|
|
[ newtesla @ 17.12.2012. 11:21 ] @
|
| Najnovije "narodne" verzije tika imaju skriven feature 
Code:
newtesla@fifth ~ $ dig crkodabogdatishtokasljesh.nema @172.16.0.41
; <<>> DiG 9.8.1-P1 <<>> crkodabogdatishtokasljesh.nema @172.16.0.41
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55319
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;crkodabogdatishtokasljesh.nema. IN A
;; ANSWER SECTION:
crkodabogdatishtokasljesh.nema. 60 IN A 218.93.250.18
;; Query time: 4 msec
;; SERVER: 172.16.0.41#53(172.16.0.41)
;; WHEN: Mon Dec 17 12:16:05 2012
;; MSG SIZE rcvd: 64
Code:
newtesla@fifth ~ $ dig nepostojim.com @172.16.0.41
; <<>> DiG 9.8.1-P1 <<>> nepostojim.com @172.16.0.41
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26212
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;nepostojim.com. IN A
;; ANSWER SECTION:
nepostojim.com. 60 IN A 218.93.250.18
;; Query time: 4 msec
;; SERVER: 172.16.0.41#53(172.16.0.41)
;; WHEN: Mon Dec 17 12:15:58 2012
;; MSG SIZE rcvd: 48
Code:inetnum: 218.90.0.0 - 218.94.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province
network descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088 country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-JS
mnt-routes:
maint-chinanet-js
changed: [email protected] 20020209
changed: [email protected] 20030306
status: ALLOCATED non-PORTABLE source: APNIC
Važi za verzije 5.18 i 5.20.
Buahahahhaa... dakle stvarno Kinezi 
edit: redirekcija ide posle na Code:
http://www.tao123.com/?5298_0598 |
[ anon115774 @ 17.12.2012. 14:46 ] @
Rizikovacu da ispadnem glup ali moram da pitam: sta su to narodne verzije?
[ rajco @ 17.12.2012. 15:04 ] @
Ne pratim tu scenu, ali biće da su to verzije o kojima se ne diskutuje ovde :)
[ bakara @ 17.12.2012. 16:24 ] @
Citat: Informer: Rizikovacu da ispadnem glup ali moram da pitam: sta su to narodne verzije?
To su krekovane verzije MT.
@newtesla
Daj objasni sta rade ove skripte, to je meni suvise napredno
[ mulaz @ 17.12.2012. 16:58 ] @
@bakara
Ako ti taj mikrotik koristi i kao DNS server, ako neko od usera ukuca neku nepostojecu adresu (recimo nepostojim.com), on (umesto greske) vraca neki kineski IP, na kome je neki kineski spam (i banneri,...).
[ newtesla @ 17.12.2012. 19:05 ] @
Citat: mulaz: @bakara
Ako ti taj mikrotik koristi i kao DNS server, ako neko od usera ukuca neku nepostojecu adresu (recimo nepostojim.com), on (umesto greske) vraca neki kineski IP, na kome je neki kineski spam (i banneri,...).
Baš tako 
Citat: bakara: To su krekovane verzije MT.
@newtesla
Daj objasni sta rade ove skripte, to je meni suvise napredno
Skripte su ustvari print iz terminala u linuksu, komanda dig [traženi domen] @[željeni dns server]
Slična komanda postoji i na vindozi, u pitanju je nslookup, ali ne znam sintaksu za nj. Komanda kojom pitaš određeni DNS za određeni domen da ti da IP adresu. Običaj je da se vrati NXDOMAIN - non-existent domain za domen koji ne postoji; e sad, beše OPenDNS baš radi ovo - hijack - ali prikazuje svoje neke reklamice; i baš zato ga i ne vole.
Što se mene tiče: IP redirect na moj server završava posao
===============
Nego, dve stvari:
-čija li je IP adresa, i
-da li je samo ovo skriveni feature, ili ih ima još?
Neka tvrdnja je da "narodna verzija" ima mogućnost da radi NV2 za wireless i na x86, dok u originalu to mogu samo RB mašine, ne i x86. Nisam testirao. [ anon115774 @ 18.12.2012. 08:06 ] @
Citat: newtesla: Slična komanda postoji i na vindozi, u pitanju je nslookup, ali ne znam sintaksu za nj.
