Недавно в одной организации упал инет, начал разбираться в чем дело, оказалось что в настройках DHCP, в роутере изменились настройки DNS сервера и разделения по портам. Кроме меня сделать это никто не мог. Ладно, думаю...может я что менял, да забыл. Вернул как было. Сегодня опять та же история, настройк и DHCP изменены. Начал гуглить, наткнулся на такую статью: http://habrahabr.ru/company/eset/blog/218655/
У меня как раз железка из списка TD-8840T. Такой вопрос: поможет ли перепрошивка и как найти засранца, ведь получается он сидит на одном из компов.

| Сообщение посчитали полезным:

Как вариант-следи за сканом сети. Видимо, роутер комп через скан нашёл.
Если верить статье, уязвимостей нет, только брут пасса, нечего было дефолтный оставлять.
Для чего шить роутер, смени записи обратно и всё, сам роутер не заражается.

| Сообщение посчитали полезным:

Archer пишет:
только брут пасса, нечего было дефолтный оставлять
пасс не дефолтный, но был сохранен на одном/двух компьютерах в браузере.

Archer пишет:
Для чего шить роутер, непонятно, смени записи обратно и всё, сам роутер не заражается.
Я уже менял записи, но они примерно через 7 дней снова изменились на левые. Вариант, что это делает кто-то другой отпадает, т.к. пароль был изменен мной в первый раз, но по-видимому зараза уже в железке.

p.s.: раньше был инструмент, который перепрошивал 8817 и делал из него socks5 прокси с отстуком своего Ip, думаю здесь нечно подобное.

| Сообщение посчитали полезным:

TryAga1n


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, что тебя так веселит?

| Сообщение посчитали полезным:

TryAga1n пишет:
Я уже менял записи, но они примерно через 7 дней снова изменились на левые. Вариант, что это делает кто-то другой отпадает, т.к. пароль был изменен мной в первый раз, но по-видимому зараза уже в железке.

Можно попробовать кипячение, только не менее 25-40 минут. Это гарантировано убьёт все вирусы.

--> Link <--

Приходит ко мне в отдел программист (якобы программист) с филиала нашего из какого-то поселка. И начинает рассказывать про свою нелегкую жизнь на работе:
ОН: У меня на компе вирусов было тьма..
Я: Ну, снес бы все и антивирь какой-нить поставил, чтоб в будущем их не было!
ОН: Да я сносил, а они (вирусы) в шлейфах сидят! А потом опять размножаются! .. Но я все равно выкрутился!
Я (сползая пацтол): .. как?
ОН: А я шлейфы прокипятил и все!
Я: o_0

-----
http://ntinfo.biz

| Сообщение посчитали полезным: DenCoder

TryAga1n пишет:
в роутере изменились настройки DNS сервера и разделения по портам
изменилась в какую сторону? может они в дефолтовые сбрасываются

| Сообщение посчитали полезным:

TryAga1n
Есть такая проблема.
По роду своей деятельности я зафиксировал минимум 5 таких инцидентов у разных клиентов и пароль был не дефолтный. Жертва TP-Link TD-W8951ND (в старом корпусе как Ваш, но с антенной)
Это явный эксплоит и прошибает из внешнего мира (у этого провайдера динамический, но белый IP)
Только исправлю, через несколько дней опять, новой прошивки не выходило давно. Решил просто: Включил DMZ и все входящие соединения перенаправляются на указанный IP в локалке. После этого больше не вызывали.

p.s.
мало того, кроме DNS они меняли и подсеть роутера было 192.168.1.X а стало например 192.168.42.X


------------------------------
2 spinz,
>подсеть менять вообще смысла нет
Я думаю это сделали для того чтобы усложнить юзерам лечение, не все догадаются сделать reset устройству. Или усложнить исследователям извлечение информации о их деятельности в роутере. А так как у большинства IP адрес раздаётся по DHCP, они и не заметят. В моём случае у людей адреса были прописаны вручную, всё перестало работать, по этой причине и вызвали.

>так а чо было изменено то в днс?
Скорее всего охотятся за кредитками, подсовывают своих фейковые сайты вместо популярных магазинов\банков и прочего.
В одном из случаев они подмешивали свою рекламу во все страницы, которая не резалась ничем.

-----
AutoIt

| Сообщение посчитали полезным: TryAga1n

так а чо было изменено то в днс? гугль стал резолвиться на "майхакерсайт.ком"? по изменениям в днс можно понять вектор атаки. Я очень не уверен, что это атака ))

Добавлено спустя 11 минут
OLEGator пишет:
мало того, кроме DNS они меняли и подсеть роутера было 192.168.1.X а стало например 192.168.42.X
подсеть менять вообще смысла нет. из локалки после этого с огромной долей вероятности с кучи хостов не будет инета, значит сбегутся админы и поднимется шорох.

| Сообщение посчитали полезным:

reversecode пишет:
изменилась в какую сторону? может они в дефолтовые сбрасываются
дефолтные значения пустые, не на дефолтные

spinz пишет:
так а чо было изменено то в днс? гугль стал резолвиться на "майхакерсайт.ком"?
Что-то в этом роде, но точно сказать не могу, т.к. эксперименты не проводил

OLEGator пишет:
Решил просто: Включил DMZ и все входящие соединения перенаправляются на указанный IP в локалке. После этого больше не вызывали.
Большое спасибо за совет, обязательно попробую

| Сообщение посчитали полезным:

TryAga1n пишет:
Что-то в этом роде, но точно сказать не могу, т.к. эксперименты не проводил
Это грешно. У тебя в локалке трипер или кто-то сильно умный, ну или не в локалке, а снаружи пробили - надож рыть, а не дыпы затыкать. Если твою жену кто-то трахнет левый, ты ей влагалище зашьешь или попытаешься найти левого? ))

| Сообщение посчитали полезным:

spinz, в локалке умных нету, инфа сотка. Все на уровне "у меня процессор не включается". А по поводу снаружи, ну да, есть уязвимость и что? Давай уже дельные советы, а не разводи демагогию. Есть что предложить? Буду рад выслушать.

| Сообщение посчитали полезным:

Чо тут предложить. Смени роутер и не парься

| Сообщение посчитали полезным: ClockMan, hors

Понятно, еще один клоун с очень "смищными" шутками. А на деле ничего сказать не можешь. Тема себя исчерпала

| Сообщение посчитали полезным: