Подобные кибератаки на роутеры наблюдались еще с 2012 г., однако, в связи со значительным увеличением количества работающих роутеров в последнее время, риск их компрометации резко возрастает. Учитывая, что многие из них до сих пор поставляются со стандартными паролями, можно лишь предполагать какой огромной можно создать бот-сеть из таких устройств.
Вполне вероятно, что существуют различные группы злоумышленников, осуществляющие такие атаки. Тем не менее, способы атаки остаются прежними: они либо используют открытый доступ к маршрутизаторам из-за слабой аутентификации (имя пользователя и пароль по умолчанию) или уязвимости в их прошивках.
В такой схеме атак злоумышленников интересует изменение конфигурации DNS, установка бэкдора для возможного удаленного управления роутером путем доступа к нему по его публичному IP-адресу, а также установка для него стандартного пароля с целью облегчить последующий доступ атакующим к самому устройству.
Наблюдаемые нами атаки были результатом перенаправления пользователя с вредоносной страницы или рекламной сети на веб-страницу злоумышленников, на которой размещается вредоносный скрипт. После этого скрипт пытается использовать предопределенные комбинации имени пользователя и пароля на локальном IP-адресе для конкретных типов маршрутизаторов. Пользователи скомпрометированных роутеров в основном работают на веб-браузерах Firefox, Chrome или Opera. В таком случае веб-браузер Internet Explorer является более безопасным из-за того, что он не поддерживает нотацию «username:password@server», используемую скриптами злоумышленников. См. здесь.
Злоумышленники используют атаку Cross-Site Request Forgery (CSRF) и атрибут style для инициирования атаки. В одном конкретном случае мы наблюдали атаку, которая была нацелена на конкретный модем бразильского провайдера, который поставляется со следующими учетными данными по умолчанию «Admin: gvt12345»:
Что приводит к обмену следующими запросами.
Другие злоумышленники получали доступ к роутеру через его внешний IP-адрес.
По нему располагаются дальнейшие инструкции по «обновлению» следующей веб-страницы. Внешний IP-адрес роутера виден на этих страницах ниже.
В другом сценарии атаки, злоумышленники используют протокол IPv6 и элемент IFRAME. При этом они применяют обфускацию текста запросов, что сбивает с толку не только аналитиков, но и систему обнаружения вторжений (IDS).
Это приводит к генерации следующего трафика в Chrome.
Еще одни злоумышленники скрывают свои скрипты с использованием AngularJS — специального фреймворка JavaScript. Они используют его плагины для шифрования и отображения фальшивой веб-страницы. Авторы разработали свой собственный плагин, который специализируется на загрузке конфигурационных файлов, основанный на их предположении о роутере, обмене ключами, расшифровке конфигурации и его исполнении.
Ниже представлена часть исходных текстов AngularJS.
На скриншоте взаимодействия ниже, запрос GET /api/lockLinkss отвечает за загрузку конфигурационного файла.
Ниже представлена часть расшифрованного файла конфигурации.
Начиная с сентября, ежедневное количество жертв таких атак достигло цифры в 1,800, причем большинство из них приходилось на Бразилию. Значительная часть этих DNS-адресов были активными. Тем не менее, некоторые из них не работали вообще, либо отображали стандартную приветственную веб-страницу. Несмотря на то, что трудно найти именно те веб-страницы, которые злоумышленники пытались использовать для подмены, нам удалось обнаружить их.
В случае трансляции DNS по следующим адресам, нижеприведенные веб-страницы оказываются подменены.
banco.bradesco
142.4.201.184
166.62.39.18
167.114.109.18
167.114.7.109
185.125.4.181
185.125.4.196
185.125.4.244
185.125.4.249
185.125.4.250
185.125.4.251
216.245.222.105
45.62.205.34
63.143.36.91
64.71.75.140
74.63.196.126
74.63.251.102
santander.com.br
158.69.213.186
linkedin.com
198.23.201.234
Ниже представлен скриншот оригинального веб-сайта banco.bradesco, который был взят 2016-08-31.
В случае использования вышеприведенного DNS, веб-страница banco.bradesco была заменена одним PNG изображением, при этом только поля ввода имени пользователя и пароля остаются рабочими.
Ниже представлен скриншот фишинговой веб-страницы по состоянию на 2016-08-30 (DNS 142.4.201.184).