Na windozi pokrenes nslookup.exe i onda prvo u njemu kucas:
Code:
server 10.0.0.1
Ovim si mu rekao da hoces da salje upit serveru 10.0.0.1. Zatim mu kazes:
Code:
set q=a
Ovim si mu rekao da hoces A recorde sa dns-a. I onda jednostavno samo upises domen koji zelis da ti dns pretvori u IP:
Code:
nepostojecidomen.tld
Odgovor bi trebao da izgleda nekako ovako ako je domen postojeci:
Code:
Server: dns-server.lokal
Address: 10.0.0.1
Name: domen-koji-postoji.lokal
Address: 10.0.10.12
A ako ne postoji onda izgleda ovako nekako:
Code:
> www.google.com
Server: dns-server.lokal
Address: 10.0.0.1
*** dns-server.lokal can't find www.google.com: Non-existent domain [ Predrag Supurovic @ 18.12.2012. 09:14 ] @
Citat: mulaz:
Ako ti taj mikrotik koristi i kao DNS server, ako neko od usera ukuca neku nepostojecu adresu (recimo nepostojim.com), on (umesto greske) vraca neki kineski IP, na kome je neki kineski spam (i banneri,...).
U stvari ne mora da se koristi kao DNS server, dovoljnoje da DNS upit prolazi kroz takav ruter i on ce da ga "zagadi".
[ BigFoot @ 18.12.2012. 09:34 ] @
I ja mislim. Svaki DNS request može da ide preko te IP adrese (kao proxy), a sad šta će oni da rade sa vašim upitima, njima je na volju. Npr. da sam pokvareni Kinez ja bih logovao svaki request, poneki preusmerio na fake stranice, krao lozinke, snimao prepiske...  [ Nickix9001 @ 18.12.2012. 10:30 ] @
Pa dobro, i to se lako sredjuje preko transparent web proxy...redirektujes ti njima na google.com :)
[ newtesla @ 18.12.2012. 11:01 ] @
Ma jok, dovoljno je
Code:
0 chain=dstnat action=dst-nat to-addresses=78.47.53.28
dst-address=218.93.250.18
[ Nickix9001 @ 18.12.2012. 11:23 ] @
a moze i drop :)
[ bachi @ 18.12.2012. 11:52 ] @
Ništa lepše od geek humora. :D
[ newtesla @ 18.12.2012. 14:21 ] @
^^Na kraju, fora uopšte nije loša: samo ako se redirektuje IP na sopstvenu, sa HTML-om na kome piše - Poštovani, ukucali ste nepostojeću adresu, molim proverite - dobija se jedan mnogo moćan feature za svaki ISP :D
Na kraju će da bude: Kinezi, fala ;)
[ bmarkovic06 @ 18.12.2012. 19:04 ] @
Veliko je pitanje da li je to jedini exploit...
[ Predrag Supurovic @ 18.12.2012. 19:20 ] @
Te zaobilaznice ce da rade samo ako se ispred malicioznog MT nalazi drugi, regularan, koji ce da blokira nepozeljne konekcije. Maliciozni MT ce uvek da zaobidje i firewal blokade.
A kao sto rece bmarkovic06, to je exploit koji se vidi a ko zna sta sve jos ima u njemu.
[ newtesla @ 18.12.2012. 19:34 ] @
Citat: Predrag Supurovic: Te zaobilaznice ce da rade samo ako se ispred malicioznog MT nalazi drugi, regularan, koji ce da blokira nepozeljne konekcije. Maliciozni MT ce uvek da zaobidje i firewal blokade.
A kao sto rece bmarkovic06, to je exploit koji se vidi a ko zna sta sve jos ima u njemu.
Nije, rade i ako se postave na maliciozni, kako ga zoveš ;) testirano.
A ovo da to verovatno nije jedini exploit: slažem se. [ burex @ 18.12.2012. 21:22 ] @
Keyword za sve one koji žele da koriste "narodnu" verziju bez dotičnog paketića u DNS-u: HunterTik
[ djricky @ 19.12.2012. 13:14 ] @
a za svaki slucaj i:
ip route 218.93.250.18 255.255.255.255 Null0
na border gateway routerima [ rajco @ 20.12.2012. 08:22 ] @
Ma najmanje je sporan ovaj exploit, lično nikad ne bi koristio ovakve verzije jer može biti dosta ozbiljnijih propusta. Ako nekog ne mrzi ko koristi to da snimi malo saobraćaj i vidi ima li nečeg neobičnog.
