Паразитный трафик с DVR

klezar
Сообщения: 3
Зарегистрирован: 11 янв 2017, 21:27

Паразитный трафик с DVR

Сообщение klezar » 11 янв 2017, 22:32

Есть регистратор DVR Spymax, перед новым годом начал чудить забивая исходящий канал, на тот момент 5мбит. Трафик был UDP куда-то в океанию.
На праздниках все было тихо, после опять началось, сегодня был всплеск, попросили у провайдера расширить полосу проверить, в итоге из 100 сумел занять 10мбит.
Сейчас если верить его активности, то он сканирует все подряд, причем сканирует не стандартный порт 23231, возможно ищет спец софт или друзей. Есть подозрения что это бот нет, но откуда и как появился не ясно.

Регистратор 16 канальный, версия bios 2.608.0000.6, Buil:2011-10-08
Пароль от админа утерян, но есть от другого пользователя с админ правами.
Через telnet удалось зайти по стандартному паролю через root

Код: Выделить всё

(none) login: root
Password:
root login  on `ttyp1'


BusyBox v1.1.2 (2009.09.10-02:15+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

не знаю какие из процессов имеют право на жизнь на регистраторе.

Код: Выделить всё

# ps  -waufx
  PID  Uid     VmSize Stat Command
    1 root        208 S   init
    2 root            SW< [kthreadd]
    3 root            SW< [ksoftirqd/0]
    4 root            SW< [events/0]
    5 root            SW< [khelper]
   88 root            SW< [kblockd/0]
   96 root            SW< [ata/0]
   97 root            SW< [ata_aux]
  103 root            SW< [khubd]
  106 root            SW< [kseriod]
  143 root            SW  [pdflush]
  144 root            SW  [pdflush]
  145 root            SW< [kswapd0]
  146 root            SW< [aio/0]
  768 root            SW< [pegasus]
  774 root            SW< [scsi_tgtd/0]
  788 root            SW< [scsi_eh_0]
  796 root            SW< [mtdblockd]
  884 root            SW< [rpciod/0]
  904 root        100 S   init
  907 root        236 S   /bin/sh /etc/init.d/rcS
  914 root            SWN [jffs2_gcd_mtd7]
  952 root            SW< [EMBXSHM-NewPort]
  953 root            SW< [EMBXSHM-PortClo]
  954 root            SW< [EMBXSHM-NewPort]
  955 root            SW< [EMBXSHM-PortClo]
  968 root            SW< [STFDMA_ClbckMgr]
  969 root            SW< [STFDMA_ClbckMgr]
  977 root            SW< [PCMREADER0]
  978 root            SW< [PCMPLAYER0]
  981 root            DW  [STStreamTask]
  982 root            DW  [STDecPreprocTas]
  983 root            DW  [STDecOddTask]
  984 root            DW  [STDecEvenTask]
  985 root            SW< [HostRec40800000]
  986 root            SW< [HostRec40800001]
  987 root            SW< [HostRec40800002]
  988 root            SW< [HostRec40800003]
  991 root            DW< [STVOUT_STATE_MA]
  992 root            SW< [STVOUT_INFOFRAM]
  993 root            DW  [STVideoCtrlTask]
  997 root        128 S   upgraded
  999 root        116 S   pppd
 1000 root        884 S   upnp_tv_ctrlpt
 1002 root        136 S   telnetd
 1012 root      55016 S   /var/Challenge
 1013 root        116 S   dvrhelper /var/Challenge
 1065 root            Z   [sh]
 1070 root            Z   [sh]
 1180 root         88 S   7ca6gkv6rda6v24e17v6bdfo
 1181 root         80 S   7ca6gkv6rda6v24e17v6bdfo
 1182 root        104 S   7ca6gkv6rda6v24e17v6bdfo
 1196 root            Z   [sh]
 1203 root            Z   [sh]
 1212 root            Z   [sh]
 1217 root            Z   [sh]
 1326 root            Z   [ispLoader]
 1327 root        276 S   -sh
 1330 root        268 S   sh
 1332 root            Z   [7uimem86i4b2mej]
 1333 root            Z   [7uimem86i4b2mej]
 1338 root            Z   [sh]
 1343 root            Z   [sh]
 1457 root            Z   [sh]
 1462 root            Z   [sh]
 1575 root            Z   [sh]
 1580 root            Z   [sh]
 1688 root            Z   [sh]
 1690 root            Z   [7uimem86i4b2mej]
 1691 root            Z   [7uimem86i4b2mej]
 1696 root            Z   [sh]
 1701 root            Z   [sh]
 1741 root            Z   [sh]
 1798 root            Z   [sh]
 1967 root            Z   [sh]
 1972 root            Z   [sh]
 2080 root            Z   [sh]
 2085 root            Z   [sh]
 2090 root            Z   [sh]
 2198 root            Z   [sh]
 2203 root            Z   [sh]
 2208 root            Z   [sh]
 2322 root            Z   [sh]
 2327 root            Z   [sh]
 2437 root            Z   [7uimem86i4b2mej]
 2438 root            Z   [7uimem86i4b2mej]
 2449 root            Z   [7uimem86i4b2mej]
 2450 root            Z   [7uimem86i4b2mej]
 2454 root            Z   [7uimem86i4b2mej]
 2455 root            Z   [7uimem86i4b2mej]
 2456 root            Z   [7uimem86i4b2mej]
 2457 root            Z   [7uimem86i4b2mej]
 2459 root            Z   [7uimem86i4b2mej]
 2460 root            Z   [7uimem86i4b2mej]
 2461 root            Z   [7uimem86i4b2mej]
 2462 root            Z   [7uimem86i4b2mej]
 2463 root            Z   [7uimem86i4b2mej]
 2464 root            Z   [7uimem86i4b2mej]
 2466 root            Z   [7uimem86i4b2mej]
 2467 root            Z   [7uimem86i4b2mej]
 2481 root            Z   [sh]
 2491 root            Z   [sh]
 2496 root            Z   [sh]
 2535 root            Z   [sh]
 2579 root            Z   [sh]
 2757 root            Z   [ispLoader]
 2758 root            Z   [7uimem86i4b2mej]
 2759 root            Z   [7uimem86i4b2mej]
 2768 root            Z   [sh]
 2771 root            Z   [7uimem86i4b2mej]
 2774 root            Z   [sh]
 2883 root            Z   [ispLoader]
 2894 root            Z   [sh]
 2899 root            Z   [sh]
 3008 root            Z   [ispLoader]
 3027 root            Z   [sh]
 3031 root        276 S   -sh
 3057 root        216 R   ps -waufx


