Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[keenet07]

2 часа назад, KeyYerS сказал:

[I] Nov 19 01:45:49 ndm: Network::Interface::Base: "PPPoE0": "ping-check" changed "ipv4" layer state "pending" to "running".
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 58 IPv4 connections.
[I] Nov 19 01:45:49 ndm: Netfilter::Util::Conntrack: flushed 20 IPv6 connections.
[I] Nov 19 01:45:49 ndm: Network::InterfaceFlusher: flushed IPv4 conntrack and route cache.
[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.
[I] Nov 21 04:32:37 pppd[355]: System time change detected.
[I] Nov 21 04:32:37 ndm: Dns::Manager: added static record for **********

Это вполне нормальная ситуация. Не провал, а процесс загрузки устройства.

До вот этого момента:

Цитата

[I] Nov 21 04:32:37 ndm: Core::System::Clock: system time has been changed.

роутер просто не знает текущую дату и время. Потому-что откуда? В нем нет внутренних часов с батарейкой.

А лог загрузки устройства то до момента синхронизации с часами в интернете писать нужно.

Вот он и берет последнюю известную дату и время которой располагает, либо со дня обновления прошивки, либо с даты её выпуска или ещё откуда-то и с неё начинает отсчет. Ну а потом, как получает верные дату и время переключается на них, что и видно в вашем логе. 

Наверное можно было скорректировать время и дату в начале лога уже после получения реального времени путем сдвига. Не знаю почему так не сделали. Видимо чтоб оставалась четкая последовательность в логе.

Изменено 21 ноября пользователем keenet07

[keenet07]

6 минут назад, KeyYerS сказал:

Как бэ....   "А хде Вы были с восьми до одинадцати?" ©   Типа в лог он свою активность за сутки 19-20.11 и вторые 20-21.11 вообще ничего не фиксировал? Я извинялся ранее, не спец в "тонкостях", но думаю что так не бывает... 
"Это ж-ж-ж-ж-ж-ж неспроста..." ©  
Время "адм-принуд обновы" = 21.11.2025_04:32:41 ** запущен, 21.11.2025_04:32:54 ** ОС обновилась...

Писал. Только всё это пропало, когда вы роутер в Nov 21 04:32 перезагрузили, ну либо он сам у вас там перезагрузился после обновления, не суть. Вместо 19.11.2025 там могла быть и более ранняя дата. Не считайте этот период. Вы ведь знаете что лог только в оперативной памяти устройства храниться?

Изменено 21 ноября пользователем keenet07

[keenet07]

8 минут назад, KeyYerS сказал:

Оригинальный однако механизм был задействован...  Одновременно с "адм-принуд обновой" принудительная зачистка предыдущего сектора лога (не дай бог что-то просочится наружу через лог роутера).

Ничего такого. Перезагрузите роутер и снова увидите разрыв во времени до момента синхронизации времени по интернету. Вы просто никогда не обращали на это внимания. А оно всегда так работает.

Не стоит концентрироваться на поисках какого-то заговора, в противном случае он будет видеться вам повсюду.

Изменено 21 ноября пользователем keenet07

[KeyYerS]

12 минут назад, keenet07 сказал:

снова увидите разрыв во времени до момента синхронизации

Роутер перезапускается за минуту-две.  Провал в двое с лишним суток и в логе и в селф-тесте ровно на этом месте, хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?
Это не паранойя, просто внимательность к мелочам, что многие упускают...🤨

[keenet07]

24 минуты назад, KeyYerS сказал:

хотя ранее есть строки про актуализацию/синхронизацию времени - начинается же всегда с ""Jan  1 00:00:07 kernel: Linux version 4.9-ndm-5...""...  
Или роутер тут как собака - где присел, там и нагадил? Откуда захотелось в логе/селфе новые строки записать - оттуда и "началось"?