[ Aleksandar Đokić @ 20.12.2012. 10:07 ] @
A ako ima "neceg neobicnog" jednom mesecno :)?
[ newtesla @ 20.12.2012. 10:41 ] @
^^ ????
...znaš da ima, ili pitaš onako?
=====
Jedini exploit-i koji mi padaju na pamet je remote login bez zapisa u log-u, i eventualno neko korišćenje kao proksi.
[ whitie2004 @ 20.12.2012. 13:56 ] @
A nema ovde nista sto vec nema u 'narodnim verzijama' windovsa i antivirus programa .... Jedino su resursi ovde minimalisticki i treba se tome prilagoditi.
Licno, svejedno mi je i dali mi virtualnu masinu pokrece neki kinez iz Džakarte ili službenik u CIA-i ... kod mene nece nista nadju ....
Nekad me je mnogo nerviralo ono od ulaza u aerodrom do ulaza u avion. Pretresanje, skeniranje zagledanje, izuvanje ... ali naviknes se vremenom. Skroz normalno da me neko zagleda
[ Predrag Supurovic @ 20.12.2012. 14:52 ] @
Nek je vec malo razgledao tu hakovanu veryiju i prijavljeno je da je prilicno mutna: s vremena na vreme preuzima novi package sa nepoznatih izvora i instalira ih u MT. To prakticno znaci da moze da instalira sta god i da menja sopstveno opnasanje.
[ Aleksandar Đokić @ 20.12.2012. 18:08 ] @
Citat: ...znaš da ima, ili pitaš onako?
Pitam jer bih ja tako napravio, glupo je da stalno nesto salje ili prima.
Sumnjam da se ovde neko cima jer znam da ovde retko ko ima nelegalan Tik. Mislim da je Tik (RouterOS) procentualno najlegalniji softver, bar na ES-u. [ newtesla @ 21.12.2012. 00:00 ] @
Citat: Predrag Supurovic:
Nek je vec malo razgledao tu hakovanu veryiju i prijavljeno je da je prilicno mutna: s vremena na vreme preuzima novi package sa nepoznatih izvora i instalira ih u MT. To prakticno znaci da moze da instalira sta god i da menja sopstveno opnasanje.
To bi mogli baš da proverimo, razgledanjem "created datetime" parametra fajlova na kartici nekog tika: evo, ja bi baš mogao da ostavim virtuelnu mašinu da bleji neprekidno, pa da bacim pogled jednom, i da vidim promene. [ whitie2004 @ 21.12.2012. 08:17 ] @
Citat: s vremena na vreme preuzima novi package sa nepoznatih izvora i instalira ih u MT
Da, bas tako radi svaki kablovski ili adsl modem. Mozes da udjes u tabelu rutiranja i pogledas i odatkle ti tacno prilaze i azuriraju softver na modemu. No problemo! Sta mogu da urade? Neznam, ali znam sta po zakonu moraju da rade (videti na ratelu) i ni malo mi se ne svidja. Sto bi Asanž rekao, vise znaju o meni od mene.
Da spustimo na zemlju i tu pricu o kineskom hakeru. Adresa o kojoj je rec je zvanican srč endžin. Bas kao i oni americki i ovaj u sebi ima reklama i pracenje statistike poseta pojedinim sadrzajima, ali su 'mali deca' za gugletu. Kinezi imaju filtriranje sadrzaja prema guglu i bingu i preusmeravanje sadrzaja na neki od njihovih lokalnih pretrazivaca je stvar patriotizma pre nego hakovanje. Ni u jednom trenutku nije to skrivano, niti se to moze sakriti - time se ponose. Inace taj deo je disasembliran i pacovan. Ako imate svoj dns na domenu sve lepo radi i bez toga. Jednostavno iskljucis (zaobidjes) njihov dns iz price...
Poverenje u ovoga ili onoga je prica za sebe. Stvari ovako stoje. Osnova je juniks koji je otvoren kod i mozes videti svaku programsku liniju i videti dali i sta neki kod radi. Onda su dobri momci iz mikrotika prepravili par stvari u loaderu da bi prekontrolisali hardver i licence i to dobro zakukuljili i sakrili od ociju kontrole. Slede losi momci koji sa lajv cd-a kopiraju 2 originalna juniks fajla i pregaze ovu tikovu pamet. I to se, zamislite, zove hakovanje i krekovanje. Onda su opet na redu tikovci koji u odgovoru, nakon ucitavanja sistema vrse kontrolu dali je neko uradio tu zamenu i u tom trenutku zablokiraju mahinu. Stvar se ponovo komplikuje kad u celu pricu ubacite virtualne masine koje se uvuku izmedju operacionog sistema i hardvera. Pokusaj tikovaca da nadgledaju taj segment je vec precesto rezultirao bagovima u kodu .....
