[c&p]Acaba de aparecer información sobre una red de zombies compuesta por routers DSL infectados. Éstos routers ejecutan Linux sobre procesadores MIPS. El nombre del gusano causante de la infección es psyb0t. Éste contiene varios shellcodes de Linux/MIPS, técnicas para buscar contraseñas por fuerza bruta, buscar usuarios y password a través de inspecciones de los protocolos y por último localizar servidores MySQL y phpMyAdmin vulnerables
Parece ser que serían vulnerables los dispositivos que usan OpenWRT o DD-WRT como los clásicos Linksys WRT54G. Aquí una lista un poco más completa de routers que usan este firmware: http://es.wikipedia.org/wiki/DD-WRT
Eso no quita que es totalmente recomendable para todo el mundo seguir las instrucciones que pone en el link para securizar un poco la conexión de casa. Las repito aquí porque nunca se dirán suficientes veces:
- Cambiar las contraseñas de acceso por defecto.
- Configurar el router para que sólo admita conexiones de control (web, ssh, telnet, snmp o ftp) a través de la interfaz interna o lan.
- Mantener el firmware del router actualizado.
- Desactivar servicios que no se utilicen.
- En caso de usar WIFI, asegurarse estar usando WPA-PSK o WPA-PSK2 para securizar las mismas, cambiando cada cierto tiempo las mismas.
Any further telnet/ssh connection attempts are rejected
Connection to a private IRC server established with a random nickname
Joins pre-determined IRC channel to receive commands
Por el momento parece que está latente y a la espera de capturar un número suficiente de 'zombies', sin que se hayan interceptado órdenes dirigidas a los routers de la botnet.
Comentarios
¿Y cuándo los encuentra que hace?
Según indica el autor en la bitácora, vía Slashdot:
http://it.slashdot.org/article.pl?sid=09/03/23/2257252
Parece ser que serían vulnerables los dispositivos que usan OpenWRT o DD-WRT como los clásicos Linksys WRT54G. Aquí una lista un poco más completa de routers que usan este firmware:
http://es.wikipedia.org/wiki/DD-WRT
Eso no quita que es totalmente recomendable para todo el mundo seguir las instrucciones que pone en el link para securizar un poco la conexión de casa. Las repito aquí porque nunca se dirán suficientes veces:
- Cambiar las contraseñas de acceso por defecto.
- Configurar el router para que sólo admita conexiones de control (web, ssh, telnet, snmp o ftp) a través de la interfaz interna o lan.
- Mantener el firmware del router actualizado.
- Desactivar servicios que no se utilicen.
- En caso de usar WIFI, asegurarse estar usando WPA-PSK o WPA-PSK2 para securizar las mismas, cambiando cada cierto tiempo las mismas.
#2 Según pone en un PDF enlazado:
Custom binary is downloaded & executed
Y a partir de ahí:
Any further telnet/ssh connection attempts are rejected
Connection to a private IRC server established with a random nickname
Joins pre-determined IRC channel to receive commands
Por el momento parece que está latente y a la espera de capturar un número suficiente de 'zombies', sin que se hayan interceptado órdenes dirigidas a los routers de la botnet.
Muy interesante e importante la noticia, ya estaremos hablando en el sitio acerca de la advertencia
Saludoss
tioeze