Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru
Просим Вас отнестись с пониманием к новому форуму, он находится в стадии доработки и в скором времени будет полностью завершен.

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".

Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542

Убедительная просьба не дублировать темы на старом/новом форуме.

Вирусная эпидемия Trojan.Rbrute и способы борьбы

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 26 май 2014, 13:19

Здравствуйте.
В связи с массовым распространением Trojan.Rbrute на компьютерах клиентов, всем владельцам ADSL-оборудования (и не только ADSL) мы рекомендуем проделать следующие шаги:

1. Изменить логин\пароль для входа на роутер.

Важно! Взлом нового пароля - это вопрос времени. Вирус использует математический подбор пароля, поэтому он всё равно будет взломан!
Не забудьте сообщить Вашим близким, что стандартный пароль на web-меню роутера был изменён.

2. Обновить прошивку ADSL-модема на самую последнюю. Страница загрузки прошивок.
Рекомендации по обновлению прошивки (firmware)

3. Обязательно проверить все компьютеры в вашей домашней сети современным антивирусом. Мы рекомендуем Др.Веб с самой актуальной антивирусной базой.

Прочитать подробнее о вирусе
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Win32.Sector и способы борьбы

Сообщение Goodwin » 26 май 2014, 13:41

Если вы уже стали жертвой Trojan.Rbrute:

Симптомы:
- Индикатор Интернета горит, но Интернет не работает
- При попытке открыть сайты - открываются непонятные ресурсы
- ПК не получает IP-адреса (IP вида 169.254.ххх.ххх)


Как устранить проблему:

1. Сбросить настройки модема на заводские. Для этого при включённом питании удерживаете кнопку RESET 15-20 секунд (до тех пор, пока все индикаторы не загорятся и не погаснут).

2. Изменить логин\пароль web-меню роутера на другие значения. Делается это по инструкции

3. После этого выполняете настройку Интернета согласно пар-рам Вашего провайдера (VPI\VCI, логин и пароль). Пример настройки для Домолинк(Ростелеком)

4. После успешной настройки, мы также рекомендуем выполнить обновление встроенного ПО модема. Для этого для вашей аппаратной версии, нужно скачать последнюю прошивку.

5. Обязательно выполнить проверку и удаление вирусов со всех домашних компьютеров при помощи современного антивируса с самыми актуальными базами данных. Мы рекомендуем Др.Веб.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ProCyber
Сообщения: 1
Зарегистрирован: 20 май 2014, 12:09
Страна: Russia

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение ProCyber » 27 май 2014, 21:51

Когда примерно выйдет следующая версия встроенное ПО для модема TP-LINK TD-W8961ND V3 ?

tp_user
Сообщения: 1
Зарегистрирован: 27 май 2014, 22:15
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение tp_user » 27 май 2014, 22:28

Здравствуйте!
Планируется ли обновление прошивок для всех моделей ADSL модемов? Есть ли обходные пути для повышения защищенности модема при отсутствии свежей прошивки? В моем случае в разделе Download присутствует только первая и единственная прошивка от 2010 года.

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 27 май 2014, 23:33

Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.
Для снятых с производства моделей новых прошивок к сожалению не будет.
В качестве альтернативных методов защиты следует:
1. на веб-морду роутера сделать сложный пароль с использованием разного регистра и множества символов.
2. В настройках Interface Setup - LAN в поле DNS вручную прописать ДНС-сервера провайдера.
3. Использовать на всех ПК надёжный и популярный антивирус.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

sergey004
Сообщения: 3
Зарегистрирован: 26 май 2014, 10:30
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение sergey004 » 02 июн 2014, 21:50

Проанализировав последние прошивки, увидел одно отличие, которое можно и старых прошивках включить и все. Попробовал, через Интернет в модем уже не попадаю.
Изображение

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Goodwin » 03 июн 2014, 11:22

Сергей, атака идёт из локальной сети, а не извне.
Описание вируса
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

uolis
Сообщения: 5
Зарегистрирован: 01 мар 2014, 21:19
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение uolis » 03 июн 2014, 14:03

Goodwin писал(а):Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.
Но там теперь бага - невозможно изменить адрес DHCP-сервера. Кнопка Сохранить на него не действует. Но если поставить Выключено у DHCP, то включить назад просто не получится. Можно поставить Релей и Выключено, эти позиции сохраняются. Включено не сохраняется.
Придётся опять откатываться к заводским настройкам, где включено 192.168.1.1, а очень хотелось бы иную сетку...

sergey004
Сообщения: 3
Зарегистрирован: 26 май 2014, 10:30
Страна: Россия

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение sergey004 » 03 июн 2014, 15:50

Goodwin писал(а):Сергей, атака идёт из локальной сети, а не извне.
Описание вируса
Судя по данной статье, может быть и из Интернета


Алжирский студент сообщил о наличии критических уязвимостей в маршрутизаторах TP-Link, поставляемых одним из главных интернет-провайдеров страны Algerie Telecom. По словам Абделли Нассереддин (Abdelli Nassereddine), бреши позволяют получить несанкционированный доступ к роутерам и раскрыть пользовательские пароли.

Как утверждает портал The Hacker News со ссылкой на Нассереддина, последний обнаружил, что брешь можно эксплуатировать через раздел обновления «Firmware/Romfile Upgrade» на панели управления, доступ к которой можно получить без пароля посредством перехода по адресу http://IP//rpFWUpload.html. Данная страница позволяет пользователю обновить прошивку маршрутизатора и скачать файл для резервного копирования Romfile.

Последний содержит пароль администратора, и его можно восстановить в виде обычного текста посредством реверс-инжиниринга с использованием online-сервиса (http://50.57.229.26/zynos.php). Для этого необходимо просто загрузить файл Romfile. Пароль маршрутизатора будет отображаться в первой строке файла:

Как утверждает Нассереддин, он протестировал принадлежащие Алжиру IP-адреса (41.107. x. x) и установил, что тысячи из них уязвимы к атакам. Так, посредством «Быстрого поиска» в системе SHODAN по запросу «RomPager country:dz» ему удалось обнаружить, что в стране используется более 259 тысяч маршрутизаторов, 95% из которых уязвимы.

Алжирский студент также опубликовал на GitHub PoC-код, способный сканировать полную подсеть уязвимых устройств и отобразить требуемые пароли.

Semen_alians
Сообщения: 3
Зарегистрирован: 10 фев 2014, 00:39
Страна: Ukrein

Re: Вирусная эпидемия Trojan.Rbrute и способы борьбы

Сообщение Semen_alians » 03 июн 2014, 21:49

Если у меня в разделе Безопасность / Локальное управление стоит управлять только с моего МАС-адреса, подвергаюсь ли я угрозе?

Закрыто

Вернуться в «Архивные темы»