|
Włam na rt-ac68u
|
| jogu |
Dodano 29-03-2018 21:22
|
User
Posty: 21
Dołączył: 04/09/2017 19:39
|
Hej,
Przedstawie sytuację która mnie napotkała.
Wracam do domu po 2 tyg nieobecności (dodam, że mam public IP)
Loguje się na mojego asus (soft merlina w wersji 380.68_4) - patrze a tu menu po koreańsku.
Hmm dziwne.
Patrze dalej w logi (niestety logowanie na default ustawione tylko na komunikaty typu INFO) i takie wpisy:
Mar 22 19:29:26 httpd_login_lock: Detect abnormal logins at 5 times. The newest one was from 58.180.56.19 in login.
dalej
Mar 22 22:06:46 RT-AC68U: start httpd - SSL
dalej
Mar 28 21:28:55 ALERT_MAIL: AiProtection send mail
dalej
Mar 26 00:38:09 pptpd[32646]: MGR: initial packet length 5635 outside (0 - 220)
Mar 26 00:38:13 pptpd[32646]: MGR: dropped small initial connection
Mar 26 00:38:13 pptpd[24341]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 00:38:13 pptpd[24341]: CTRL: couldn't read packet header (exit)
Mar 26 00:38:13 pptpd[24341]: CTRL: CTRL read failed
Mar 26 06:10:00 pptpd[13499]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 06:10:00 pptpd[13499]: CTRL: couldn't read packet header (exit)
Mar 26 06:10:00 pptpd[13499]: CTRL: CTRL read failed
Mar 26 06:26:49 pptpd[14557]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 06:26:49 pptpd[14557]: CTRL: couldn't read packet header (exit)
Mar 26 06:26:49 pptpd[14557]: CTRL: CTRL read failed
|Cały log od 22.03 wygląda tak:
Mar 22 19:29:26 httpd_login_lock: Detect abnormal logins at 5 times. The newest one was from 58.180.56.19 in login.
Mar 22 22:06:43 kernel: klogd started: BusyBox v1.25.1 (2017-10-04 15:01:12 EDT)
Mar 22 22:06:43 start_nat_rules: apply the nat_rules(/tmp/nat_rules_ppp0_eth0)!
Mar 22 22:06:45 hour_monitor: daemon is starting
Mar 22 22:06:45 hour_monitor: daemon terminates
Mar 22 22:06:46 RT-AC68U: start httpd - SSL
Mar 22 22:06:46 RT-AC68U: start httpd
Mar 23 00:06:46 watchdog: restart httpd
Mar 23 00:06:46 rc_service: watchdog 492:notify_rc stop_httpd
Mar 23 00:06:46 rc_service: watchdog 492:notify_rc start_httpd
Mar 23 12:06:40 ntp: start NTP update
Mar 24 00:06:37 ntp: start NTP update
Mar 24 08:58:12 pptpd[32646]: MGR: initial packet length 18245 outside (0 - 220)
Mar 24 12:06:35 ntp: start NTP update
Mar 25 00:06:32 ntp: start NTP update
Mar 25 03:29:02 pptpd[32646]: MGR: initial packet length 18245 outside (0 - 220)
Mar 25 12:06:30 ntp: start NTP update
Mar 26 00:06:27 ntp: start NTP update
Mar 26 00:38:09 pptpd[32646]: MGR: initial packet length 5635 outside (0 - 220)
Mar 26 00:38:13 pptpd[32646]: MGR: dropped small initial connection
Mar 26 00:38:13 pptpd[24341]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 00:38:13 pptpd[24341]: CTRL: couldn't read packet header (exit)
Mar 26 00:38:13 pptpd[24341]: CTRL: CTRL read failed
Mar 26 06:10:00 pptpd[13499]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 06:10:00 pptpd[13499]: CTRL: couldn't read packet header (exit)
Mar 26 06:10:00 pptpd[13499]: CTRL: CTRL read failed
Mar 26 06:26:49 pptpd[14557]: CTRL: EOF or bad error reading ctrl packet length.
