Elektroda.pl
Elektroda.pl
X
OptexOptex
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ataki hakerskie na rejestratory które są sprzedawane w Polsce - UWAGA! WAŻNE!

jpl 03 Lut 2017 12:54 36915 99
  • #61
    stracho
    Poziom 13  
    @Tommy82 można gdzieś o tym poczytać ?
  • OptexOptex
  • #63
    jpl
    specjalista-kamery przemysłowe
    No to lecimy z nowościami :)

    Tym razem znaleziono dziurę w rejestratorach HDCVI i kamerach IP firmy DAHUA (czyli u nas także pod brandem BCS)

    Z tego co widać, są to dosyć popularne kamery i rejestratory sprzedawane w PL (modele podatne na atak).

    Poniżej link:
    https://ipvm.com/reports/dahua-backdoor

    ciekawe czy któryś z dystrybutorów powiadomi swoich klientów o tym żeby zaktualizowali firmware ;D
  • #64
    Tommy82
    Poziom 40  
    I kolejna nowośc
    http://www.rp.pl/Afera-Wikileaks/170309168-Wielki-wyciek-z-CIA-Nowe-dokumenty-WikiLeaks.html
    Już w zupełniej abstrakcji do tego kto stoi za wyciekiem to informacje same w sobie z technicznego punktu widzenia są ciekawe. Weźmy na przykład ten telewizor który mógł działać jako podsłuch.
    I tu jest pytanie ile takich backdorów powstało jako exploit na gotowy produkt, ile powstało jako propozycja nie do odrzucenia tego czy innego rządu czy też ile powstało dzięki temu ze ktoś w ramach działań operacyjnych podrzucił jakiś kawałek kodu lub zmodyfikował kod innymi słowy zepsuł produkt.
    Powiem tak z poprzednio ujawnionych danych jasno dla mnie wynika że USA posiadała dostęp do różnych systemów na poziomie sieci szkieletowej. Pewne operacje bez tego były by praktycznie niemożliwe.
  • #66
    Boosterpl

    Poziom 17  
    Witam,
    w tym tygodniu mialem 2 ataki juz na BCS z seri Analogowej ale juz z tym kolorowym niebieskim menu. Atak polegal na zalogowaniu sie na login 888888 - tak podane w logach, IP z Brazyli. Haker sciemnil obraz na wszystich kanalach oraz zmienil adres IP i jeszcze kilka ustawien typu znak wodny. Rejestrator nie byl w DMZ i mial niestandardowe porty. Tylko stream i www przekierowane bylo i to na innych portach niz standardowe. do 888888 haslo tez bylo zmienione, co prawda tylko 6 znakow przyjmuje. Masakra zastanawiam sie kiedy ponowny atak bedzie.
  • #67
    Tommy82
    Poziom 40  
    @Boosterpl
    A to był brut force?
  • #68
    Boosterpl

    Poziom 17  
    Nie wiem jak to rozpoznac, w logach mam ze wszedl na login 888888 a ten login to kombinacja mnoznka i daty wiec latwo pewnie wejsc, a czytalem ze 888888 ma tylko logowanie lokalne, ze niby zdalnie nie mozna sie zalogowac na ten login.
  • #69
    oun
    Poziom 18  
    Brute force rozpoznasz po masie nieudanych logowań poprzedzających logowanie udane, chyba że korzystano z metody słownikowej i pierwszym hasłem z listy było hasło domyślne, nie zmienione przez instalatora.
  • #70
    xury
    Specjalista automatyka domowa
    To nie był haker tylko script kiddie. Konta 88... I 66... się usuwa. Chodź jak pisałem nie da się uchronić Dahua przed atakiem. Tylko tunel.
  • OptexOptex
  • #71
    oun
    Poziom 18  
    xury napisał:
    To nie był haker tylko script kiddie...

