Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[krass]

1 час назад, Илья Хрупалов сказал:

Да, уже думаем в том числе и над этим.

Спасибо! ( почему-то не могу теперь поставить реакцию или лимит или... не знаю что)

Жду скорейшего решения. Оповестите нас здесь , пожалуйста, когда вам станет известно о механизме/способе отключения forceupdate. 

[Илья Хрупалов]

2 часа назад, leshin papa сказал:

не волнуют

Я очень сожалею по вашему конкретному кейсу, и волнуют. Не закрывайте обращение.

[VecH]

Не починили нормальное обновление по воздуху с прошивки 4.1.7 до любой свежей

После обновления постоянная потеря пакетов (каждый 10-11 пакет стабильно теряется), что сводит на нет любые онлайн звонки

 

Я специально откатился на 4.1.7, где все работает стабильно и меня устраивает на роутерах Keenetic Runner 4G (у меня их больше 4 штук, установлены у родственников в деревнях)

Автообновления выключены, а теперь обнаруживаю что они самообновились

Мне теперь почти 3 тысячи км. лететь обратно что бы все это менять на оборудование другого производителя (а лучше на openwrt, благо сейчас есть выбор)

Я понимаю что эта проблема решается накатыванием свежей прошивки и настройкой с нуля (без восстановления ранее сохранённой конфигурации), но летать по несколько тысяч км. накладно

 

100% меняю производителя.

Это что за самодеятельность, с кинетиком никакого бэкдора бояться не надо, оно само по себе уже дырявое

Изменено Четверг в 15:58 пользователем VecH

[keenet07]

https://blog.keenetic.ru/pre-keeneticos-43-update/

[AndyU]

23 hours ago, VVS said:

Может быть фирма решила, что дешевле "рассердить" несколько сотен пользователей типа тех, кто тут возмущается

Статью https://habr.com/ru/news/967370/ за 3 дня прочитали уже 9 000 человек...

[VVS]

14 минут назад, AndyU сказал:

Статью https://habr.com/ru/news/967370/ за 3 дня прочитали уже 9 000 человек...

Ну и что?

И я прочитал, и коллегам на работе ссылку кинул для общего развития (у них тоже Кинетики).

[AndyU]

12 minutes ago, VVS said:

Ну и что?

И я прочитал, и коллегам на работе ссылку кинул для общего развития (у них тоже Кинетики).

Что потенциально рассерженных пользователей как бы не на 2 порядка больше оценки из вашего предыдущего сообщения.

[VVS]

10 минут назад, AndyU сказал:

Что потенциально рассерженных пользователей как бы не на 2 порядка больше оценки из вашего предыдущего сообщения.

И я и мои коллеги статью прочитали, но ни в коей мере не являемся рассерженными пользователями...

[AndyU]

1 hour ago, VVS said:

И я и мои коллеги статью прочитали, но ни в коей мере не являемся рассерженными пользователями...

Профессионалы? Приняли к сведению? Или согласны с "политикой партии и правительства"?

P.S. Меня тоже информация из той статьи не рассердила. Ковбой просто сказал - "два".

[AndyU]

On 11/19/2025 at 10:25 PM, Кинетиковод said:

Главное пострадавшие от обновления до сих пор не объявились.

См. например: https://4pda.to/forum/index.php?showtopic=1095524&view=findpost&p=140309271

Quote

На kn-3910 есть проблема с неработающим портом wan на прошивке 4.3.6.3 Сам с этим столкнулся и по отзывам на маркетплейсах, не я один. На прошивках 4.3.2 и 5.0.0 всё отлично работает на kn-3910.

 

[Joyn Silver]

Добавлю и свои 5 копеек по поводу случившегося. Два года назад у асуса была похожая проблема. Поэтому когда стал выбор купить новый роутер, решил купить кенетик. Видимо ошибся с выбором. Сейчас опять встает выбор, в другом месте и это не будет ни асус ни кенетик. Уточню что в важном для меня месте автобновление не произошло. Но в одном из офисов обновился, без последствий. Теперь по существу. Сказать что меня настораживает такое поведение вендора - ничего не сказать. И самое важное что бы я мог пожелать производителю, уберите эту возможность раз и на всегда. Иначе то что может случится, обязательно случиться. А случится может вот что. В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.

[VVS]

8 часов назад, AndyU сказал:

Профессионалы? Приняли к сведению? Или согласны с "политикой партии и правительства"?

Профессионалы, имеющие некоторое отношение к компьютерной безопасности.

И смотрим на это дело даже с некоторой толикой зависти, что вот мол у некоторых хоть иногда есть инструмент, чтобы заставить юзеров соблюдать эту самую компьютерную безопасность.

Не, если спросить официально, то, скорее всего, осудим и заклеймим, но в душе IMHO думаем, что вот так оно и нужно.

