Несколько лет назад был приобретён роутер D-Link DIR-300S
S/N QXAQ1F8500404
H/W ver. A1
F/W ver. 2.5.1

Приблизительно в январе 2020 к роутеру имело доступ неустановленное лицо ("компьютерный мастер", вызванный по объявлению), которое установило на прибор свою прошивку.

В декабре 2020 пропал Wi-Fi

При входе в веб-морду роутера были видны явные и демонстративные следы взлома

При переустановке в режиме "Жёсткий" сброс(Hard Reset) до заводских настроек" восстановления заводской прошивки не произошло (см. фото), Wi-Fi по прежнему не работает

Прошу сообщить, существует ли протокол восстановления штатной заводской прошивки

С уважением pens111

проблема в другом, заводская прошивка не восстанавливается даже в режиме "Жёсткий" сброс(Hard Reset) до заводских настроек"
в более общем плане вопрос ставится так: как удалить с роутера "хакерскую" прошивку, в которой наверняка будет установлена блокировка такого удаления и восстановить штатную прошивку

в данном случае в прошивке явно заложена возможность удалённого доступа хакера к админке роутера, а может быть и ещё что то

это может быть актуально в случае приобретения б/у роутеров, в которых могут присутствовать "хакерские прошивки"

это подправленная прошивка, о чём говорит надпись Зубков / Зураб Начало М. Информация (не исчезающая после жёсткой переустановки), или это можно объяснить как то по другому?

Это первое что бросается в глаза, кроме этого там ещё много чего есть интересного, если хотите опишу подробно

В мозилле и опере попробую попозже (скорее всего отображается)
вай-фай не работает, это и было первичной жалобой
сброс настроек делался всеми возможными способами, описанными здесь

https://zen.yandex.ru/media/installer/p ... 1cb616a74d

интересную вещь нашел


Есть ещё одна интересная тонкость. Роутер неполучится прошить используя браузер который параноидально кеширует все странички на которые заходит пользователь. Например, старые версии Internet Explorer совершенно не подходит для перепрошивки этого роутера - пользуйте Mozilla Firefox или Google Chrome.

я прошивал используя Microsoft Edge , попробую другие браузеры

это я для экономии места, что бы много не копировать, если это не одобряется - учту

да, не горит лампочка вай-фай и не видно сети

В фаерфокс надпись "Зубков / Зураб Начало М. Информация" пропала
Так что на данный момент проблема - не работает вайфай

Ну и общий вопрос, если на роутер стоит "хакерская" прошивка, то при восстановлении штатной прошивки (в мягком режиме или аварийном) и последующем жёстком перезапуске, есть ли гарантия, что прошивка восстановится без каких либо хакерских закладок?
Это актуально при покупке б/у роутеров и профилактическом восстановлении штатной заводской прошивки.

ОК, это понятно, но как быть с "хакерскими" прошивками?
В вашем саппорте мне сказали следующее

"Обычные прошивки позволяют загружать другие через раздел настроек Система - Обновление ПО. Если установленная на Вашем роутере прошивка не позволит этого сделать, значит, там помимо прочего сделаны какие-то изменения, блокирующие данную функцию." (С)

Ведь если там стоит "хакерская" прошивка, то наверно можно просто имитировать процесс восстановления штатной прошивки, оставляя хакерскую?

В данном случае роутер работал около года, пока не пропал вай-фай, никто не заглядывал ему в веб-морду и только когда вай-фай работать перестал увидели явные (и демонстративные) следы взлома .

Как быть при покупке б/у роутеров, ведь получается, что если юзер купит роутер на авито и зальёт туда (для профилактики) штатную прошивку, то нет никакой гарантии, что там не останутся хакерские закладки?

а как узнать, штатная там прошивка, или немного "поправленная" хакером, когда покупаешь роутер на авито?

существует ли софт, проверяющий не нарушена ли штатная прошивка (на предмет хакерских закладок), по типу привычных всем антивирусов?

вообще, насколько реальна опасность модернизации штатной прошивки хакерами и заливки такой модернизированной прошивки на роутеры юзеров?

