Есть модем D-LinkDSL-500T.
Версия прошивки: V2.00(сегодня уточню и отпишу точно полностью).

Вообщем ситуация такова: при отключенном eternet порту (т.е. в модем никакой РС или еще что не подключено) начинаю фиксировать что модем постоянно сканирует чужие IP-подсети на номер порта 23 (telnet). Такого трафика просто куча. И затем раз в час вижу некоторое количество входящего трафика (5-10 Мб в час) с 80 порта с разных IP-адресов. По этим удаленным айпишникам по всем открывается сайт rapidshare.com.

В итоге имеем кучу непонятного трафика.

Я мог бы логично предположить что если с модемом соединен комп, то такое наличие трафика было бы вполне реально. НО КАК объясните мне такое может быть, если в модем не включено никакое оборудование?

Уязвимость в прошивке модема?

Очень бы хотелось получить ответ от самих инжинеров ДЛинка, ибо наверняка если что-то подобное имело место то они как никто иной знают это.
Была ведь уязвимость с snmp - была!

Господа инженеры Длинк, прокомментируйте пожалуйста ситуацию.

Попробуйте, пожалуйста, эту прошивку: ftp://ftp.dlink.ru/pub/ADSL/DSL-500T/Fi ... 071212.zip
Такого быть не должно.

Спасибо попробую, о результатах отпишусь.

На данный момент прошивка
Firmware Version : V2.01B01T01.RU.20060620

оставил модем включеным на ночь...без подключенного к нему РС (т.е. в eth порт ничего не подключено).
В итоге за ночь набежало 100МБ входящего трафика.
Трафик имел характер описанный выше.

Щас залью прошивку предлоенную вами.

После обновления прошивки модема до V3.02B01T01.RU.20071212 проблема исчезла, при аналогичных условиях тестирования лишнего трафика практически не наблюдается.
Вывод - не используйте V2.01B01T01.RU.20060620

Похоже причиной явилось вот что:
http://www.dronebl.org/blog/8

Выдержка с доки:


Очень похоже на наш случай.

Тока меня интересует вопрос, последняя прошивка в случае если злоумышленник получит доступ на модем по telnet/ssh/web также подвержена такому заражению?

червяк сканирует и заражает только в том случае
когда админиатрстивные порты открыты в WAN
и на них либо запущены уязвимые сервисы (в частности например tftp может быть уязвим) либо брутфорсится пароль

большинство пользователей обычно не удосуживаются сменить
admin/admin
support/support
user/user

прекрасно работает на linux mipsel (большинство SOHO роутеров, в т ч ДЛинк)


Выход - административные порты в сторону WAN закрывать (для T серии - необходимы последние прошивки)
Пароли обязательно менять
UPNP отключать

Лилу, вы абсолютно правы, нашел щас еще один такой роутер, симптомы теже. Пароли действительно дефолтные и удаленное управление по вэб с WAN открыто =)

http://www.opennet.ru/opennews/art.shtml?num=20918

собсно вот, советую озаботиться защитой от этой беды