磊科235W/磊科236W疑似被“入侵”的半永久解决方案!
本帖最后由 realjack 于 2015-11-30 12:33 编辑磊科235W/磊科236W被“入侵”的半永久解决方案!
11月30日更新:官方已放出修正固件,好不好用不知道,附上官方下载地址,胆大的刷吧!
官方235W漏洞修复固件:
http://www.netcoretec.com/download_detail/&downloadsId=336.html
官方236W漏洞修复固件:
http://www.netcoretec.com/download_detail/&downloadsId=337.html
本文相关固件及工具下载链接: http://pan.baidu.com/s/1eQkCvvk 密码: imqp
为避免口水战,本贴旨在分享和讨论如何解决被“入侵”的问题,至于原因及入侵方式本贴不作任何探讨,谢谢!
为何称为“半永久解决方案”?因为可能还有为止的后门端口,故不能保证下文所提到的方法能彻底根除这个问题。官方如果出修正固件了那最好,虽然1.8版做的很渣,但万一有新版本了呢?
本人因网络原因,24小时接入互联网的分别是一台235W和2台236W。
235W因需要远程访问监控设备开启了DMZ,未发现被入侵。
其中一台236W是作为二级路由使用也未发现被入侵。
另一台236W使用PPPOE拨号的方式直连外网,发现被入侵。
故障现象为后台登陆密码被非法篡改,网络流量异常,断网重新上传配置文件后发现CPU占用极速升高,约3分钟后后台登陆密码再次被非法篡改。故基本可以判断为利用固件自身的调试端口(所谓的后门)来达到“入侵”直连外网的该系列路由器的目的。
解决方案:
本坛已有大神总结出来,本人这里引述一下。
方案一:
如下图所示:开启路由器的“DMZ”功能,填入一个内网不使用的IP地址即可。如果你要使用DMZ这个功能请看方案二。
方案二:(推荐使用此方案)
如下图所示:开启路由器的“虚拟服务”功能,将目前已知的后门端口“5357”和“53413”添加进去,并指定到一个内网不用的IP上即可。相信很少有人会用到这两个端口。这边我直接把UDP和TCP的访问都干掉了。
以上两种方法均测试超过72小时,未见再次被“入侵”的情况!
操作步骤:
①断开路由器与外网的连接。
②重启路由器,使用TFTP工具中断路由器启动,进入“miniweb”点击“restore default nvram values”然后点“continue”就行了!中断启动和进入miniweb的方法请参见本人的刷机贴(http://www.anywlan.com/thread-347337-1-1.html 视频2分05秒那边开始看)
③重新开机登陆路由器后台,此时的账户密码是默认的“guest”和“guest”,选择升级固件,重新上传原版固件。这里说明一下因各大神制作的的CFE不一样,附件中的固件仅支持使用我刷帖内提供的CFE和固件刷成功的机器。其它方法刷的机器因不知道CFE是否适配请自行甄别是否可以使用。
④如果是非正版机,请再次中断启动进入“miniweb”清除一下NVRAM,否则可能会有莫名其妙的问题。
⑤导入之前未被入侵时保存的配置或重新设定参数。
接入外网前请务必使用上述提到的方案先做好映射之后再接入外网,否则可能前功尽弃。
答疑:
Q1:为何一定要重刷固件?
答:因不知道入侵的程度如何,推断不出固件的受损情况。之前已有坛友断网恢复出厂设置之后,并添加了端口映射,接入外网后再次出现故障。
Q2:为何登陆路由后台刷而不使用TFTP工具直接刷入新固件?
答:考虑到玩机的坛友水准有高有低,保险起见还是web刷入较为安全,如果有能力的坛友推荐使用TFTP工具刷入固件,这个方法是最干净,最斩草除根的方法!
Q3:无法中断启动怎么办?
答:针对部分半砖机可能会出现无法中断启动的情况,可以使用Telnet命令来清空和重建NVRAM,具体操作方法参考本人的刷机贴这里不再赘述。
具体命令如下:每执行一步稍作等待再执行下一步!
mtd -r erase nvram
nvram commit
reboot
本文只是总结经验,抛砖引玉,欢迎探讨!
RealJack
2015.11.29
阿Dee 发表于 2015-12-5 16:58
楼主你好,请问WAN口负载比例怎么设置好 。
WAN1: 100M WAN2: 50M
理想很美好,现实很骨感。曾经我也想像你说的那样,不同应用走不同的线路,从而发挥多拨的优势,无奈现在的浏览器也好,应用软件也罢很多都是动态端口的,也就是说每次启动应用所调用的端口都不一样,除非你不用网银或一些证书类的应用,否则物理双拨或多拨通过调整端口策略来达到不同应用走不同通道是无解的。若要解决这个问题,方法只有两个:①提高快带速率。②采用单线多拨的方法。方法一不用多说,砸钱就是。这里聊聊方法二,单线多拨最大的好处就是对外IP还是一个,解决了物理多拨那样会出现N个IP的问题!其次,单线多拨能避免负载均衡的问题。最后单线多拨能有效简化设置难度,并提升QOS的效率!只可惜单线多拨的功能一般在第三方固件厂商才会出现。磊科的话只有一款235W1.5BETA是支持单线多拨的,而且有BUG不是很完善。
最后说一下负载的问题,磊科固件的负载设置尽量不要用类似于2:1这样的参数。我这边和你一样,WAN1百兆,WAN250兆。我根据实际测得的结果设定的比例是7:3,供你参考! 谢谢分享 本帖最后由 Evidence 于 2015-11-29 22:21 编辑
朋友们5台直连外网的235W,上门设置DMZ方案,运行24小时后未发现登录密码被非法篡改,所以我暂时不刷机。
过几天我再继续反映情况。 我的也没问题。。开了dmz的。 我也发现我的NW752 刷的NR235W 出问题了 一搜 有坛友出方法了 本来以为出问题了 要换机了呢:lol 好人啊!!!!!!! 谢谢分享!卤煮辛苦了 :victory:好贴收藏 求解。。。。。 磊科就是一垃圾啊,被攻击也不发个公告,害我礼拜五上不网,股票卖不出去亏了30000多。艹............................. 请求,磊科236W开机可以进入设置页面,约20分钟以后就无法进入设置页面了,用户名和密码都正确。拔掉电源线重启就可以进入,但是过了20分钟又不行了。恢复出厂设置后导入设置文件还是一样,机器是1.8版的。