoy tratando de asegurar el enrutador doméstico (DIR-655 h / w versión B1) de un miembro de la familia y quiero asegurarme de que no esté comprometido. Lo instalé hace algunos años, pero no tuve acceso a él hasta hace poco.
Ha estado funcionando bien para ellos y no hay historial ni signos de malware en ninguno de los dispositivos (1 máquina Windows, 2 Mac y un par de iPads y iPhones), pero el firmware no se ha actualizado en todos esta vez y estaba más de 3 años desactualizado (la última versión es 2.11 del 14/8/2013) hasta que la actualicé. Además, se habilitó UPnP, y creo que este modelo tenía una vulnerabilidad relacionada con eso.
¿Cuáles son las mejores maneras de saber si el enrutador ha sido pirateado? ¿Cómo puedo obtener acceso al shell de root como la persona que pregunta esta pregunta ¿lo hizo para que pueda verificar algunas de las mismas señales de advertencia?
Estas entradas de registro llamaron mi atención, pero también podrían ser perfectamente normales:
HTTP listening on port 65530 <-- I know it needs a web server, but shouldn't that be listening on port 80?
read /var/tmp/hosts - 1 addresses
read /etc/hosts - 2 addresses
compile time options: IPv6 GNU-getopt no-MMU ISC-leasefile no-DOCTOR no-NOWILD no-DBus no-I18N TFTP
[ 37.400000] --- End Trap ---
[ 37.400000] CALL && CALLI on stack:
[ 37.400000] User Stack (fdpic):
[ 37.400000] Starting backtrace: PID 841 'miniupnpd'
[ 26.130000] br0: topology change detected, propagating
[ 23.820000] device ath0 entered promiscuous mode
[ 3.890000] All bugs added by David S. Miller '[email protected]'
[ 3.850000] 6 cmdlinepart partitions found on MTD device ubicom32_boot_flash
[ 3.730000] Serial: Ubicom32 mailbox serial driver. <-- There are no serial devices attached
[ 0.220000] SCSI subsystem initialized <-- SCSI? On a router?
PS Si hago un restablecimiento de fábrica en él, ¿eso garantizaría que el enrutador esté limpio?