взломали контроллер, контроллер снял с объекта. A7HV46SQ
Добрый день!
В нашем телеграм-канале вчера вышла новость об этом.
Частично продублирую её сюда.
Проблема коснулась тех, кто сделал контроллер доступным по белому IP-адресу.
Это можно было сделать в том числе так:
- Если контроллер подключен к интернету через вставленную в контроллер SIM-карту: заказать у сотового оператора услугу “Real IP” (меняющийся белый IP-адрес) или “Статический IP-адрес” (фиксированный белый IP-адрес) и подобные.
- Если контроллер подключен к интернету через провод: подключить контроллер напрямую (без промежуточного роутера) к кабелю от провайдера, а у провайдера купить услугу “Real IP”, “Статический IP-адрес” и подобные.
- Если ваш контроллер был подключен к интернету через роутер, и вы специально настраивали проброс портов контроллера на роутере.
- Если вы пользуетесь сервисом Dynamic DNS (DDNS) для подключения к контроллеру. Само по себе это не является проблемой, но обычно значит, что вы используете один из методов из пп. 1–3.
- Еще один способ проверить себя: если вы могли подключиться к контроллеру через интернет (а не только из локальной сети), просто введя в адресную строку браузера IP-адрес контроллера (и, возможно, порт), или выполнив команду
ssh root@128.141.201.74(разумеется, с вашим IP-адресом) – вы в зоне риска.
Что делать.
- Немедленно выключите контроллер.
- Проверьте безопасность всех устройств, находившихся с контроллером в одной сети.
- Перечитайте опасные варианты организации доступа к контроллеру выше и поймите, какие из них вы могли применять. Отключите их.
- Мы подготовили специальный образ, который сохранит данные из контроллера, а после этого выполнит полный сброс. Для его использования:
а) до включения контроллера полностью отключите его от локальной сети и интернета: отключите кабель Ethernet, открутите антенну Wi-Fi и вынесите контроллер из зоны действия роутера, достаньте SIM-карту.
б) единственное подключение, которое должно быть у контроллера – USB-кабель от порта Debug Console (не путать с Debug Network!) к вашему компьютеру.
в) выполните инструкцию Образ для снятия дампа разделов eMMC контроллера Wiren Board — Wiren Board.- После сброса на заводские настройки вы можете пользоваться контроллером как обычно.
Хочу тут добавить, что сброс прошивки штатными методами (через флешку, например) контролируется ПО скомпрометированного контроллера, поэтому не гарантирует безопасность. Лучше сбросить контроллер с помощью образа.
Также сделали инструкцию по безопасности .
по инструкции на сколько долго
[ 37.603661] dc5ldo: disabling
[ 37.607180] dldo4: disabling
долго висит на данном моменте
Подскажите, всё ещё висит?
выключил. не дождался, посмотрел карту в ПК. Winrar говорит битый архив A7HV46SQ_all_files.tar.gz
на контроллере был установлен HA.
Все это время он копирует так ?
Да, может занять некоторое время.
Пожалуйста, повторите всё сначала, начиная с подготовки карты памяти.
а зумер можно как то отключить? потому что он стоял 30 минут.
К сожалению нельзя. Пищит, значит не завис - работает.
хорошо. дамп снял.
Сохраните его, пожалуйста, на любой файлообменник и пришлите ссылку.
Если не хотите публично, можно на почту support@wirenboard.com
Ну и на всякий случай, уточните как поняли, что взломали?
в веб сервере просят денег.)
Были проброшены порты на не стандартные номера типа 82 83. 22 80 и mqtt были проброшены в интернет.
дамп весит 6.5гиг на почту точно не вариант, подумаю как можно поделится. отпишусь тут
можете, например, через гугл диск