Nakon svega -> kome verovati? [ newtesla @ 21.12.2012. 10:54 ] @
^^I gde je sad minus za ovakvu poruku, prepunu grešaka????
Prvo, Linus je na osnovu Unix kernela napisao iz početka, od nule linux kernel; osnova Tika je Linux-2.6 (mislim da je ta verzija) kernel; jeste, zatvoren je kod, jer je tako odlučila kompanija, i uopšte nije retkost da zatvoren kod bude nešto što sjajno radi: ispravnost softvera nije vezana za Mozilla FOSS filozofiju; a modemi i ruteri koji rade baš to - update-ovanje sa mreže - rade to PO NALOGU VLASNIKA (huawei hg520 nije tvoj, kao ni Webstar 2100) a sve po preporuci PROIZVOĐAČA; i na kraju, reći za onaj tao123 sajt da je search engine - kad je očigledno da je u pitanju farma linkova - je krajnje neozbiljno.
Kupi TP-Link ruter u radnji, i promatraj godinama da li će nešto sam da skine sa mreže, sem dhcpd request-a.
I za kraj: bagovi u kodu su normalna stvar; razlika između dobre i loše kompanije je u spremnosti da bagove ispegla do kraja.
[ burex @ 21.12.2012. 12:12 ] @
Kernel je open source, naravno, i dostupan je.
Zbog toga ovaj tip iz HunterTika tvrdi da njegova alatka uklanja svo kinesko đubre odatle (pretpostavljam da je recompileovao vanilla Mikrotikov Linux kernel i ubacio par patchova za potrebe svog projekta, pa zamenio kineski). Ne verujem da laže, pošto HunterTik omogućava da se instalira Debian okruženje da radi u pozadini paralelno sa Mikrotikom, tako da zna čovek šta radi.
[ whitie2004 @ 21.12.2012. 13:10 ] @
Citat: I gde je sad minus za ovakvu poruku, prepunu grešaka????
Evo trazim neku gresku koju si ispravio i nadjoh samo tvoj stav o tom kineskom sajtu. Moze biti da si u pravu, pojma nemam kineski - ne znam za tebe. Preneo sam stav ljudi koji ga znaju ili im je maternji jezik. Ne pada mi napamet o tome da penim - nebitno.
To sto spominjes pravo vlasnika da nesto prcka po masini je dokaz da me nisi razumeo. Svo vreme pricam o tome imam li ja ili ti, poverenje u toga nekog koji vrsi izmene. Nebitno dali je to tik, sbb, telekom, gugle ili taj kinez. Svi oni traze da im adhok verujem. Samo juniks i ostali open programi mogu reci da su pouzdani i da im mogu verovati. Ubio sam se pokusavajuci da iskljucim dhcp na telekomovom modemu. Kad nestane struje on se prvi podigne, povampiri neku svoju definiciju i napravi Kosovo sa adresama. U telekomu mi kazu da taj modem nije bas za firme, imaju oni bolju stvar ... i to je odgovor!
Pricu o bagovima nemoj ovde. Ja i svi ovde sto citaju znamo kvalitet i znacaj tika. Ali ima ovde na forumu jedna tema o RB951 sa 110 priloga i storo 9000 pregleda. Idi tamo i napisi da su za tik bagovi normalna stvar. Za mene to vise nisu bagovi nego silovanje kupaca ...
Ova prica da je po preporuci proizvodjaca normalno da se apdejtuje sistem ako je vlasnik telekom, ali se ne preporucuje ako ga ti kupis u radnji ... [ Aleksandar Đokić @ 21.12.2012. 16:25 ] @
Znaci tvoj odgovor je da originalni RouterOS ne valja ali je zato perfektan ukoliko ga kineski hakeri izmene, interesantno.
Pitanje je da li dozvoljavas bilo kom hakeru da ti menja sistem na ruteru kako hoce i ubacuje sta hoce?