имеется в виду, что модернизированная прошивка будет полностью идентична штатной прошивке, но иметь дополнительные функции, которые может использовать хакер

Это нереально проверять. Для перестраховки могу разве что посоветовать самостоятельно залить прошивку скачанную из надёжного места (с сайта производителя).
Хотя и это может быть не панацеей, например может быть модифицированный бутлоадер, который не перепрошивается официальными прошивками.

Думаю что это один из наименьших рисков.
Усилий (опыта, знаний, времени) на создание такой прошивки надо очень много. Но механизма массового внедрения нет. Продавать единичные роутеры на авито каким-то случайным (и в основном не богатым) людям - не окупит затею, и легко найти концы.

Подобный сценарий может быть только при заранее спланированной адресной атаке, если вы например министр или олигарх.

Да в принципе всё что там для хакера может быть добавлено - это уведомление хакера об IP (подобие DDNS сервиса) и какой-то доступ в локальную сетку. Но современные версии ОС более-менее защищены от атак из локальной сетки. В давние времена может ещё какая-то подмена DNS могла бы быть (перенаправлять на фишинговые сайты вместо банка например), но сейчас из-за сертификатов это малореально.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

1. Массовое внедрение и не нужно, а как выйти на нужное место, где необходимо заменить роутер на другой (с "правильной" прошивкой) это дело техники, тем более, что 99% юзеров не знают заводской номер своей пыльной коробочки, которая пылится в прихожей и просто не заметят замены, ибо совсем не обязательно перепрошивать девайс на месте, можно просто физически поменять прибор на другой, такой же
Да и находится эта "коробочка" может не у "олигарха" дома, а (к примеру) у его любовницы, от которой тот может что то делать со своего ноута

2. Хакерам (на мой взгляд) интересен анализ трафика проходящего через роутер (на предмет выуживания паролей, логинов и прочей информации, необходимой для удалённого управления счетами)

Кстати, возможно ли (теоретически) с такого "заражённого" роутера закидывать трояны на компы, работающие через этот прибор?

HTTPS не позволяет это делать.
А банки ещё и смски для подтверждения операций требуют.

Не более чем просто из локалки.
Ну или адресная атака под конкретный кривой софт, который выкачивает себе обновления без HTTPS и без проверки подлинности.

Для массового применения заражать прошивки роутеров бессмысленно. Подозреваю что более продуктивные атаки через фишинг, заражённый варез и т.п. А при адресной атаке - да что угодно может быть, даже простой кнопочный мобильник могут перешить чтобы он нужные смски банка форвардил незаметно. И в USB-флешку засунуть GSM-передатчик.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

интересно...

но в данном конкретном случае что то было, это очевидно (см. начало)
понятно, что массово заражать роутеры особого смыла нет, имеет смысл только пробное заражение (для отработки методики)

конкретно для меня интересен вопрос: я произвёл заливку заводской прошивки, всё вроде бы прошло нормально, но вай-фай не восстановился, что это, просто совпадение, или что то осталось от "хакерской прошивки"?

как проверить что в восстановленной прошивке всё чисто?

в фото, в начале топика это только остатки того, что было в начале (я к сожалению не сфоткал это), похоже, что кто то просто развлекался, размещая на веб-морде роутера информацию про некий английский футбольный клуб

возможно там была зашита возможность баловаться со стороны интернета?

Пользовательские прошивки часто неполноценные - секция заводских настроек ими не восстанавливается (как например маки, региональные ограничения и т.п.)
Не всегда после заливки разных кастомных прошивок возможен простой откат на заводскую в виде пользовательского файла. Надо читать инструкции автора кастомной прошивки по этому поводу.

Попробуйте прошивать в режиме Emergency Web Server.

В худшем случае - надо заливать какие-то рабочие дампы через TFTP или программатором, а не через вебморду. Но для 300S что-то не вижу нигде дампов. Эта ревизия не популярная у разработчиков кастомных прошивок, так что общедоступных алгоритмов (и необходимых файлов) восстановления никто не написал…

Я думаю что там была провайдерская прошивка (может для какого-то мелкого провайдера или даже корпоративная) и она на главной странице выводила данные с сайта провайдера. Потом сайт сдох, домен был захвачен SEO-спамерами, и роутер начал показывать их рекламу…

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16