Board logo

标题: 软路由被黑了。。。 [打印本页]

作者: 雾桑    时间: 2022-10-6 15:58     标题: 软路由被黑了。。。

posted by wap, platform: Chrome
前两天在网络邻居里看到台陌生名字的主机,没在意。。。
今天进软路由,发现设备名被改成了“qq166649401”
QQ上查了下这位大哥,签名写的“openwrt 注意安全”
我了个去,事了拂袖去,深藏功与名的一种feeling扑面而来
感觉除了设备名被改了,也没啥损失。。。

刷的sirpdboy高大全固件,搞过端口转发。不知哪儿中的坑。。。

本帖最后由 雾桑 于 2022-10-6 16:25 通过手机版编辑
作者: 性感枪手    时间: 2022-10-6 16:02

posted by wap, platform: iPhone
只刷mini 包
最近出了一个视频 有个搜索引擎专门手机路由器网址
作者: qazqaz    时间: 2022-10-6 16:14

posted by wap, platform: iPhone
吓尿了,隐藏ssid名有用吗?
作者: 曾经的乌兹王    时间: 2022-10-6 17:05

你有没有对外服务端口和外网访问 ssh开了外网访问没?
作者: LTFYH    时间: 2022-10-6 17:23

posted by wap, platform: VIVO
很有可能埋了后门,突破路由器就说明能访问你内部的所有设备。
作者: LTFYH    时间: 2022-10-6 17:24

posted by wap, platform: VIVO
特别是大部分人路由器都是默认密码
作者: playboy23    时间: 2022-10-6 17:37

软路由没有无线功能,IP没有公网IP,怎么做到的
作者: zydxt    时间: 2022-10-6 17:39

个人不太相信这种整合型固件包,一个是担心后门,另一个是各种软件更新不一定及时,漏洞概率高
作者: fooltiger    时间: 2022-10-6 17:41

posted by wap, platform: Chrome
你没开路由器光猫这些东西的防火墙,公网能访问你的设备。开了会好一些。
作者: landice    时间: 2022-10-6 17:48

https://www.youtube.com/watch?v= ... p;index=5&t=47s
现在有个网站可以批量扫描公网在线的openwrt路由器,然后就可以尝试皮角密码了。密码简单默认密码基本很容易中招,
通过这种方法甚至可以免费拿到不少机场节点。
https://www.zoomeye.org/
搜title:" Openwrt"
引申的还可以搜类似title:" Alist"
试试就明白了
作者: richiter    时间: 2022-10-6 18:55

posted by wap, platform: Android
没有公网ip想被黑都做不到哎
作者: bobykid    时间: 2022-10-6 20:03

posted by wap, platform: iPhone
openwrt的防火墙要禁止wan口的入站和转发,ssh不要对外网开放,uhttpd也不要对外网开放,把0.0.0.0:80/443以及[::]:80/443修改成局域网IP段
作者: fakecnc    时间: 2022-10-6 20:21

我的OPENWRT只在内网用,没有端口转发出去,应该安全吧
作者: bobykid    时间: 2022-10-6 20:29

posted by wap, platform: iPhone
引用:
原帖由 @fakecnc  于 2022-10-6 20:21 发表
我的OPENWRT只在内网用,没有端口转发出去,应该安全吧
正如楼上说的,有可能下载的固件被人留了后门,如果需求只是简单的过墙,可以使用官方的openwrt固件,现在下载页面支持即时编译了,可以把需要的插件编译进去再下载(仅限官方源提供的插件),然后自己再安装梯子
作者: dwb    时间: 2022-10-7 00:17

引用:
原帖由 bobykid 于 2022-10-6 20:29 发表
posted by wap, platform: iPhone
正如楼上说的,有可能下载的固件被人留了后门,如果需求只是简单的过墙,可以使用官方的openwrt固件,现在下载页面支持即时编译了,可以把需要的插件编译进去再下载(仅限官方源提供 ...
怎么即时编译?能详细说下吗?
作者: 爱撕衣李鸿章    时间: 2022-10-7 02:22

