Почему нужно устанавливать сложные пароли даже на домашнем оборудовании?

Вопрос в названии статьи имеет массу ответов и много кто уже разжевывал что зачем и почему. В данной статье я расскажу с чем мне пришлось столкнуться на собственном опыте, при чем тут слабый пароль и что пришлось делать.

Случилось так, что пригласили в одну небольшую организацию посмотреть, что у них происходит по ИТ части. Жалоб особых не было, кроме одной — постоянно вываливаются порно-баннеры. Мы все уже привыкли к подобного рода вирусам с «веселыми» картинками и просьбой отправить смс или положить денег на какой-нибудь номер. И все уже давно умеют их лечить, благо, производители антивирусов не дремлют и понаделали уже много сервисов. Но тут история совсем другая: просто поверх страницы, в браузере, открывается флэш-баннер. Далее варианта два: либо его закрыть (такая возможность есть), либо кликнуть по нему. Во втором варианте идет переадресация каждый  на разные сайты, которые по контенту не имеют ничего общего с контентом баннера.



Нужно отметить, что это происходило во всех браузерах, установленных на компьютере. Проблема воспроизводилась на всех компьютерах сети.

Первой мыслью все-таки было посмотреть надстройки и плагины браузеров. Посмотрели. Все девственно чисто.

Далее стали смотреть откуда эти баннеры лезут. Увидели сайт traffic.ru. Проверились утилитами вида СureIT от DrWeb  и с помощью Kaspersky Rescue CD – результатов 0, что само по себе уже более чем странно. AVZ тоже ничего не показал.

В итоге проковырявшись некоторое время на моем нетбуке всплыл тот же самый замечательный баннер. На этом мы раскланялись, и я поехал домой искать, гуглить, разбираться.

Приехав домой, я выключил все устройства в сети и оставил только маршрутизатор и (как я думал зараженный) нетбук. К слову, нетбук я не выключал. И каково же было мое удивление, когда при попытке открыть страницы интернета баннера не появлялось, он был только в уже открытой вкладке. Далее мне стало интересно, что вообще нетбук делает и куда шлет пакеты. Смотрю. Вижу подозрительное количество подключений на мой маршрутизатор на порты 80, 8080, 22, 23. Подозрительно. Перезагружаю нетбук, никаких подозрительных подключений нет, так же как нет и баннеров.

Начинаю гуглить. Довольно быстро находится червь под названием psyb0t. Особенностью данного червя является то, что он атакует оборудование. В данном случае он подменил на оборудовании клиента настройки DHCP сервера и подменял DNS сервера.

Попадает червь на оборудование, подбирая брутфорсом пароли к вэб-интерфейсу, либо к SSH, либо к telnet. Попадая на оборудование, блокирует соответственно порты 80, 22, 23.

Лечится элементарно просто, сбросом оборудования до заводских настроек, свежей настройкой оборудования и установкой более менее сложного пароля.