Mar 26 06:26:49 pptpd[14557]: CTRL: couldn't read packet header (exit)
Mar 26 06:26:49 pptpd[14557]: CTRL: CTRL read failed
Mar 26 12:06:24 ntp: start NTP update
Mar 27 00:06:22 ntp: start NTP update
Mar 27 12:06:19 ntp: start NTP update
Mar 28 00:06:17 ntp: start NTP update
Mar 28 12:06:14 ntp: start NTP update
Mar 28 19:44:47 rc_service: httpd 32710:notify_rc email_info
Mar 28 19:44:49 rc_service: httpd 32710:notify_rc email_info
Mar 28 19:44:51 rc_service: httpd 32710:notify_rc email_info
Mar 28 19:46:18 rc_service: httpd 32710:notify_rc restart_ddns
Mar 28 21:28:55 ALERT_MAIL: AiProtection send mail
Mar 29 00:06:12 ntp: start NTP update
-------------
Patrze w menu (juz po przestawieniu na EN)
i co zauważyłem:
1. VPN PPTP - Running
Założony user : i3444852
Hasło : p8354852
Enable DoS protection : NO (a było YES)
Web Interface : BOTH
Installed Server Certificate Issued to :
192.168.1.1
SAN :
192.168.1.1 router.asus.com RT-AC68U-60D0
Issued by :
192.168.1.1
Expires on :
2025/8/1
Pytanie o co kaman ?
Wygląda jakby ktoś wpuścił cert, zalogował się przez web, ustawił VPN i pozamatane z Merlinem.... |
| |
|
|
| Steel_Rat |
Dodano 29-03-2018 21:34
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Tu coś podobnego było w 2014
https://www.snbforums.com/threads/loo...ted.20675/
Może jakiś błąd nie załatany w VPN PPTP?
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| jogu |
Dodano 29-03-2018 21:47
|
User
Posty: 21
Dołączył: 04/09/2017 19:39
|
Dzieki Steel_Rat
Może bug może nie, ktoś jednak język w menu zmienił, bad attemps z logowaniem też były (adres IP 58.180.56.19 - sprawdziłem, że to koreański) przypadek ? Nie sądze.
Zmiany w ustawieniach też były i też nie sądze, że to przypadek.
Jestem deczko rozczarowany.
Hasło na bramkę mam mocne.
SSH , UPnP, Telnet - wszystko mam wyłączone.
A tu takie hocki, klocki... |
| |
|
|
| Steel_Rat |
Dodano 29-03-2018 22:09
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Jest taki fajny program w entware
"fwknopd"
Poczytaj sobie o nim. Może się przydać
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| qrs |
Dodano 30-03-2018 09:32
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
jogu, miałeś najnowsze tomato?
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| kille72 |
Dodano 30-03-2018 10:27
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Kolega pisze ze miał soft merlina w wersji 380.68_4. |
| |
|
|
| jogu |
Dodano 30-03-2018 11:49
|
User
Posty: 21
Dołączył: 04/09/2017 19:39
|
zobaczę, poduczę się, bo akurat z entware nie mam doświadczenia.
qrs, kille72
dokładnie, soft merlina 380.68_4
Prawdę mówiąc, po tej całej akcji to lekko zwątpiłem w bezpieczeństwo (Merlina?)
Nie jestem pewny czy klienta VPN nikt nie podłączył, ponieważ logowanie w merlinie było ustawione tylko na podstawowe komunikaty i nie wiem czy jest to logowane.
A wiadomo, że z VPN'em dla chcącego nic trudnego pogrzebać komuś na C: na windozie (bo akurat to używam) czy NAS'ie.
Wszystko już przekopałem i wykopałem w kosmos te 'czyjeś' modyfikacje...
Niemniej jednak sprawdzać co parę dni czy ktoś mi nie kopał na bramce to trochę słaba opcja..
Co myślicie ? |
| |
|
|
| kille72 |
Dodano 30-03-2018 11:51
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Jaka masz wersje tego AC68U, A1,A2,B1...? |
| |
|
|
| jogu |
Dodano 30-03-2018 11:58
|
User
Posty: 21
Dołączył: 04/09/2017 19:39
|
na 99% A1
Ale sprawdzę jak będę go miał w zasięgu ręki wieczorem.
