Удаленный сервер журнала asus

В админке роутера включаем Удаленный сервер журнала (вбиваем свой IP).
в /etc/rsyslog.conf
включаем прослушивание udp (раскомментируем две строчки)
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

слушаем tcpdump‘ом, что нам приходит на этот порт (нужен айпишнек роутера).. У меня сообщения приходят от домена провайдера.
Поэтому создаю файл со следующим содержимым:
nano /etc/rsyslog.d/rt-g32.conf
:source, isequal, "host-*-*-*-*.domen.com" /var/log/router.log
:source, isequal, "host-*-*-*-*.domen.com"

вторая строчка, что бы пришедшее сообщение далее по конфигу не обрабатывалось.
вместо звездочек – айпишнек. вопщем адрес должен быть такой, какием его показывает tcpdump.
Обновляем конфиг:
service rsyslog reload

создаем файл, куда будет сваливаться лог.
touch /var/log/router.log
chown root:adm /var/log/router.log

Если всё сделали правильно – лог заполняется. Если не правильно – пищит спикер и сообщение заносится в системный журнал. Если открыт терминал – вывод так же идет на него. Если сделали еще неправильнее – ни чего не получаем.

Страница 22

Руководство пользователя роутера RX3041 V2

На этой странице показана активность роутера и параметры удаленного журнала. Кроме
отображения, журнал активности может быть отправлен в другое место. Журнал может быть
отправлен по электронной почте.

System Log: Показывает активность роутера.

Remote Log: Включите эту опцию для отправки журнала на удаленный сервер.

Send log to: Введите IP адрес удаленного сервера.

Email Log: Включите эту опцию для отправки журнала по электронной почте.

Send Email to: Введите адрес электронной почты для отправки журнала.

SMTP server: Введите адрес SMTP сервера, используемого для отправки журнала.

Xakep #248. Checkm8

Еще в январе 2017 года исследователи компании Nightwatch Cybersecurity обнаружили ряд уязвимостей более чем в сорока моделях роутеров Asus RT. Так как исследователи незамедлительно уведомили разработчиков Asus о проблемах, в марте 2017 года компания выпустила обновленную версию прошивки. Ниже можно увидеть список уязвимых устройств (специалисты подчеркивают, что он неполон). Всем владельцам роутеров данных моделей рекомендуется проверить версию прошивки и убедиться, что она не ниже v3.0.0.4.380.7378.

  • RT-AC51U
  • RT-AC52U B1
  • RT-AC53
  • RT-AC53U
  • RT-AC55U
  • RT-AC56R
  • RT-AC56S
  • RT-AC56U
  • RT-AC66U
  • RT-AC68U
  • RT-AC68UF
  • RT-AC66R
  • RT-AC66U
  • RT-AC66W
  • RT-AC68W
  • RT-AC68P
  • RT-AC68R
  • RT-AC68U
  • RT-AC87R
  • RT-AC87U
  • RT-AC88U
  • RT-AC1200
  • RT-AC1750
  • RT-AC1900P
  • RT-AC3100
  • RT-AC3200
  • RT-AC5300
  • RT-N11P
  • RT-N12 (только версия D1)
  • RT-N12+
  • RT-N12E
  • RT-N16
  • RT-N18U
  • RT-N56U
  • RT-N66R
  • RT-N66U (только версия B1)
  • RT-N66W
  • RT-N300
  • RT-N600
  • RT-4G-AC55U (патча пока нет)
Читайте также:  Программы для ведения инстаграмм на пк

В блоге Nightwatch Cybersecurity можно найти подробное описание всех обнаруженных проблем, а также proof-of-concept эксплоиты для них. Ниже мы приводим краткое описание уязвимостей.

CSRF на странице логина (CVE-2017-5891): страница входа в админку роутера не защищена от CSRF-атак, а значит, атакующий может заманить пользователя на вредоносный сайт и оттуда осуществить запрос к странице логина. Этот баг можно использовать для входа в панель администратора, если устройство использует учетные данные по умолчанию (admin/admin), или в том случае, если злоумышленник знает логин и пароль жертвы.

Сохранение настроек CSRF (CVE-2017-5891): используя описанную выше проблему, атакующий может изменить сетевые настройки или настройки безопасности роутера, а также учетные данные.

JSONP раскрывает информацию, аутентификация не требуется: JSONP отвечает на запросы извне, сообщая злоумышленнику такую информацию, как модель роутера, SSID, IP-адреса и так далее.

JSONP раскрывает информацию, требуется аутентификация (CVE-2017-5892): как и в вышеописанном случае, JSONP раскрывает данные об устройстве, в том числе более подробную информацию о сети, настройки access point, внешний IP-адрес, данные WebDAV и так далее.

XML-эндпоинт позволяет узнать пароль от Wi-Fi: для реализации атаки нужно, чтобы злоумышленник находился в той же сети и знал пароль администратора, после чего можно обратиться к XML и узнать пароль от Wi-Fi.

Однако это не все уязвимости, которые разработчики Asus устранили в новой версии прошивки. Еще несколько проблем в роутерах серии RT обнаружил независимый исследователь Бруно Бирбаумер (Bruno Bierbaumer). Среди его «находок» были XSS на странице логина (CVE-2017-6547), баг, позволяющий похищать сессии (CVE-2017-6549), а также опасная RCE-уязвимость (CVE-2017-6548).