Угнали доступ к асику

Прошлой ночью угнали доступ к асику, поменяли пулы и пароль от асика. Асик был на внише, удаленный доступ через кинетик. Вопрос как такое прокатило и где дырка, во внише или в роутере. В роутере было добавлено разрешение на управление асиком в разделе "доступ к вэб-приложениям домашней сети". Его удалил. Асик выключил через вайфай розетку. По логам роутера видно что были непонятные действия с загрузкой сертификатов.
Просмотры: 14
Ответы: 5

Авторизуйтесь, чтобы оставить ответ

Вы не первый, с помощью дырявого кинетика уже куча народа пострадало.

Писал внишу, они так же ответили. Просто интересно как получили доступ к роутеру, где дырка. Я конечно асик сброшу, но дырка то остается. Могу логи выложить если кто понимает поясните. Все что я понял через 80порт получили доступ, подгрузили левые сертификаты, отключили аунтификацию, сменили пароль и пулы. Но как, надо же знать куда лезть, надо знать какой роутер ломать. Это наводит на размышления про виабтс.
Вот тут немного об очередной дыре кинетика. Вообще как по мне, для удаленного доступа нужно иметь ПК на локации, и уже на ПК установить программу удаленного доступа, так надежней. А вот эти все ВПН от кинетика или подобные - это все крайне ненадежная штука, ИМХО.
В кинетикОС до 4.3 дыра известная с конца 25 года. Если версия до 4.3 стоит, то скорее всего через эту дыру залезли.
Потом, на кинетик вроде openwrt нормально ставится.
Я конечно тот еще тормоз, но даже я перечитав логи понял что дырка то похоже в прошивке асика, потому как все непонятные движения начались с установки асиком непонятного соединения. Поддержка вниша отмораживается, логи выложу посмотрите.
Feb 9 23:45:01 ndm: Core::KnownHosts: new host "antminer" has been created.
Feb 9 23:45:01 ndm: Hotspot::Manager: rule "permit" applied to host "************************".
Feb 9 23:45:01 ndm: Hotspot::Manager: policy removed from host "******************".
Feb 9 23:45:01 ndm: Core::System::Configuration: saving (http/rci).
Feb 9 23:45:04 ndm: Core::System::Configuration: configuration saved.
Feb 9 23:45:10 ndm: Http::Manager: created proxy "as1".
Feb 9 23:45:10 ndm: Http::proxy: "as1": set http upstream *****************, port 80.
Feb 9 23:45:10 ndm: Http::proxy: "as1": static domain unchanged.
Feb 9 23:45:10 ndm: Http::proxy: "as1": enabled NDNS domain.
Feb 9 23:45:10 ndm: Http::proxy: "as1": set public security level.
Feb 9 23:45:10 ndm: Http::proxy: "as1": disabled authentication.
Feb 9 23:45:10 ndm: Core::System::Configuration: saving (http/rci).
Feb 9 23:45:11 ndm: Http::Nginx: loaded SSL certificate for "************************.keenetic.io".
Feb 9 23:45:11 ndm: Http::Nginx: loaded SSL certificate for "***********.keenetic.pro".
Feb 9 23:45:11 ndm: Http::Nginx: loaded SSL certificate for "***********************.netcraze.io".
Feb 9 23:45:11 ndm: Http::Nginx: activated proxy as1.***********.keenetic.pro to http://192.168.1.41:80.
Feb 9 23:45:11 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Feb 9 23:45:12 ndm: Core::Session: client disconnected.
Feb 9 23:45:12 ndm: Http::Manager: updated configuration.
Feb 9 23:45:12 ndm: Core::Server: started Session /var/run/ndm.core.socket.
Feb 9 23:45:12 ndm: Core::Session: client disconnected.
Feb 9 23:45:14 ndm: Core::System::Configuration: configuration saved.
Ну правильно.
По логу, кто-то зашел через web интерфейс на кинетик (или сделал иньекцию скорее всего), поднял http-прокси и пробросил 192.168.1.41 (асик) наружу через keenDns
после чего асик стал доступен снаружи и дальше уже через интерфейс асика все перенастроили.
Асик сам не сможет это сделать. Это дырявый кин.
Да уж, буду менять тогда его.
Его нужно просто обновить, если устраивало как он работает по железу. Если конечно под него есть версия кинетикОС 4.3.х. Хард ресет перед этим до заводских настроек и накатить свежую прошивку. Если нету и это совсем старичок, тогда либо менять, либо поставить на него openwrt.
А залезли скорее всего через эту дыру
CVE-2025-56009 2025-10-23 МИТРА
Уязвимость, связанная с подделкой межсайтовых запросов (CSRF) в KeeneticOS до версии 4.3 на конечной точке API "/rci", позволяет злоумышленникам завладеть устройством путем добавления дополнительных пользователей с полными правами, управляя жертвой для открытия страницы с эксплойтом.

Прошивка стоит 3.7.5 роутер keenetic omni новее на него прошивки вроде бы нет. Под замену похоже старичка, хотя жалко, служил без сбоев и проблем много лет. Остаётся в этой истории один вопрос: как узнали какой роутер ломать, нужно же было знать хотя бы айпишник наверное. А такое знают только виабтс и вниш девфи пулы.
Выше уже сказали - залей OpenWRT. Возможностей больше, дыр меньше ибо обновляется регулярно.
Нет, не обязательно. Шарят по всему инету, где что плохо лежит и где можно чем поживиться.

Роутер узнали случайно, по всем адресам прочесывают кравлеры, ищут устройства с уязвимостью, тупо пробуют каждый ip. Дошло дело до этого адреса. Поскольку кинетиков по миру очень много и много со старыми прошивками, то поиск таких устройств с точки зрения взлома имеет смысл.
Под omni/ii прошивки 4.3 уже не должно быть, можно только накатить openwrt. Вещь хорошая, хоть и не без прибабахов. Но если освоить, скилл сразу вырастет), т.к. ставится она на 90% роутеров. Если есть доступ к нему и пару часов свободного времени, то имеет смысл, должен получиться рабочий вариант.
Вспомнилось как vnish ловили с подобным на прошивках для S9 когда то...

Всем спасибо за ответы и советы, буду осваивать openwrt начну со старых dlink. А на счёт вниш все равно сомнения остаются. Возможно прийдется на gminer перейти.

лол дырявый кинетик, поржал. а ниче что там написано - проблема в слабом пароле? т.е. вся вина кинетика, что они не задали жесткую установку сложного пароля.
если юзер глуп настолько, что на админку железки торчащей в инет ставит пароль 12345, то это не проблема железа, это проблема пользователя.
а так сейчас, что остались те кто юзает кинетики с прошивками меньше 4.3? а про старые, которые черные я ваще молчу их под ддврт перешили уже все
проблема высосана из пальца, если пользуешь сложное оборудование, то потрудись хотя бы понимать базовые принципы его работы.
в яндексе алиса отлично рассказывает бестолочам.

Сейчас бы в 2026, пользоваться фсбэшной алисой и яндексом - хахаха
Ну вы же пользуетесь телефоном, ПК, почтой и т.п.?
Хотя Яндекс тоже не люблю, по мне так хуже вирусов😄
Сейчас бы в 26 году только на внешку асики бросать. А создать туннель с подсеткой и ходить в локалку не? Нужно дрочкой вот этой заниматься и светить все наружу?