Там четкая последовательность. Начинает с 1 янв, 00:00 часов. Пока загружается основная ОС. Потом в какой-то момент загрузки выставляет часовой пояс Россия/Москва, это UTC +3. Время меняется на 03:00. Потом догружается до стадии когда может где-то в системе увидеть дату прошивки или ещё что-то что он использует для этого. Меняет системную дату на эту. Потом видит вашу настройку часового пояса из конфига. Меняет часовой пояс на ваш. Снова время меняется если вы не в Московском часовом поясе. Интернета к этому моменту ещё нет. И уже только после того как загружается вся сеть и появляется интернет на устройстве, он синхронизируется с сервером времени в соответствии с вашим часовым поясом. Всё. Дальше актуальную дату и время использует.

Изменено 21 ноября пользователем keenet07

[Joyn Silver]

Я уж тут писал немного раньше. Хочу предложить предложение )). Проставьте пожалуйста хэши прошивок официальных. Объясню зачем лично мне это нужно. Вдруг кто-то сменит прошивку удаленно. Тогда я смогу выгрузить свою прошивку, прочитать ее хэш, и сравнить этот хэш с официальной. И если все ок, тогда и вопросов не будет. Так многие делают. Как мне кажется это норм. А то "седня" вы обновили, а завтра не известно кто.

[ZloyAdmin]

У меня примерно 20 роутеров, везде отключено автоматическое обновление, у меня ничего принудительно не обновилось.

Не знаю, может помогло то, что я создаю отдельного пользователя с правами только админа, а встроенному отключаю доступ на Web, встроенному генерю колбасу 25-30 символов и "забываю". И под каждый сервис/источник подключения к роутеру отдельный пользователь.

А может до меня не дошел ход)

П. С. Кстати проверка пароля на компрометацию в 4.3.6.3 применяется только ко встроенному админу или ко всем пользователям?

[dmitry.a]

Тут говорят про ssh, но как бы мне узнать ssh host server key fingerprint? А то это первое, что спросит ssh клиент. 

А ещё по ключам нет доступа. Хотя  ключи тоже не 100% защищающий вариант. Но уж сильно лучше паролей для данного кейса.

Да и вебку бы натравить на localhost, а доступ по ssh иметь через проброс порта.

[Denis P]

7 минут назад, dmitry.a сказал:

но как бы мне узнать ssh host server key fingerprint?

Внезапно

show ssh fingerprint

33 минуты назад, KeyYerS сказал:

моё предложение внимание ни у кого не привлекло?

а почему оно должно кого-то привлечь? tls ключи и сертификаты хранятся на роутере (при наличии entware можно даже на них краем глаза посмотреть), ssh из коробки отсутствует и без белого адреса по нему напрямую не зайти

[dmitry.a]

53 минуты назад, Denis P сказал:

show ssh fingerprint

Только не говорите, что надо зайти по ssh для вызова этой команды или по telnet...

[Denis P]

46 минут назад, dmitry.a сказал:

Только не говорите, что надо зайти по ssh для вызова этой команды или по telnet...

абсолютно ничего не мешает это посмотреть через webcli

[Dmitry93]

Товарищи из Necraze/Keenetic, согласно вашему же посту https://blog.keenetic.ru/pre-keeneticos-43-update/ "Последняя версия KeeneticOS 4.3 (на данный момент точный индекс 4.3.6.3) требует более надежных паролей и блокирует публичный веб-доступ, если установлен известный скомпрометированный пароль" - после обновления 4.3.6.3 роутер должен блокировать установленный известный скомпрометированный пароль.
А вы вообще уверены в том что это дейтсвительно так и в том что вы не солгали про истиные цели этого обновления вопреки желания владельцев.
Модель: Air (KN-1613) EAEU
Пароль admin1234
md5sum password: c93ccd78b2076528346216b3b2f701e6
Если вбить в гугл password c93ccd78b2076528346216b3b2f701e6 то на первой же страничке мы увидим пароль "admin1234".
Ну и что вы можете сказать ? так для чего же было обновление ? 

