ADSL/VDSL

Han hackeado mi router Zyxel !!!

BocaDePez 28 diciembre 2002 10:23

⋮

Pos eso,

Despues de un par de dias sin usar el equipo, lo enciendo para ver el
correo y veo que no conecta a Internet.
Reviso toda la configuración del Win XP y OK. Que esta pasando?
Me conecto al router y en la pantalla de General Setup me encuentro la
pantalla que veréis al final del mensaje con el "recadito" del hacker
...
Como demonios lo han podido hacer?
Esta claro que han atacado directamente al router. Ya os digo, el
ordenador estaba apagado y por tanto no ha sido a través del mismo.
Además tenía la contraseña del router cambiada y el Remote Management
con la opción LAN ONLY a mi IP.
La versión de firmware de mi router es ... 2.50 EX0
Creo que tiene que tener un "peazo" de agujero de seguridad. No le ha
ocurrido a nadie?

... del servicio de Telefonica. Mejor no hablar. Ha tenido que pasar un
tecnico que no tenia ni p*** idea y despues de 2 horas para reconfigurar
el router me deja una hojita con un importe de 82 euros que creo que me
van a cobrar en la proxima factura y tendre que reclamar. Manda narices.
Te venden un aparato con agujeros de seguridad y encima te quieren
cobrar por configurarlo y encima estando en garantia (tan solo hace 2
meses que lo tengo).

Menu 1 - General Setup

System Name= Te acabo de hackear
Location= Te acabo de hackear
Contact Person's Name= Te acabo de hackear

Route IP= Yes
Route IPX= No
Bridge= No

Press ENTER to Confirm or ESC to Cancel:

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

undertow 28 diciembre 2002 11:13

⋮

desconozco como se configura ese router asique te doy unos consejos en general:

pon algun filtro para evitar la entrada al router desde internet a los puertos que utilicen las herramientas de configuracion del mismo.
metele el ultimo firmware disponible.
revisa que el "hacker" no halla creado ningun tipo de filtro / usuario
saludos

✖

BocaDePez 29 diciembre 2002 02:55

⋮

Gracias undertow,

Intentare lo que me dices. Por cierto, me han comentado algo de que a traves de SNMP pueden haber accedido, porque la configuracion este mal puesta.

Sabes algo al respecto?

Saludos.

✖

undertow 29 diciembre 2002 06:33

⋮

lo siento, no se nada sobre como configurarlo en ese router, pero supongo que en el manual vendra como desactivarlo.
saludos

BocaDePez 29 diciembre 2002 11:46

⋮

¿Habías cambiado la contraseña del dominio público, esa de 1234?

✖

BocaDePez 30 diciembre 2002 20:21

⋮

Pues si,

Como comentaba en el primer post la tenía cambiada.
Me comentan algo del SNMP y creo que pueden ir por ahí los tiros.
Me advierten que cambiando la palabra "public" que aparece en las opciones SNMP del router por cualquier cosa, se evitaría el acceso.

Lo que no entiendo muy bien es ... ¿a traves de SNMP puede uno saltarse todas las protecciones, contraseñas, Access Remote a LAN ONLY o DISABLED, etc?

... pues si es así me parece muy fuerte y los fabricantes deberían ser más cuidadosos, porque precisamente el parámetro "public" viene puesto por defecto.

Saludos.

escriume 31 diciembre 2002 04:11

⋮

A mi me ha sucedido lo mismo. He tenido que reconfigurar el router con el cable serie y el programa de instalación de Timofonica. No entiendo como han podido entrar ya aunque tenia algunos puertos abiertos había cambiado el password de administración. Aún estoy esperando a que el Sr. Técnico de Telefonica se ponga en contacto para "solucionar el problema". Y visto en algunos foros que no somos los únicos. Si alguien descubre como "capar" esto que informe porque estoy bastante asustado con el tema.

Saludos.

BocaDePez 31 diciembre 2002 11:03

⋮

Pues en realidad es muy facil entrar a un ruteador aun a pesar de que el pc este apagado. Crackear una contraseña es cuestion de paciencia y ademas hay herramientas para ello mas que eficaces.

Para proteger estos aparatos hay varios consejos que me gustaria dar a una a pesar de ser un coñazo:

* Apagar siempre el router cuando no usemos Internet.
* Un firewall (a mi el Norton personal firewall me gusta) con las siguientes opciones de puertos monitorizados por el firewall, ademas de proteger el firewall con contraseña:

- 80,81,83,83,1080,8080,8088,11523
- IGMP bloqueado
- Paquetes UDP bloqueados
- Mucho cuidadito con coger paquetes IP fragmentados

En cuanto al propio router, en el caso del firm 2.50 AP5 permite el nivel 3 de maxima seguridad sin problemas para la navegacion o acceso mediante CRT, Telnet o web.

Hay un programa que no necesita instalacion que, ademas de darnos nuestra IP, nos hace un chequeo mediante web supersegura de los agujeros de seguridad que tenemos en el sistema, router incluido.
Se llama IP AGENT y se puede bajar de forma gratuita desde: grc.com/intro.htm (pinchar en el link SHIELDSUp).

Lo ideal seria que al efectuar el analisis de los puertos, estos apareciesen como STEALTH, es decir, inexistentes en Internet.

Salu2 a todos y feliz 2003

El Chacal

Raulito 31 diciembre 2002 19:59

⋮

eso del general setup no tiene nada ke ver,eso es el nombre del router.Para que no te fuera el internet te tendria ke haber tocado algo del menú 4.
Para desactivar el SNMP,menú 22,y donde pone trusted host pones la ip privada de tu pc,así solo podras ver el snmp desde tu ordenador

✖

Harkonen 7 enero 2003 18:11 ✎

⋮

Si tenias abierto el snmp a todo el mundo lo pueden haber desconfigurado por ahi. Haz lo que indica raulito para dejarlo abierto a un pc de tu red.

Por ejemplo si hago desde la consola :

snmpwalk 172.26.0.1 public system

el snmp del router me devuelve todas las entradas en la tablas MIB que cuelgan de system, en micaso:

system.sysDescr.0 = Prestige 643

system.sysObjectID.0 = OID: enterprises.890.1.2

system.sysUpTime.0 = Timeticks: (14100) 0:02:21.00

system.sysContact.0 =

system.sysName.0 = TELEFONICA

system.sysLocation.0 = MiCasa

system.sysServices.0 = 14

Si quiero cambiar, por ejemplo, el nombre del router hago:

snmpset 172.26.0.1 public system.sysName.0 s TELESFORICA

Y ya esta cambiado!.

Si ademas te dejaron sin navegar es por que seguramente cambio algo mas. En las entradas que cuelgan de ip.ipAddrTable estan todas las ip que mantiene el router, la publica y la privada entre otras si cambian algo de aqui pues ya no va...

El puerto del snmp es el 161, normalmente UDP.

Saludos.

✖

BocaDePez 7 enero 2003 20:57

⋮

Harkonen, muchas gracias por tu ilustrativa y detallada respuesta.
Por cierto, podrías pasarme el contenido del filtro dichoso de Telefónica, lo borré antes de hacerle el backup a la configuración y me gustaría ver su contenido.

A los demás también muchas gracias, sois unos "mostros".

Creo que con los consejos que me habéis dado, por lo menos tendrán más dificil acceder.

Un abrazo.

✖

BocaDePez 7 enero 2003 21:43

⋮

Pues eso, el amigo tearDr0p nos la ha facilitado en los foros de adslAyuda y en su web la.me.to

Gracias de nuevo.