woensdag, maart 25, 2009

Botnet hackt 80.000+ routers

De voorbije 48h was het Psyb0t virus weer zeer actueel. Het virus werd eind 2008 voor het eerst gesignaleerd door Terry Baume. In totaal bleken meer dan 30 verschillende Linksys, 10 Netgear en 15 andere kabel en DSL modems.
DroneBL rapporteerde alvast dat alleen de volgende geinfecteerd kunnen worden:
* Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
* Your device also has telnet, SSH or web-based interfaces available to the WAN, and
* Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

Gelukkig zijn alle Fonera gebaseerd op MIPS (Big Endian) en niet op MIPSEL, luisteren ze niet op Telnet/SSH/Web langs de WAN (tenzij je dit manueel insteld op freewlan, francofon, fon-ng); en kies je zelf je paswoord (sinds FON-NG v 2.2.4.0 is dit het eerste dat gevraagd wordt om te wijzigen)

-> KORTOM FON IS NIET GEINFECTEERD, ook al draait het op OpenWrt.

We staan natuurlijk open voor een plugin die SSH userlogins wijzigd door RSA >2048 key-certificate logins.

DD-Wrt gebruikers zijn ook druk bezig te zien of ze schade leden onder dit virus. In tussentijd heeft de programmeur van het virus zijn onderzoek gestaakt en zijn er geen nieuwe infecties meer gepleegd. Zijn 80.000 infecties beschouwde hij als mijlpaal zeer succesvol.

Vele sites/helpdesks gaven aan om de reset toets uit te voeren als oplossing... maar hierdoor werd je paswoord terug op default gezet... en www/telnet toegang stonden op dit soort toestellen standaard aan... dus je werd binnen de kortste keren WEER geinfecteerd.... Gelukkig hadden de meeste ISP's een uptodate firmware die deze vulnerability niet meer hadden...

Posted by Steven Leeman on Events
# Permalink | Comments (0) | TrackBacks (0)

 

Trackback Pings

TrackBack URL to this entry:
http://web.fon.com/backend_blogs/mt-tb.cgi/4375


Comments | Write your comment



Write your comment




Remember Me?:




Recent posts