[keenet07]

9 часов назад, Dmitry93 сказал:

Если вбить в гугл password c93ccd78b2076528346216b3b2f701e6 то на первой же страничке мы увидим пароль "admin1234".

Да, наверное желательно требовать, как минимум смешанный регистр. А лучше ещё и наличие одного из спец символов ~ ! ? @ # $ % ^ & * _ - + ( ) [ ] { } > < / \ | " ' . , : ;

admin1234 не выглядит надежным при подборе по словарю. Но тут видимо расчет на то что есть защита на количество попыток ввода пароля. И слишком большой словарь отнимет слишком много времени и ресурсов. Но такой пароль, как выше, можно и чисто на шару случайно ручками подобрать.

Изменено 23 ноября пользователем keenet07

[Lehar]

На 4.3.6.3 пароль admin123 ещё не разрешает, а admin1234 уже разрешает.

Если требования к сложности повысить, юзеры будут вопить о сложности запоминания. Но они будут вопить в любом случае, всем не угодишь.

[keenet07]

4 минуты назад, Lehar сказал:

Если требования к сложности повысить, юзеры будут вопить о сложности запоминания. Но они будут вопить в любом случае, всем не угодишь.

Ничего. Пусть лучше запишут на бумажку или сохранят в браузере.

Почтовый ящик в интернете нигде с таким паролем не создашь. Везде требования как я выше описал. На текущий момент это единственный реально действующий метод защиты от простого пароля.

Изменено 23 ноября пользователем keenet07

[AndyU]

8 hours ago, Lehar said:

На 4.3.6.3 пароль admin123 ещё не разрешает, а admin1234 уже разрешает

Что, ждем вторую волну автообновлений прошивки?

[AndyU]

8 hours ago, keenet07 said:

admin1234 не выглядит надежным при подборе по словарю. Но тут видимо расчет на то что есть защита на количество попыток ввода пароля.

А она есть?

[Denis P]

25 минут назад, AndyU сказал:

А она есть?

с добрым утром
https://support.keenetic.ru/ultra/kn-1811/ru/22351.html

[krass]

В 20.11.2025 в 14:13, leshin papa сказал:

Ответ пришел. Сказали "спасибо" за то, что я расписал свою конфигурацию, а в сухом остатке "проблемы индейцев шерифа не волнуют", даже если у этого индейца 350+ роутеров. 

Про тему автоматического обновления роутеров, в которых оно запрещено - отмолчались. 

Ну а чего, я считаю это прям офигительное отношение! Об использрвании кинетиков или неткрэйзов не в дома  - можно забыть или забить. 

напишите, пожалуйста, помог ли вам Илья Хрупалов?
Есть ли какие-либо положительные сдвиги?
 

P.S. На 4пда данный сотрудник успешно помогал пользователям роутеров кинетика с решением их различных проблем.

[AndyU]

3 minutes ago, Denis P said:

с добрым утром
https://support.keenetic.ru/ultra/kn-1811/ru/22351.html

Спасибо, просто я всегда первым делом доступ извне к web-консоли отключаю. И дело даже не в подборе паролей, а в теоретической возможности наличии уязвимости в WWW-сервере роутера. SSH - по паролю, да прямо в админ.аккаунт (а куда - sudo не завезли ведь?) - тоже нафиг.

[Denis P]

6 минут назад, AndyU сказал:

Спасибо, просто я всегда первым делом доступ извне к web-консоли отключаю

так он ведь и не включен из коробки, или вы про полное отключение веба?

[AndyU]

Just now, Denis P said:

так он ведь и не включен из коробки, или вы про полное отключение веба?

Я последний раз настраивал Keenetic 3 года назад. Или проверял, что все лишнее отключено. Не помню уже. А полное отключение - ну никак, когда на две страны живешь. И, кстати, я не пробовал, но ведь проверка новых прошивок даже так не отключится? 