Myślisz, że włam przez dziurawy procek broadcoma ? |
| |
|
|
| kille72 |
Dodano 30-03-2018 12:03
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Nie myślę. Nie miałeś najnowszej wersji softu i myślę ze jakas paczka była dziurawa. Jakie dokładnie usługi miałeś wystawione na świat i jak miałeś, to używasz skomplikowanych haseł? |
| |
|
|
| grz3si3k |
Dodano 30-03-2018 12:25
|
Super User
Posty: 630
Dołączył: 28/06/2008 17:19
|
Myślę że na logikę, powinieneś wrócić do OFW.
Tych ataków jest sporo, mój screen z AiProtection ASUSA na OFW z kilku godzin, też z publicznym IP:
RT-AC68U
|
| |
|
|
| jogu |
Dodano 30-03-2018 12:45
|
User
Posty: 21
Dołączył: 04/09/2017 19:39
|
Cytat kille72 napisał(a):
Nie myślę. Nie miałeś najnowszej wersji softu i myślę ze jakas paczka była dziurawa. Jakie dokładnie usługi miałeś wystawione na świat i jak miałeś, to używasz skomplikowanych haseł?
Jedynie co miałem to 2 porty przekierowane na NAS'a
pierwszy to webpanel NAS'a, a drugi to standardowy FTP również na NASie.
Hasła zawsze skomplikowane.
Dodam tylko, że NAS przez ten czas był wyłączony.
grz3si3k, AiProtection tez jest na Merlinie (którego miałem włączonego), z tego co sie orientuje (ale może mylnie) to Merlin opiera sie na OFW + jego dodatki, wspomniane przez kille72 paczki..
O chęci jego zareagowana świadczy choćby wpis z loga:
Mar 28 21:28:55 ALERT_MAIL: AiProtection send mail
A że klienta poczty nie mam tam ustawionego, to nic nie wyszło. |
| |
|
|
| OpenDM |
Dodano 21-05-2019 22:45
|
User
Posty: 69
Dołączył: 17/11/2016 18:19
|
1. Ile maksymalnie znaków można ustawić pod hasło dostępu do Asusa?
2. Czy jest sens uruchamiania AiProtection przy Linuxie? (btw to jest wersja shareware!!)
3. Czy ta zagadka jakim sposobem się koreańczyk podpiął do jogu sprzęta jest rozwiązana?
Edytowany przez OpenDM dnia 21-05-2019 22:55
Asus RT-AC68U; A1 ---> Merlin FV 384.12
|
| |
|
|
| burritos |
Dodano 08-12-2019 01:38
|
User
Posty: 38
Dołączył: 26/12/2006 23:10
|
Jakiś czas zakupiłem RT-AC68U i działam na sofcie Merlina ver 384.13.
Uruchomione mam AiProtection - które podejrzanie milczy :/
Przez ostatnie 4 lata używałem RT-AC56U ale z racji faktu, że Merlin zakończył softy na wersji 384.6 postanowiłem zmienić platformę.
Co dziwne przed zmiana z racji tego, że mam zewnętrzne IP mój AiProtection średnio dziennie łapał z 3-5 wpisów. Na RT-AC68U totalna cisza....czy to nie podejrzane ?
Parę dni temu zrobiłem podmiankę na RT-AC56U i znów łapie wpisy w AiProtection. Co Wy na to ?? Czy RT-AC68U z Merlinem ma problemy ?
Planuje wrócić z RT-AC68U do OFW i zobaczę czy coś złapie w AiProtection.
better to be someone for a day, than no-one for a lifetime
|
| |
|
|
| grz3si3k |
Dodano 09-12-2019 19:56
|
Super User
Posty: 630
Dołączył: 28/06/2008 17:19
|
@burritos, było info na stronie asusa, żeby VPN`a "wypuszczać" na portach innych niż standardowe. Na standardowym jest w cholerę ataków na usługę...
* Przy konfiguracji portu OpenVPN zalecane jest przypisanie portu z zakresu od 1025 do 65535, zamiast domyślnego portu 1194 w celu uniknięcia ataków ze skanowaniem portów.
RT-AC68U
|
| |
|
|
| burritos |
Dodano 09-12-2019 23:47
|
User
Posty: 38
Dołączył: 26/12/2006 23:10
|
@grz3si3k
celowo postawilem honeypot zeby AiProtection cos zlapalo..... i nadal cisza...
za to w logach pare nieudanych prob ustanowienia VPN. Dziwne prawdzasz.
better to be someone for a day, than no-one for a lifetime
|
| |
|
' target='_blank'>Link