[ newtesla @ 21.12.2012. 16:37 ] @
@whitie: Baš se ne razumemo, no - nema veze. Bitno je sledeće: postoji li neki protokol, neki servis, ili nešto vezano za ponašanje kineske verzije 5.20 mikrotika za koju ti imaš saznanje da je "rupa" u sigurnosti ROS-a kao sistema?
Ja sam precizno naveo (u prvom postu) koji protokol je sa namernom rupom, a onda u jednom od narednih smo i djricky i ja naveli način za razrešavanje te rupe u sistemu.
[ whitie2004 @ 22.12.2012. 09:40 ] @
Mislim da je na tikovom forumu to dosta dobro uradjeno ....
preskoci uvodno glupiranje, pri kraju ima nesto konkretnih stvari ...
Conclusion: DON'T USE !
Hanter je nesto drugo. Zamenu na novi, dosta mladji isojuniks radis ti sam, biras dali ces i sta da uradis. Ali ipak nebi o svemu tome. Ako me svi razumeju kao Aleksandar, ne da cu da dobijem nogu sa foruma nego ce mi posalju Dacica u goste ... [ newtesla @ 22.12.2012. 09:50 ] @
^^Sad se mnogo bolje razumemo :)
Enivej, kao odgovor na moje pitanje:
Citat: Hi all,
First post here.
Since I do decompiling as a hobby, I grabbed the "cracked" 5.18 ISO and did a quick analysis on what the crack changed.
Two files were added to the system package:
/etc/rc.d/run.d/S09plugin - this is an init script that runs on startup and starts the "clone" binary
/nova/bin/clone - this file is interesting for many reasons:
- there are multiple layers of obfuscation/encryption present in the file; I only managed to remove the first layer of obfuscation so far
- it is filled with many anti-debugging and anti-VM techniques (designed to make analysis harder)
- it seems to make hashes of the routing table, cpu/memory information and partition list; dunno what it does with the info
- seems to hijack /dev/tty, shows its own password prompt; dunno what it does with the password after that
- contains 6 binaries which are extracted and executed/loaded on startup
Binary 1: this one is a file/copy rename utility; no malicious code here
Binary 2: Like the "clone" app, this one is filled with anti-debug code; it extracts/loads the kernel modules.
Binary 3/4: These are the uniprocessor/SMP versions of the malware code. This one does multiple things:
- adds a kernel workqueue that periodically looks up the DNS address of "dns.vpn2vpn.info", "vvvvva.com" (?), "ssl.vpn2vpn.info"
- depending on the dns replies, downloads and inserts a new kernel module from the returned addresses; this can be used to execute arbitrary code on the router
- adds a hook to the netfilter firewall layer that modifies packets coming from port 53 (DNS)
Binary 5/6: These are the uniprocessor/SMP versions of the crack itself.
It hooks generic_ide_ioctl and ata_sas_scsi_ioctl and modifies the information returned about the MBR and the disks, so the kernel always sees the same driver serial number and accepts the same ROS software key.
I didn't check the other packages, so it is possible that those are infected in some way too.
Conclusion: DON'T USE !
...fijuuuu.... mada nastavljam da ga kontrolišem u VM. [ newtesla @ 22.12.2012. 12:03 ] @
Dakle - ono što ostaje: da li može neko da potvrdi da kineska 5.20 verzija zaista radi NV2 na x86 hardveru? Ja iz virtuelne mašine mogu da prikačim samo USB adaptere, ne i PCI... Jer:
-ako da - piskaramo Tikovcima da uvedu i taj feature
-ako ne: lažljivi Kinezi once again ;)
[ Sleepless_mind @ 22.12.2012. 13:42 ] @
Upravo proverih, redovna ne "narodska" verzija 5.20, x86, takodje radi nv2.
[ newtesla @ 23.12.2012. 12:34 ] @
^^Potvrđujem - testirao...
Ali mogao bih da se zakunem da sam negde nabasao na podatak da NV2 radi samo na RB-ovima...
[ nino1987 @ 23.12.2012. 14:07 ] @
Upravu si :D
Jos uvijek stoji kada ides skidati 5.22 ROS sa njihovog sajta za x86 platformu:
Version 5.x x86 currently does not support Nv2 (requires RouterBOARD hardware)
Nv2 for 5.x x86 may be supported in the future
[ newtesla @ 27.12.2012. 11:31 ] @
^^Da :)
a evo testirao kolega Sleepless-mind, i ja između 411-ice i x86 ;) možda su namerno obesili to sapoštenje - da navuku ljude da kupuju više RB-ova ;)
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|