Как узнать домашний роутер заражен ли ботнет?
- Автор темы woxel
- Дата начала
- Регистрация
- 3 Апр 2006
- Сообщения
- 565
- Реакции
- 932
- Модер.
- #2
Зараза может проявляться по разному.
Если это подмена каких-то серверов, показ вам рекламы, то роутер будет просто подменять ип адреса этих серверов. может ип адреса рекламных сетей.
Можно попробовать сравнить резолвинг через роутер и через какойто сторонний сервер (но к нему надо подключиться защищённо, обычный dig/nslookup от вас через этот же роутер - не годится)
В таких случая надо просто обращать внимание на неожиданный контент... Но если рекламу не показывают, а подменяют только сайты отдельных крипто-бирж, обменок, то не заметите если не пользуетесь.
Другой случай, когда роутер часть ботнета, который когото ддосит. Тут у вас на выходе почти постоянно будет трафик кудато.
Проще всего проверить трафик от вас (tcpdump/wireshark-ом) подключившись свитчем с мониторинг портом между вашим WAN портом и кабелем к провайдеру.
Разумеется отфильтровав трафик только по вашему ип или МАК адресу.
Разумеется желательно при этом отключить все домашние устройства от роутера. И вайфай погасить.
Можно попросить админов провайдера это сделать на их стороне, кстати....
Длина пароля не важна. Ломают обычно не подбором паролей, а через уязвимости, дающие доступ без пароля в систему роутера, часто минуя админ доступ к интерфейсу управления роутером.
Да, часто можно просто перешить роутер на более новую или более старую прошивку (с дальнейшим обновленим) с полным сбросом, для очистки. Прошивку качать лучше мимио вашего роутера, а то адрес производителя могут быть недоступны.
PS: а лучше дайте старичку покой, поменяйте роутер на чтото современное. Благо сейчас есть недорогие Xiaomi которые умеют еще и в Openwrt (чтоб потом не было таких проблем)
Если это подмена каких-то серверов, показ вам рекламы, то роутер будет просто подменять ип адреса этих серверов. может ип адреса рекламных сетей.
Можно попробовать сравнить резолвинг через роутер и через какойто сторонний сервер (но к нему надо подключиться защищённо, обычный dig/nslookup от вас через этот же роутер - не годится)
В таких случая надо просто обращать внимание на неожиданный контент... Но если рекламу не показывают, а подменяют только сайты отдельных крипто-бирж, обменок, то не заметите если не пользуетесь.
Другой случай, когда роутер часть ботнета, который когото ддосит. Тут у вас на выходе почти постоянно будет трафик кудато.
Проще всего проверить трафик от вас (tcpdump/wireshark-ом) подключившись свитчем с мониторинг портом между вашим WAN портом и кабелем к провайдеру.
Разумеется отфильтровав трафик только по вашему ип или МАК адресу.
Разумеется желательно при этом отключить все домашние устройства от роутера. И вайфай погасить.
Можно попросить админов провайдера это сделать на их стороне, кстати....
Длина пароля не важна. Ломают обычно не подбором паролей, а через уязвимости, дающие доступ без пароля в систему роутера, часто минуя админ доступ к интерфейсу управления роутером.
Да, часто можно просто перешить роутер на более новую или более старую прошивку (с дальнейшим обновленим) с полным сбросом, для очистки. Прошивку качать лучше мимио вашего роутера, а то адрес производителя могут быть недоступны.
PS: а лучше дайте старичку покой, поменяйте роутер на чтото современное. Благо сейчас есть недорогие Xiaomi которые умеют еще и в Openwrt (чтоб потом не было таких проблем)