[Илья Хрупалов]

Нисколько не извиняя крайность решения Keenetic, вот, кстати, что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

[krass]

31 минуту назад, Илья Хрупалов сказал:

Нисколько не извиняя крайность решения Keenetic, вот, кстати, что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

Вдруг не у всех откроется: сжатый отчет в пдф.

Спойлер

fix STRIKE_Asus_WrtHug-Report_V6.pdf

 

[AndyU]

7 hours ago, Joyn Silver said:

В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.

Так у какого-то их партнера уже утекали какие-то данные (2023?), но тогда ограничились рекомендацией поменять пароли, если не меняли после утечки. 

[Илья Хрупалов]

24 минуты назад, AndyU сказал:

уже утекали

Там не было никакого злонамеренного взлома, просто исследователи сканером нашли. Через подобных исследователей устраняется довольно много уязвимостей, это скорее даже рутинная работа. Почему и как в итоге вытекли результаты -- отдельная тема.

[krass]

Теперь взялись за длинки:

https://xakep.ru/2025/11/21/dir-878/

https://cybersecuritynews.com/d-link-eol-eos-router-vulnerabilities/

 

Компания D-Link сообщила, что не будет выпускать обновления безопасности для устаревших DIR-878 и рекомендует владельцам заменить уязвимые роутеры.  // "гениальное" решение от компании длинк.

[bigpu]

Мне непонятно другое немного, почитывая сей тред на 7-ми страницах, в наличии было:

- "Функция защиты от перебора паролей для доступа к интернет-центру"

-  2-3 года минимум, с момента диалога за пришитое гвоздями имя пользователя "admin" и ответ, что и так сойдет 

А по итогу что? Замах на 1000, а удар на рубль - обновление, с выключенным обновлением.

Лично мне интересна не вся эта демагогия и редкое робкое "простите", а как будет изменяться под текущие реалии и будет ли, механизм "Функция защиты от перебора паролей для доступа к интернет-центру" и до коле будет фигурировать пользователь "admin" в прошивке?

...рыба воняет с головы😉

 

[KeyYerS]

8 часов назад, Илья Хрупалов сказал:

...что бывает с необновляемыми заброшенными производителем роутерами: https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/...

Все 11 страниц сводятся к двум "вещам":   TLS и SSH.   Разве проблема изначально административно в прошивке запрещать доступ извне (не в лок-сетке) по этим "лазейкам"?

TLS (как я понял) генерится "на лету" серверами компании. Простому юзеру даже не видно ни его даты, ни подписи, ни контро-суммы (или как оно там обзывается). Роутер "поздоровался" с сервером - да и обновил себе сертификат...  Я же полагаю, что в прошивке не так просто сменить адрес, куда "стучаться"?

Может я (как и многие владельцы) не использую эти самые эсэсаши и прочие "плюшки", как более сведущие пользователи продукции компании, поскольку мне достаточно вебки или приложения для элементарных операций.

Да простят меня гуру Линукса и прочего...   Зачем /это цензурно и мягко говоря/ в роутерах эти "псевдо-бонусы" типа эсэссаша, коими могут пользоваться только единицы/десятки пользователей из (вероятно) уже нескольких миллионов владельцев?

Покурил на досуге селфы/логи одного из своих "административно-принудительно обновлённых" - там обнаружил:
а) провал в двое суток в журнале, б) видимо специальный тестовый бан на 15 минут двух айпишников.

Спойлер

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Спойлер

[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:29 ndm: Http::Manager: updated configuration.
[I] Nov 21 04:34:29 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:29 ndm: Core::Session: client disconnected.
[I] Nov 21 04:34:30 ndhcps: NDM DHCP Server, v3.2.57.
[I] Nov 21 04:34:30 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Nov 21 04:34:30 ndm: Core::Session: client disconnected.
[I] Nov 21 04:35:30 ndm: Netfilter::Util::Conntrack: flushed 184 IPv4 connections for 167.99.182.39.
[I] Nov 21 04:35:30 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 167.99.182.39 for 15 minutes.
[I] Nov 21 04:35:31 ndm: Netfilter::Util::Conntrack: flushed 188 IPv4 connections for 206.81.12.187.
[I] Nov 21 04:35:31 ndm: Netfilter::Lockout::Manager: "Http": ban remote host 206.81.12.187 for 15 minutes.
[I] Nov 21 04:50:30 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 167.99.182.39.
[I] Nov 21 04:50:31 ndm: Netfilter::Lockout::Manager: "Http": unban remote host 206.81.12.187.

Тапками прошу не кидаться... 🙄

[keenet07]

2 часа назад, KeyYerS сказал:

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Это вполне нормальная ситуация. Не провал, а процесс загрузки устройства.

До вот этого момента:

Цитата

[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.

роутер просто не знает текущую дату и время. Потому-что откуда? В нем нет внутренних часов с батарейкой.

А лог загрузки устройства то до момента синхронизации с часами в интернете писать нужно.