Другой фишинговый сайт напоминает свою легитимную версию вполне правдиво. IP-адрес 23.3.13.59 является легитимным IP-адресом банка. Настоящий сайт «www.banco.bradesco.com.br» перенаправляется на «banco.bradesco», который также принадлежит банку, но его IP принадлежит уже злоумышленникам.
Ниже представлен скриншот этой фишинговой веб-страницы по состоянию на 2016-08-31 (DNS 185.125.4.181). Также обратите внимание на то, что отсутствует favicon.ico, а флажок «запомнить меня» и кнопка «OK» поменялись местами.
Заключение
Вне зависимости от того, какую цель преследуют злоумышленники компрометацией роутера, т. е. заинтересованы ли они в организации простого фишинга или бэкдора для управления роутером, смысл остается один и заключается он в использовании слабых паролей учетных записей для доступа к роутеру. Кроме этого, злоумышленники могут использовать существующие многочисленные уязвимые типы роутеров. Такие уязвимости описаны по следующим ссылкам здесь и здесь. Тем не менее, наиболее распространенной целью злоумышленников при компрометации роутеров остается возможность подмены DNS.
Безопасность роутеров приобретает все большее значение и организация фишинга злоумышленниками не единственная причина этому. Имея доступ к роутеру, злоумышленники могут успешно войти в домашнюю сеть и проверить ее на присутствие там других подключенных устройств. От умных телевизоров Smart TV до системы управления домом и умных холодильников. Существует множество IoT-устройств, которые могут быть подключены к роутеру и входить в домашнюю сеть.
Кроме этого, сами IoT-устройства также могут быть уязвимы из-за установленных известных или слабых паролей. Пользователь может забыть изменить пароль, либо установить на устройство слабый пароль, подвергая устройство дополнительному риску.
Рекомендации
Следующие рекомендации помогут вам не стать жертвой подобных атак.
- Измените ваш стандартный пароль роутера на более надежный.
- Проверьте следующие настройки роутера: для страницы настроек DNS оптимальным выбором является 8.8.8.8 или 8.8.4.4, в противном случае следует обратиться за значением к своему провайдеру; отключите настройку удаленного управления роутером.
- Проверьте наличие обновления для прошивки своего роутера.
- Попробуйте поискать информацию о модели вашего роутера и присутствующих в нем уязвимостей.
- Обратитесь к своему провайдеру за обновлением прошивки роутера или его замены.
- Используйте плагин блокировки скриптов NoScript с включенной функцией ABE (Application Boundary Enforcer) в веб-браузере.
- Регулярно проверяйте свой роутер на присутствием в нем уязвимостей.
Комментарии (14)
qwerty1023
28.10.2016 16:40Когда я в своем роутере дописал логирование неудачных заходов в веб-интерфейс, года 3 назад, попытки подбора пароля случались очень редко, раз в неделю-две. И при переборе использовалось довольно мало логин-паролей (в основном самые стандартные типа admin:admin да admin:1234). Сейчас же такое случается минимум по 2-3 раза в день и это уже куча (20-50 комбинаций) попыток!
напримерOct 28 12:16:02 goahead[1226]: Access Denied — Requires User ID from 185.25.148.240:Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0
Oct 28 12:16:52 goahead[1226]: Access Denied — Requires User ID from 185.49.14.190:Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0
Oct 28 15:18:09 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:09 goahead[1226]: Access Denied — Requires Password from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:09 goahead[1226]: Access Denied — Wrong Password: admin-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:09 goahead[1226]: Access Denied — Wrong Password: admin-1234 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:10 goahead[1226]: Access Denied — Wrong Password: admin-password from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: Admin-Admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:10 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: root- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: root-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-root from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-public from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:11 goahead[1226]: Access Denied — Wrong Password: admin-nimda from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:11 goahead[1226]: Access Denied — Wrong Password: admin-adminadmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:12 goahead[1226]: Access Denied — Wrong Password: admin-gfhjkm from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:12 goahead[1226]: Access Denied — Wrong Password: admin-airlive from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:12 goahead[1226]: Access Denied — Unknown User: airlive-airlive from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:12 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:13 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: support- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: support-support from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: super-super from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: super-APR@xuniL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-APR@xuniL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-zxcvbnm,./ from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:14 goahead[1226]: Access Denied — Wrong Password: admin-onlime from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-asong from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:14 goahead[1226]: Access Denied — Wrong Password: admin-mts from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: mts-mts from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: telecomadmin-admintelecom from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: mgts-mtsoao from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:15 goahead[1226]: Access Denied — Wrong Password: admin-Uq-4GIt3M from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:15 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:16 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: kyivstar-kyivstar from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:16 goahead[1226]: Access Denied — Wrong Password: admin-0508780503 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: telekom-telekom from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: superadmin-Is$uper@dmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-dPZb4GJTu9 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-2w4f6n8k from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-szt from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-radmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-RTadmin1979 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-RTadmin1979 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:18 goahead[1226]: Access Denied — Unknown User: engineer-amplifier from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-123 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-0000 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-00000000 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-12345 