web-dev-qa-db-ja.com

私のdlinkルーターが危険にさらされているようです

たまたま今日、私のルーターDlink DIR-600に関するこの巨大な脆弱性について読みました。 ( http://www.s3cur1ty.de/m1adv2013-0
私が見つけたものに対する好奇心から、いくつかのコマンドを送信しようとしましたが、それも最初の試みで機能しました。 lsifconfigのようなものは、それを見るのが面白かった... psコマンドを試し、以下を出力するまで:

PID USER       VSZ STAT COMMAND
    1 0          592 S    init                
    2 0            0 SW   [kthreadd]
    3 0            0 SW   [ksoftirqd/0]
    4 0            0 SW   [events/0]
    5 0            0 SW   [khelper]
    6 0            0 SW   [async/mgr]
    7 0            0 SW   [sync_supers]
    8 0            0 SW   [bdi-default]
    9 0            0 SW   [kblockd/0]
   10 0            0 SW   [cfg80211]
   11 0            0 SW   [rpciod/0]
   12 0            0 SW   [kswapd0]
   13 0            0 SW   [aio/0]
   14 0            0 SW   [nfsiod]
   15 0            0 SW   [crypto/0]
   21 0            0 SW   [mtdblockd]
   60 0         1368 S    xmldb -n wrgn49_dlob_dir600b -t 
   61 0          888 S    servd -d schedule_off 
  177 0          852 S    logd -p notice 
  178 0          828 S    klogd -p notice 
  185 0          852 S    gpiod 
  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  490 0          872 S    ddnsd 
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl      
  510 0          592 S    init                
  693 0            0 SW   [RtmpCmdQTask]
  700 0         1008 S    hostapd /var/servd/hostapd-ra0.conf 
  701 0          852 S    updatewifistats -i ra0 -x /phyinf:3 -r /runtime/phyin
  723 0          836 S    portt -c DNAT.PORTT 
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1656 0          852 S    neaps -i br0 -c /var/run/neaps.conf 
 1665 0          828 S    netbios -i br0 -r dlinkrouter 
 1666 0          844 S    llmnresp -i br0 -r dlinkrouter 
 1683 0         1012 S    udhcpd /var/servd/LAN-1-udhcpd.conf 
 1769 0          960 S    lld2d -c /var/lld2d.conf br0 ra0 
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 1973 0         1508 S    httpd -f /var/run/httpd.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result 
 4381 0          592 R    ps

ここで私は特にtelnetserver(pid 502)、fakedns(pid 453)、そして私のプロバイダーの生意気さについて心配しています。セキュリティの脆弱性のために更新されていないルーターを提供し、そのボックスを私に貸してくれました。 ..
最初にすべきことは、疑わしいプロセスをすべて強制終了することでしたが、予想どおり、マシンの再起動後、すべてが以前と同じように稼働しています。いくつかの標準設定ファイルを確認しましたが、正常に見えました。

だから私の質問は今です:私のルーターは深刻に侵害されていますか?これらのプロセスが起動しないようにするのに十分ですか?私は何か見落としてますか?また、この "xmldb"(pid 60)は、私には一種の疑わしいもののようです。

linuxdnsroutersystem-compromise
5
fab

Psを実行すると、出力は現在実行中のプロセスリストです。時々これはプロセスを開始するのに使用されるコマンドライン引数を含むプロセスをリストします。ここに、あなたの出力からのいくつかの危険なように見えるコマンドがあります:

  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl       
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result
  • fakedns があなたのすべてのDNSリクエストを1.33.203.3にポイントしているのがわかります。
  • Alphanetworksからの接続のみを受け入れるTelnet。
  • トラフィックが1.33.203.39にプロキシされているように見えます(-mフラグに関するドキュメントが見つかりません)。
  • 「command.php」という名前で実行されているphpページがあります。そのファイルのソースコードをチェックアウトすることをお勧めします。
  • 'ps'の出力がcmd.resultに追加されています(それはあなたであった可能性があります)。

関連する可能性のあるメモで、「proxyd -m」をGoogle検索すると this Gist が返されます。

これらのいずれかまたはすべてがフィッシングのように思われる場合は、デバイスを出荷時設定にリセットすることをお勧めします。デバイスに使用可能なパッチがない場合は、オープンソースファームウェア(OpenWRTなど)をロードして、ダウンロード時にイメージのハッシュを確認できるかどうかを確認してください。

2
KDEx