Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
155 lecturas y 11 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Han hackeado mi router Zyxel !!!

    Pos eso,

    Despues de un par de dias sin usar el equipo, lo enciendo para ver el
    correo y veo que no conecta a Internet.
    Reviso toda la configuración del Win XP y OK. Que esta pasando?
    Me conecto al router y en la pantalla de General Setup me encuentro la
    pantalla que veréis al final del mensaje con el "recadito" del hacker
    ...
    Como demonios lo han podido hacer?
    Esta claro que han atacado directamente al router. Ya os digo, el
    ordenador estaba apagado y por tanto no ha sido a través del mismo.
    Además tenía la contraseña del router cambiada y el Remote Management
    con la opción LAN ONLY a mi IP.
    La versión de firmware de mi router es ... 2.50 EX0
    Creo que tiene que tener un "peazo" de agujero de seguridad. No le ha
    ocurrido a nadie?

    ... del servicio de Telefonica. Mejor no hablar. Ha tenido que pasar un
    tecnico que no tenia ni p*** idea y despues de 2 horas para reconfigurar
    el router me deja una hojita con un importe de 82 euros que creo que me
    van a cobrar en la proxima factura y tendre que reclamar. Manda narices.
    Te venden un aparato con agujeros de seguridad y encima te quieren
    cobrar por configurarlo y encima estando en garantia (tan solo hace 2
    meses que lo tengo).

    Menu 1 - General Setup

    System Name= Te acabo de hackear
    Location= Te acabo de hackear
    Contact Person's Name= Te acabo de hackear

    Route IP= Yes
    Route IPX= No
    Bridge= No

    Press ENTER to Confirm or ESC to Cancel:

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      eso del general setup no tiene nada ke ver,eso es el nombre…

      eso del general setup no tiene nada ke ver,eso es el nombre del router.Para que no te fuera el internet te tendria ke haber tocado algo del menú 4.
      Para desactivar el SNMP,menú 22,y donde pone trusted host pones la ip privada de tu pc,así solo podras ver el snmp desde tu ordenador

      • Cerrado

        [Editado 7/01/03 18:30]

        Si tenias abierto el snmp a todo el mundo lo pueden haber…

        Si tenias abierto el snmp a todo el mundo lo pueden haber desconfigurado por ahi. Haz lo que indica raulito para dejarlo abierto a un pc de tu red.

        Por ejemplo si hago desde la consola :

        snmpwalk 172.26.0.1 public system

        el snmp del router me devuelve todas las entradas en la tablas MIB que cuelgan de system, en micaso:

        system.sysDescr.0 = Prestige 643

        system.sysObjectID.0 = OID: enterprises.890.1.2

        system.sysUpTime.0 = Timeticks: (14100) 0:02:21.00

        system.sysContact.0 =

        system.sysName.0 = TELEFONICA

        system.sysLocation.0 = MiCasa

        system.sysServices.0 = 14

        Si quiero cambiar, por ejemplo, el nombre del router hago:

        snmpset 172.26.0.1 public system.sysName.0 s TELESFORICA

        Y ya esta cambiado!.

        Si ademas te dejaron sin navegar es por que seguramente cambio algo mas. En las entradas que cuelgan de ip.ipAddrTable estan todas las ip que mantiene el router, la publica y la privada entre otras si cambian algo de aqui pues ya no va...

        El puerto del snmp es el 161, normalmente UDP.

        Saludos.

        • Cerrado

          BocaDePez BocaDePez
          6

          Harkonen, muchas gracias por tu ilustrativa y detallada…

          Harkonen, muchas gracias por tu ilustrativa y detallada respuesta.
          Por cierto, podrías pasarme el contenido del filtro dichoso de Telefónica, lo borré antes de hacerle el backup a la configuración y me gustaría ver su contenido.

          A los demás también muchas gracias, sois unos "mostros".

          Creo que con los consejos que me habéis dado, por lo menos tendrán más dificil acceder.

          Un abrazo.