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-123456 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-1234567 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-12345678 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-123456789 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-1234567890 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-qwerty from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-beeline from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-beeline from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-beeline2013 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-iyeh from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-ghbdtn from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-admin225 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-rombik1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-ho4uku6at from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-juklop from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-free from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-inet from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-internet from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-asus from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-root from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-ADMIN from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adsl from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adslroot from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adsladmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-Ferum from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-Ferrum from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-FERUM from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-FERRUM from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-Kendalf9 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-263297 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-590152 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-21232 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-adn8pzszk from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-amvqnekk from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-biyshs9eq from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-e2b81d_1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-e2b81d_1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-Dkdk8e89 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-flvbyctnb from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-qweasdOP from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-EbS2P8 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-FhF8WS from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo2 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo3 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo4 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoVPN from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoSIP from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN2 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN3 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN4 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-9f4r5r79// from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:32 goahead[1226]: Access Denied — Wrong Password: admin-airocon from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:32 goahead[1226]: Access Denied — Wrong Password: admin-zyxel from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:32 goahead[1226]: Access Denied — Unknown User: adsl-realtek from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:32 goahead[1226]: Access Denied — Unknown User: osteam-5up from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:33 goahead[1226]: Access Denied — Unknown User: root-toor from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:33 goahead[1226]: Access Denied — Unknown User: ZXDSL-ZXDSL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:33 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:34 goahead[1226]: Access Denied — Unknown User: Cisco-Cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:34 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:34 goahead[1226]: Access Denied — Unknown User: cisco-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:35 goahead[1226]: Access Denied — Unknown User: cisco-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-default from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-changeme from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:35 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:36 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: enable-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: pnadmin-pnadmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: root-attack from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: root-Cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:38 goahead[1226]: Access Denied — Unknown User: user- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:38 goahead[1226]: Access Denied — Unknown User: user-user from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 15:18:38 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Oct 28 16:18:14 goahead[1226]: Access Denied — Requires User ID from 163.172.67.30:curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
mazahakajay
28.10.2016 23:39Такая же проблема возникла, но где-то год назад. На роутере имеется встроенная защита («называется защита от сканирования портов и атак DoS», по умолчанию включена), пришлось отключить иначе скорость проседала раза в 3. Видать не справляется желека (
altai2013
28.10.2016 18:06-1Разве авторизация в маршрутизаторе не выключена по умолчанию на WAN-порту? IPv6, вроде бы, тоже отключается производителями в заводских настройках. Если это так, то трудно понять, что делает атаки маршрутизаторов столь популярными.
Germanets
29.10.2016 10:09Как я понимаю, ещё одним вариантом защиты от такой атаки может быть смена IP-адреса роутера на отличный от стандартных, по которым и идёт перебор в коде страницы.
alcohollica
30.10.2016 09:52Зачем?
В абсолютном большинстве случаев ip роутера — это default gateway.
Неужели этот адрес из кода страницы не выцепить?
handicraftsman
`8.8.8.8` — не собираюсь я свою историю посещений гуглу передавать!
xwild
А кому ее лучше передать?
AngelNet
если бы только историю посещений.
я давно обнаружил, что при использовании паблик днс-ов корпорации добра некоторые «нелегитимные» сайты становятся недоступны.
в основном это варез и пиратские фильмы. т.е. гугл решает за нас, что нам смотреть, а что нет и это помимо цензуры роскомпозора.
— вобщем только «свои» днс и никаких халявных «плюшек».
Teomit
Можете привести пример? Хотелось бы сравнить с результатом для серверов от своего провайдера и от OpenNIC.
mazahakajay
Кого посоветуете?
dartraiden
Я себе выбрал пару серверов от сообщества OpenNIC. Можно выбрать ближайшие, а можно и по другим параметрам (по отсутствию логов, например). Все серверы предоставлены добровольцами.
Либо поднять DNSCrypt (на роутере или локально). Там тоже серверы на любой вкус: от компаний (OpenDNS, Yandex) до обычных энтузиастов.