[UdjinS]

Весь мозг сломал почему тунель накрылся неожиданно на ровном месте, на РКН грешил, еще удивлялся вроде не обновлял а прошивка свежая, а теперь неделя танцев с бубном вокруг кинетика и ни фига нормально не работает, пойду микротики куплю и выкину кинетики все в помойку.

Изменено 24 ноября пользователем UdjinS

[Lehar]

Цитата

Русскоязычный «серый» хакер взламывает маршрутизаторы MikroTik и обновляет устройства, чтобы ими не могли воспользоваться криптоджекеры, операторы ботнетов или другие киберпреступники, как стало известно ZDNet.

Хакер, который представляется Алексеем и говорит, что работает администратором серверов, утверждает, что уже обезвредил более 100 000 маршрутизаторов MikroTik.

- 2018

Цитата

Эксперты по безопасности предупредили, что сотни тысяч маршрутизаторов, произведённых латвийским производителем сетевого оборудования MikroTik, уязвимы из-за критической ошибки, которая может позволить злоумышленникам удалённо управлять этими устройствами.

Джейкоб Бейнс вчера в своём блоге объяснил, что злоумышленники, использующие удалённый доступ и аутентификацию, могут использовать CVE-2023-30799 для получения root-доступа на маршрутизаторах MikroTik RouterOS.

- 2023

Удачи.

Забавно это: A меня расстроили, уйду в B; B меня расстроили, уйду в C; C меня расстроили, уйду в A.

Притом что организаций ограниченное количество и косяки есть у всех, поддерживается этот странный круговорот недовольных юзеров между банками, сотовыми операторами, маркетплейсами....

[IT-Tip]

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

 

[VVS]

3 часа назад, IT-Tip сказал:

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Осталось доказать, что

1. FirmWare роутера является компьютерной информацией.

2. Это информация охраняется законом от её автора.

3. Доступ автора к созданному им FirmWare является неправомерным.

🤣

[TheBB]

Дабы пресечь дальнейший сёр по вопросу

3 часа назад, IT-Tip сказал:

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

для ознакомления - https://rg.ru/documents/2022/12/28/document-postanovlenie-plenuma-verkhovnogo-suda.html

[mva113]

В 20.11.2025 в 19:06, keenet07 сказал:

https://blog.keenetic.ru/pre-keeneticos-43-update/

Как Я правильно понимаю роутер это собственность человека который его купил. ПО в роутере используется на основе Лицензионного соглашение которые владелец принимает при его первоначальной настройке  в котором есть пункт 6, а именно 6.3 на который так ссылаются все. Где написано: ".... При включённой функции «Автоматическое обновление ПО» Ваше Оборудование периодически загружает и устанавливает Обновления автоматически. Если Вы решите отключить функцию «Автоматическое обновление ПО», Вы сможете проверять наличие новых Обновлений в разделе меню «Общие настройки системы» и устанавливать их, нажав на кнопку «Установить обновления».". 

Весь вопрос в том, обновлять Сами не могли. Понять, простить и забыть🤣. Люди просят только одно сделайте полный запрет на обновления и полный запрет на взаимодействие с какими либо службами из вне которые не управляются не посредственно с роутера и его не посредственным владельцем (то-есть что бы компания производитель не могла удалённо что либо делать как бы экстренно по их мнению это не было.). Вы уже написали что над обновлениями думаете, будем ждать Вашего решения и очень надеемся что это не из разряда " что обещанного три года ждут". Так как не всегда обновления встают так как Всем хочется (без сбоев).

[gaaronk]

А почему все спрашивают "как эту функцию отключить"?

После того что произошло эта функция должна быть полностью удалена из всех версий прошивок.

Ее не надо отключать, ее не должно быть вообще.

[NerasW]

А почему никто не пишет о том, что после обновы нельзя зайти на веб-интерфейс не приняв НОВОЕ соглашение?