          • Cerrado

            BocaDePez BocaDePez
            6
            Pues eso, el amigo tearDr0p nos la ha facilitado en los foros…

            Pues eso, el amigo tearDr0p nos la ha facilitado en los foros de adslAyuda y en su web http://la.me.to

            Gracias de nuevo.

    • Cerrado

      BocaDePez BocaDePez
      6

      Pues en realidad es muy facil entrar a un ruteador aun a…

      Pues en realidad es muy facil entrar a un ruteador aun a pesar de que el pc este apagado. Crackear una contraseña es cuestion de paciencia y ademas hay herramientas para ello mas que eficaces.

      Para proteger estos aparatos hay varios consejos que me gustaria dar a una a pesar de ser un coñazo:

      * Apagar siempre el router cuando no usemos Internet.
      * Un firewall (a mi el Norton personal firewall me gusta) con las siguientes opciones de puertos monitorizados por el firewall, ademas de proteger el firewall con contraseña:

      - 80,81,83,83,1080,8080,8088,11523
      - IGMP bloqueado
      - Paquetes UDP bloqueados
      - Mucho cuidadito con coger paquetes IP fragmentados

      En cuanto al propio router, en el caso del firm 2.50 AP5 permite el nivel 3 de maxima seguridad sin problemas para la navegacion o acceso mediante CRT, Telnet o web.

      Hay un programa que no necesita instalacion que, ademas de darnos nuestra IP, nos hace un chequeo mediante web supersegura de los agujeros de seguridad que tenemos en el sistema, router incluido.
      Se llama IP AGENT y se puede bajar de forma gratuita desde: http://grc.com/intro.htm (pinchar en el link SHIELDSUp).

      Lo ideal seria que al efectuar el analisis de los puertos, estos apareciesen como STEALTH, es decir, inexistentes en Internet.

      Salu2 a todos y feliz 2003

      El Chacal

    • Cerrado

      A mi me ha sucedido lo mismo. He tenido que reconfigurar el…

      A mi me ha sucedido lo mismo. He tenido que reconfigurar el router con el cable serie y el programa de instalación de Timofonica. No entiendo como han podido entrar ya aunque tenia algunos puertos abiertos había cambiado el password de administración. Aún estoy esperando a que el Sr. Técnico de Telefonica se ponga en contacto para "solucionar el problema". Y visto en algunos foros que no somos los únicos. Si alguien descubre como "capar" esto que informe porque estoy bastante asustado con el tema.

      Saludos.

      • Cerrado

        BocaDePez BocaDePez
        6

        Pues si, Como comentaba en el primer post la tenía cambiada.…

        Pues si,

        Como comentaba en el primer post la tenía cambiada.
        Me comentan algo del SNMP y creo que pueden ir por ahí los tiros.
        Me advierten que cambiando la palabra "public" que aparece en las opciones SNMP del router por cualquier cosa, se evitaría el acceso.

        Lo que no entiendo muy bien es ... ¿a traves de SNMP puede uno saltarse todas las protecciones, contraseñas, Access Remote a LAN ONLY o DISABLED, etc?

        ... pues si es así me parece muy fuerte y los fabricantes deberían ser más cuidadosos, porque precisamente el parámetro "public" viene puesto por defecto.

        Saludos.

    • Cerrado

      desconozco como se configura ese router asique te doy unos…

      desconozco como se configura ese router asique te doy unos consejos en general:

      pon algun filtro para evitar la entrada al router desde internet a los puertos que utilicen las herramientas de configuracion del mismo.
      metele el ultimo firmware disponible.
      revisa que el "hacker" no halla creado ningun tipo de filtro / usuario
      saludos

      • Cerrado

        BocaDePez BocaDePez
        6

        Gracias undertow, Intentare lo que me dices. Por cierto, me…

        Gracias undertow,

        Intentare lo que me dices. Por cierto, me han comentado algo de que a traves de SNMP pueden haber accedido, porque la configuracion este mal puesta.

        Sabes algo al respecto?

        Saludos.

        • Cerrado

          lo siento, no se nada sobre como configurarlo en ese router,…

          lo siento, no se nada sobre como configurarlo en ese router, pero supongo que en el manual vendra como desactivarlo.
          saludos