    Też tak uważam ale mieć należy na uwadze, że większość tego typu włamań tak się odbywa. Dodam ponadto, że prawdopodobnie celem nie był konkretny adres, a jedynie wybrany on został z listy adresów skanera otwartych portów, po czym przy pomocy domyślnego hasła wykorzystany, i śladu po nieudanych logowaniach z tego adresu nie będzie.
  • #72
    giaur13
    Poziom 13  
    Nie macie ostatnio problemów z kamerami Keniga? W jednej lokalizacji jakieś 2 tyg temu kilka kamer poszło mi do ustawień fabrycznych. Wgraliśmy nowy soft (wcześniejszy był z 2014 roku) i na razie spokój. Za to dzisiaj miałem kilka niezależnych zgłoszeń o niedziałających kamerach. Jeszcze tego nie sprawdzałem, ale chyba wszystkie to Kenigi, a adresy zewnętrzne są z tej samej puli adresów IP (ten sam dostawca neta), co by wskazywało na skanowanie portów.
  • #73
    fakerus
    Poziom 18  
    Niom => porty domyślne =>hasła domyślne etc.
    Brak aktualizacji DVR i NVR bo po co, i mamy posiew.

    Dodano po 2 [minuty]:

    Niom => porty domyślne =>hasła domyślne etc.
    Brak aktualizacji DVR i NVR bo po co, i mamy posiew.
  • #74
    giaur13
    Poziom 13  
    fakerus napisał:
    Niom => porty domyślne =>hasła domyślne etc.
    Brak aktualizacji DVR i NVR bo po co, i mamy posiew.

    Pomogłeś ;)

    Z kamerami jednak wszystko ok. To rejestratory BCS. Potrzebuję firmware do NVR08025ME. Ma ktoś coś świeżego?

    Dodano po 3 [godziny] 6 [minuty]:

    Nieaktualne. Mam firmware z 11-04-2017
    Wirus na rejestratorach zmienił adresy z lokalnych, na jakieś od czapy (10.x.x.x), nazwy kamer na "HACKED".
    Wcześniej był soft z 2014 roku, hasło domyślne na 888888, domyślne porty, pootwierane (zarówno 37777 jak i 80). Zrobiłem nowy soft, zmieniłem hasła, porty - jak się nie odezwę w temacie to znaczy, że pomogło.
  • #75
    newchief
    Poziom 28  
    Witajcie. Mam, w zasadzie miałem, w firmie założone przez firmę świadczącą usługi z zakresu ochrony osób i mienia rejestrator BCS-CVR0104-III wraz z jedną kamerą. Z firmą która to robiła nie ma możliwości nawiązania kontaktu - firma nie istnieje.
    Parę dni temu zorientowałem się że nie mam podglądu przez sieć ani lokalnie. Wszystko podłączone ok. Koniec końców okazuje się że IP zmienione na 10.x.x.x oraz nazwy kamer HACKED. Próbowałem generować hasło mnożnikiem 8888 niestety bezsktuczenie. Próba logowania na 888888 jak i admin kończy się wynikiem :błędne hasło. Czy jest jakaś opcja zresetowania w/w hasła? Szukałem firmware do w/w sprzętu ale nie znalazłem.
  • #76
    giaur13
    Poziom 13  
    newchief napisał:
    rejestrator BCS-CVR0104-III

    A nie CVR0401 przypadkiem?
    newchief napisał:
    Koniec końców okazuje się że IP zmienione na 10.x.x.x

    Skąd wiesz, że IP jest takie? Masz jakiś działający login na rejestrator?
    newchief napisał:
    oraz nazwy kamer HACKED.

    Ten atak znam. I jasność kamer i kontrast ustawiony na 0 - stąd brak obrazu. Najprawdopodobniej wchodzi przez otwarty port 80 na routerze. Zobacz czy masz taki otwarty.
    newchief napisał:
    Próbowałem generować hasło mnożnikiem 8888 niestety bezsktuczenie. Próba logowania na 888888 jak i admin kończy się wynikiem :błędne hasło.