posted by wap, platform: iPad
软路由固件带后门的特别多
作者: bobykid    时间: 2022-10-7 05:56

引用:
原帖由 dwb 于 2022-10-7 00:17 发表

怎么即时编译?能详细说下吗?
只能编译最新版的固件(目前是22.03.0-rc6)或者Snapshot,
进入OpenWRT Firmware Selector页面,选好自己的平台(Model),选好固件版本(最新版或者SNAPSHOT)
然后点击一下Customize Instilled Packages
[attach]1194922[/attach]
然后在下面用红色框起的位置填写你需要编译进固件的插件(无需填插件版本号),
[attach]1194923[/attach]
需要注意的是,如果你使用在线编译,那么官方默认编译的固件包只包含让路由器能跑起来的最基本的插件,连Luci(也就是路由器的设置web界面)都没有添加
所有路由器的配置都得通过ssh连接到路由,通过UCI命令进行(也可以通过winscp/final shell之类的软件连接路由器,编辑/etc/config里面的文件进行配置)
因为在线编译目前不支持添加自定义的源和仓库,所以你只能添加官方源里提供的插件,不然会出错
如果你目前正在使用OpenWRT路由器,想试试在线编译固件,但是又不知道需要什么插件,可以试试ssh连接到目前正在使用的路由器,然后输入以下命令,列出你当前的路由器安装的全部固件
引用:
echo $(opkg list-installed | sed -e "s/\s.*$//")
把上述命令显示的插件全部复制,粘贴到上面Customize Install Packages的文本框里,然后再把官方源里没有的插件删除
[attach]1194924[/attach]
再点击下面的Request Build的按钮,大概两分钟就能编译好,这时候按一下那个文件夹图标(图片中红色框中的),会打开一个临时生成的连接(不知道会保存多久)
[attach]1194925[/attach]
在新打开的页面选择你需要的固件类型下载
作者: lvcha    时间: 2022-10-7 12:05

posted by wap
我觉得路由器上不对外暴露端口应该没有任何风险吧?
旁路由要想远程管理就把ssh端口改下再开放。
作者: 我爱一条柴啊    时间: 2022-10-7 12:52

posted by wap, platform: Chrome
马克
作者: kjjuhfv    时间: 2022-10-7 12:59

posted by wap, platform: Android
引用:
原帖由 @bobykid  于 2022-10-7 05:56 发表
只能编译最新版的固件(目前是22.03.0rc6)或者Snapshot,
进入OpenWRT Firmware Selector页面,选好自己的平台(Model),选好固件版本(最新版或者SNAPSHOT)
然后点击一下Customize Instilled Packages
1194922
然后在下面用红色框起的位置填写你需要编译进固件的插件(无需填插件版本号),
1194923
需要注意的是,如果你使用在线编译,那么官方默认编译的固件包只包含让路由器能跑起来的最基本的插件,连Luci(也就是路由器的设置web界面)都没有添加
所有路由器的配置都得通过ssh连接到路由,通过UCI命令进行(也可以通过winscp/final shell之类的软件连接路由器,编辑/etc/config里面的文件进行配置)
因为在线编译目前不支持添加自定义的源和仓库,所以你只能添加官方源里提供的插件,不然会出错
如果你目前正在使用OpenWRT路由器,想试试在线编译固件,但是又不知道需要什么插件,可以试试ssh连接到目前正在使用的路由器,然后输入以下命令,列出你当前的路由器安装的全部固件

把上述命令显示的插件全部复制,粘贴到上面Customize Install Packages的文本框里,然后再把官方源里没有的插件删除
1194924
再点击下面的Request Build的按钮,大概两分钟就能编译好,这时候按一下那个文件夹图标(图片中红色框中的),会打开一个临时生成的连接(不知道会保存多久)
1194925
在新打开的页面选择你需要的固件类型下载
如果自己本地编译
要添加那些插件是不是跟lean的源一样在feed里添加?
作者: javainjars    时间: 2022-10-7 13:08

posted by 论坛助手, platform: iPhone
Openwrt就下官方编译好的包
作者: serena7780    时间: 2022-10-7 13:37

防火墙做好配置,只开放需要的端口,应该问题不大吧?传入连接默认给他禁用。
作者: mting    时间: 2022-10-7 14:31

引用:
原帖由 serena7780 于 2022-10-7 13:37 发表
防火墙做好配置,只开放需要的端口,应该问题不大吧?传入连接默认给他禁用。
现在是怕第三方固件自己往外面发敏感信息
作者: xxxpso    时间: 2022-10-7 18:55

我这类小白就开开防火墙吧
作者: 今夜打老虎    时间: 2022-10-7 19:20

posted by wap, platform: Android
讲真的,没点安全知识,不要把自己的设备暴露到公网
作者: 消失在宇宙    时间: 2022-10-7 21:46