Вот он и берет последнюю известную дату и время которой располагает, либо со дня обновления прошивки, либо с даты её выпуска или ещё откуда-то и с неё начинает отсчет. Ну а потом, как получает верные дату и время переключается на них, что и видно в вашем логе. 

Наверное можно было скорректировать время и дату в начале лога уже после получения реального времени путем сдвига. Не знаю почему так не сделали. Видимо чтоб оставалась четкая последовательность в логе.

Изменено 3 часа назад пользователем keenet07

[KeyYerS]

45 минут назад, keenet07 сказал:

...роутер просто не знает текущую дату и время. Потому-что откуда? В нем нет внутренних часов с батарейкой.

А лог загрузки устройства то до момента синхронизации с часами в интернете писать нужно....

Как бэ....   "А хде Вы были с восьми до одинадцати?" ©   Типа в лог он свою активность за сутки 19-20.11 и вторые 20-21.11 вообще ничего не фиксировал? И ни разу своё время не сверял? Я извинялся ранее, не спец в "тонкостях", но думаю что так не бывает... 
"Это ж-ж-ж-ж-ж-ж неспроста..." ©  
Время "адм-принуд обновы" = 21.11.2025_04:32:41 ** запущен, 21.11.2025_04:32:54 ** ОС обновилась... - судя по уведомлению в приложение.

Изменено 4 часа назад пользователем KeyYerS

[keenet07]

6 минут назад, KeyYerS сказал:

Как бэ....   "А хде Вы были с восьми до одинадцати?" ©   Типа в лог он свою активность за сутки 19-20.11 и вторые 20-21.11 вообще ничего не фиксировал? Я извинялся ранее, не спец в "тонкостях", но думаю что так не бывает... 
"Это ж-ж-ж-ж-ж-ж неспроста..." ©  
Время "адм-принуд обновы" = 21.11.2025_04:32:41 ** запущен, 21.11.2025_04:32:54 ** ОС обновилась...

Писал. Только всё это пропало, когда вы роутер в Nov 21 04:32 перезагрузили, ну либо он сам у вас там перезагрузился после обновления, не суть. Вместо 19.11.2025 там могла быть и более ранняя дата. Не считайте этот период. Вы ведь знаете что лог только в оперативной памяти устройства храниться?

Изменено 4 часа назад пользователем keenet07

[KeyYerS]

35 минут назад, keenet07 сказал:

Писал. Только всё это пропало...

Благодарю, внесли ясность. Но осадочек таки остался...

Оригинальный однако механизм был задействован...  Одновременно с "адм-принуд обновой" принудительная зачистка предыдущего сектора лога/селф-теста (не дай бог что-то просочится наружу).

 

Изменено 4 часа назад пользователем KeyYerS

[keenet07]

8 минут назад, KeyYerS сказал:

Оригинальный однако механизм был задействован...  Одновременно с "адм-принуд обновой" принудительная зачистка предыдущего сектора лога (не дай бог что-то просочится наружу через лог роутера).

Ничего такого. Перезагрузите роутер и снова увидите разрыв во времени до момента синхронизации времени по интернету. Вы просто никогда не обращали на это внимания. А оно всегда так работает.

Не стоит концентрироваться на поисках какого-то заговора, в противном случае он будет видеться вам повсюду.

Изменено 4 часа назад пользователем keenet07

[KeyYerS]

12 минут назад, keenet07 сказал:

снова увидите разрыв во времени до момента синхронизации

Роутер перезапускается за минуту-две.  Провал в двое с лишним суток и в логе и в селф-тесте ровно на этом месте, хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?
Это не паранойя, просто внимательность к мелочам, что многие упускают...🤨

[keenet07]

24 минуты назад, KeyYerS сказал:

хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?

Там четкая последовательность. Начинает с 1 янв, 00:00 часов. Пока загружается основная ОС. Потом в какой-то момент загрузки выставляет часовой пояс Россия/Москва, это UTC +3. Время меняется на 03:00. Потом догружается до стадии когда может где-то в системе увидеть дату прошивки или ещё что-то что он использует для этого. Меняет системную дату на эту. Потом видит вашу настройку часового пояса из конфига. Меняет часовой пояс на ваш. Снова время меняется если вы не в Московском часовом поясе. Интернета к этому моменту ещё нет. И уже только после того как загружается вся сеть и появляется интернет на устройстве, он синхронизируется с сервером времени в соответствии с вашим часовым поясом. Всё. Дальше актуальную дату и время использует.

Изменено 4 часа назад пользователем keenet07

[Joyn Silver]

Я уж тут писал немного раньше. Хочу предложить предложение )). Проставьте пожалуйста хэши прошивок официальных. Объясню зачем лично мне это нужно. Вдруг кто-то сменит прошивку удаленно. Тогда я смогу выгрузить свою прошивку, прочитать ее хэш, и сравнить этот хэш с официальной. И если все ок, тогда и вопросов не будет. Так многие делают. Как мне кажется это норм. А то "седня" вы обновили, а завтра не известно кто.