    Kurcze, szczerze to się nie spotkałem jeszcze z wersją włamu zmieniającą hasło na 888888. Może być problem z odzyskaniem tego. Na nowszych softach chyba nie działa patent z mnożonym hasłem przez datę. Pozostaje telnet i ręczne czyszczenie chyba.
  • #77
    newchief
    Poziom 28  
    Masz rację co do modelu - 0401. IP odczytać można w programie BCS ConfigTool Pol V1_07_2_R_130304 i właśnie przez ten program udało mi się zmienić ip rejestratora na 1.108 i bramę na 1.1. Pojawia mi się ekran logowania lecz niestety na tym koniec. Żadne hasło nie pasuje.

    Przez telnet nie udało mi się zalogować, a nawet nawiązać połączenia - używam do tego Putty. Może ewentualnie jakieś wskazówki ?
  • #78
    giaur13
    Poziom 13  
    newchief napisał:
    Pojawia mi się ekran logowania lecz niestety na tym koniec. Żadne hasło nie pasuje.

    Na użytkownika 888888 nie da się zalogować przez przeglądarkę. Podłącz normalny monitor/tv i myszkę USB i spróbuj.
  • #79
    newchief
    Poziom 28  
    Tak robię. Przed chwilą zalogowałem się na telnet hasłem jednodniowym. Po sprawie. Dzieki!
  • #80
    giaur13
    Poziom 13  
    newchief napisał:
    Dzieki!

    Byś chociaż napisał czy port 80 był otwarty na routerze. Tak dla potomnych...
  • #82
    cenciak
    Poziom 9  
    Cześć, mam również problem z atakami.
    W rezultacie co jakąś chwilę zmieniają nazwy kanałów na "HACKED" itp, ściemnienie kamer do 0 i zmiana adresu ip.
    Usunąłem konta serwisowe, zabezpieczyłem konto admin ale nie wiem co jeszcze mogę zrobić żeby się zabezpieczyć bo ataki dalej nieustają.
    HELP z góry dzięki :D
  • #83
    sosarek

    Poziom 43  
    cenciak napisał:
    Usunąłem konta serwisowe, zabezpieczyłem konto admin ale nie wiem co jeszcze mogę zrobić żeby się zabezpieczyć bo ataki dalej nieustają.

    Przeczytać uważnie wątek, jest opisane jak zminimalizować możliwości kolejnych prób ataku.
  • #85
    cenciak
    Poziom 9  
    Ok, wszystkie czy wystarczy tylko http utp tcp?
  • #87
    jpl
    specjalista-kamery przemysłowe
    Proszę państwa. Problemem jest to że w rejestratorach dahua/bcs i inne oem'y, była dziura od marca 2017 która umożliwia też wejście w rejestrator nawet jak jest zmienione hasło!

    O tym nikt nikomu nie mówił, nie było akcji informacyjnej itp.
  • #89
    giaur13
    Poziom 13  
    cenciak napisał:
    Ok, wszystkie czy wystarczy tylko http utp tcp?

    Mi się wydaje, że ten atak wchodzi przez port http. Wszędzie gdzie miałem ten przypadek była otwarta 80, bądź DMZ.
  • #90
    jary69
    Poziom 11  
    Witam
    Ja miałem taki przypadek rejestrator x32 analog DAHUA ,przekierowane fabryczne porty,pozostałe funkcje po blokowane,po zmianie admina na inne hasło i założeniu dwóch użytkowników tylko do podglądu z zewnątrz. Po kilku tygodniach brak możliwości zalogowania się na admina dwa konta zniknęły.Rejestrator oddany na serwis.Po powrocie z serwisu zostały nadane te same hasła admin i 2x użytkownik i tak jak ostatnio po kilku dniach brak możliwości zalogowania na admina.Co może być tego przyczyną ?