引用:
原帖由 bobykid 于 2022-10-6 20:03 发表
posted by wap, platform: iPhone
openwrt的防火墙要禁止wan口的入站和转发,ssh不要对外网开放,uhttpd也不要对外网开放,把0.0.0.0:80/443以及[::]:80/443修改成局域网IP段
有具体设置吗?
作者: zj2002ss    时间: 2022-10-8 12:41

mark
作者: rockfire    时间: 2022-10-8 13:15

mark mark
作者: lastescaper    时间: 2022-10-8 14:02

不做主路由,只当旁路由没多大事吧
作者: yufe    时间: 2022-10-9 09:07

posted by wap, platform: Chrome
自己编译的固件感觉要安全点,我喜欢把openwrt搞简单点,只留自己需要的功能
作者: eva3d    时间: 2022-10-9 09:27

posted by wap, platform: MAC OS X
软路由器不对公网开放敏感端口没事的,更大的可能性是整合包埋雷了
作者: aszx21    时间: 2022-10-9 12:35

posted by wap, platform: iPhone
看外网上说
还有很多美国政府的后门
也不知道那个安全
作者: javainjars    时间: 2022-10-9 19:08

openwrt本身开源的不放心就自己编译,其实官方编译的版本就挺好用的
作者: ydy135    时间: 2022-10-9 19:26

这也太吓人了吧,如果想的话,他是不是可以远程操纵你的电脑
作者: 消失在宇宙    时间: 2022-10-10 08:11

posted by wap, platform: iPhone
泥潭另一个帖子还建议刷别人编译好的,省心,高大上
作者: zhao    时间: 2022-10-10 08:16

posted by wap, platform: Samsung
引用:
原帖由 @消失在宇宙  于 2022-10-10 08:11 发表
泥潭另一个帖子还建议刷别人编译好的,省心,高大上
也没什么问题,99%的人会选择用别人编译好的。本身软路由就需要一定技术,如果再自己编译,基本都会劝退了。编译好的会有问题不代表所有编译好的都会有问题。看自己取舍,我没时间研究一直用别人编译的。
作者: landice    时间: 2022-10-10 10:03

引用:
原帖由 zhao 于 2022-10-10 08:16 发表
posted by wap, platform: Samsung
也没什么问题,99%的人会选择用别人编译好的。本身软路由就需要一定技术,如果再自己编译,基本都会劝退了。编译好的会有问题不代表所有编译好的都会有问题。看自己取舍,我没时间 ...
找那种更新频繁用户量大人气高的固件,这东西完全开源,如果真有后门的话很容易就被一些硬核玩家发现了,然后作者就别想在圈子里混了,所以不自己开放端口的话一般没那么大风险。
作者: kjjuhfv    时间: 2022-10-10 19:51

posted by wap, platform: Android
引用:
原帖由 @zhao  于 2022-10-10 08:16 发表
也没什么问题,99%的人会选择用别人编译好的。本身软路由就需要一定技术,如果再自己编译,基本都会劝退了。编译好的会有问题不代表所有编译好的都会有问题。看自己取舍,我没时间研究一直用别人编译的。
自己编译难度主要还是在于网络
我刚开始编译的时候光是装那些工具都下载不来
不然跟着视频编译根本不难
作者: zy_zlj    时间: 2022-10-10 20:01

不要使用这玩意做主路由,真有管理需求的,就直接软路由的机器上虚拟个centos或者其他linux系统,开放下ssh端口,尽量别用22,当然,如果追求绝对安全的话就自己编译openwrt+关闭所有外网端口
作者: dwb    时间: 2022-10-11 00:09

引用:
原帖由 bobykid 于 2022-10-7 05:56 发表


只能编译最新版的固件(目前是22.03.0-rc6)或者Snapshot,
进入OpenWRT Firmware Selector页面,选好自己的平台(Model),选好固件版本(最新版或者SNAPSHOT)
然后点击一下Customize Instilled Packages
1194922
...
尝试了一下,发现dnsmasq-full编译不进去,会出错,这是官方源里就有的插件,有办法解决吗?
作者: Saker_bobo    时间: 2022-10-11 00:37

引用:
原帖由 landice 于 2022-10-10 10:03 发表

找那种更新频繁用户量大人气高的固件,这东西完全开源,如果真有后门的话很容易就被一些硬核玩家发现了,然后作者就别想在圈子里混了,所以不自己开放端口的话一般没那么大风险。
硬核用户根本不会刷这些别人编的固件 都是纯小白用的 自己编个要啥有啥无额外垃圾的太简单了 还不需要用自己电脑
作者: bobykid    时间: 2022-10-11 00:55

引用:
原帖由 dwb 于 2022-10-11 00:09 发表

尝试了一下,发现dnsmasq-full编译不进去,会出错,这是官方源里就有的插件,有办法解决吗?
因为默认包含了dnsmasq,你直接在dnsmasq后面加上-full,不要添加完整的dnsmasq-full
作者: kidog    时间: 2022-10-11 01:53

宽带山转一圈用现成的人还是多数
作者: mildsalt    时间: 2022-10-11 23:00

卧槽这都行
作者: 咕噜咕噜咕噜    时间: 2022-10-11 23:57

整合包有后门太正常了




欢迎光临 TGFC Lifestyle (http://tgfcer.com/) Powered by Discuz! 6.0.0