но очень смущают типа 7uimem86i4b2mej и 7ca6gkv6rda6v24e17v6bdfo

klezar
Сообщения: 3
Зарегистрирован: 11 янв 2017, 21:27

Re: Паразитный трафик с DVR

Сообщение klezar » 11 янв 2017, 22:56

Регистратор похоже перезагрузился.
Зайдя на него увидел следующее:

Код: Выделить всё

# ps
  PID  Uid     VmSize Stat Command
    1 root        208 S   init
    2 root            SW< [kthreadd]
    3 root            SW< [ksoftirqd/0]
    4 root            SW< [events/0]
    5 root            SW< [khelper]
   88 root            SW< [kblockd/0]
   96 root            SW< [ata/0]
   97 root            SW< [ata_aux]
  103 root            SW< [khubd]
  106 root            SW< [kseriod]
  143 root            SW  [pdflush]
  144 root            SW  [pdflush]
  145 root            DW< [kswapd0]
  146 root            SW< [aio/0]
  768 root            SW< [pegasus]
  774 root            SW< [scsi_tgtd/0]
  788 root            SW< [scsi_eh_0]
  796 root            SW< [mtdblockd]
  884 root            SW< [rpciod/0]
  904 root        100 S   init
  907 root        236 S   /bin/sh /etc/init.d/rcS
  914 root            SWN [jffs2_gcd_mtd7]
  952 root            SW< [EMBXSHM-NewPort]
  953 root            SW< [EMBXSHM-PortClo]
  954 root            SW< [EMBXSHM-NewPort]
  955 root            SW< [EMBXSHM-PortClo]
  968 root            SW< [STFDMA_ClbckMgr]
  969 root            SW< [STFDMA_ClbckMgr]
  977 root            SW< [PCMREADER0]
  978 root            SW< [PCMPLAYER0]
  981 root            DW  [STStreamTask]
  982 root            DW  [STDecPreprocTas]
  983 root            DW  [STDecOddTask]
  984 root            DW  [STDecEvenTask]
  985 root            SW< [HostRec40800000]
  986 root            SW< [HostRec40800001]
  987 root            SW< [HostRec40800002]
  988 root            SW< [HostRec40800003]
  991 root            DW< [STVOUT_STATE_MA]
  992 root            SW< [STVOUT_INFOFRAM]
  993 root            DW  [STVideoCtrlTask]
  997 root        128 S   upgraded
  999 root        116 S   pppd
 1000 root        388 S   upnp_tv_ctrlpt
 1002 root        136 S   telnetd
 1012 root      55368 S   /var/Challenge
 1013 root        116 S   dvrhelper /var/Challenge
 1062 root        276 S   -sh
 1066 root        312 S   /bin/login
 1067 root        276 S   -sh
 1074 root        208 S   fdisk -C 1 -H 1 -S 1 /dev/mtd1
 1078 root        216 R   ps


после этого он ушел в задумье и пока не вернулся. на ping отвечает, а все остальное не доступно.

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: Паразитный трафик с DVR

Сообщение iTuneDVR » 12 янв 2017, 00:45

На регистраторе гостили не прошенные, а когда поняли, что хозяин очухался, то решили свернуться и замести следы.
Подключаемся к TTL и смотрим на ситуацию.
Логи сюда.

klezar
Сообщения: 3
Зарегистрирован: 11 янв 2017, 21:27

Re: Паразитный трафик с DVR

Сообщение klezar » 18 янв 2017, 21:08

Возможности подключить по TTL нет, пробую заполучить DVR чтобы посмотреть его локально, т.к. при наличии интернета регистратор быстро уходит в себя.

iTuneDVR
Сообщения: 3218
Зарегистрирован: 24 авг 2013, 11:05

Re: Паразитный трафик с DVR

Сообщение iTuneDVR » 18 янв 2017, 21:19

Естественно надо всё делать беЗ интернета и внимательно разобраться с подключением его наружу!


Вернуться в «Видеорегистраторы Spymax»