Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Валерий-Т]

В 01.12.2025 в 09:47, Master2009 сказал:

Вот пошло наконец нормальное обсуждение, а не "мы за вас лучше знаем, что вам надо", с этого и надо начинать.

Давайте подумаем, страшная ситуация, грозит взлом и ботнет. Надо как-то предупредить пользователя. Заранее взяли у него email/телефон/телеграм/Whatsapp/MAX? Нет, а почему? Хорошо, нет, уже сделано и пользователь в админку роутера вообще не заходит, торрент крутится, кино мутится. Переадресуем пользователя при входе в сеть через роутер вместо его любимого вконтактика на страницу, где пишем: "ваш роутер под угрозой, срочно обновить/измените пароль и вычистите хакеров из прошивки!" и временно блокируем доступ к админке через веб. Можно, чтобы не вмешиваться, просто блокировать доступ в админку через веб, ботнет уже не продолжит работу. Если пользователь домашний, он увидит уведомление об угрозе и поймёт, что что-то не так при следующем же доступе в сеть (как в публичном WiFi на входе). Если это Small/Home Office и таких роутеров 100 шт., то аккуратно, по согласованию с владельцем, который уже связался с Keenetic, поняв, что доступа к роутерам нет, поштучно разблокирует доступ к админке, владелец сразу заходит в роутер и меняет пароль на правильный. Если роутер домашний, пользователь позвонит установщику и договорится с ним о приходе и настройке или сам прочитает инструкцию и перенастроит. Всё. Решение возможно не оптимально, но вполне можно обсудить и найти лучше.

 

По хорошему, по правильному:
1) Роутер имеет пароль правильный или доступ извне закрыт - это безопасно.
- Ничего делать не надо (мой случай: пароль простой, но доступ закрыт).
2) Роутер имеет пароль плохой и доступ извне открыт - это опасно!
- Необходимо принять соответствующие меры:
1. Закрыть доступ извне ( - это реально необходимо!).
2. Известить пользователя ( - это по возможности).
Вместо этого, принудительно обновили ПО роутера,
попутно сломав некоторые сервисы.
Конкретно у меня (и еще были жертвы) сломался: OPKG.
Ладно, разобрался: "откуда ноги растут" и починил.
Но не все, сейчас: OPKG - работает, OPKG ssh - восстановил.
MAIN SFTP - подключается, но на ресурс не пускает.
OPKG SFTP - подключается, но на ресурс не пускает.
SMB - подключается, но на ресурс не пускает.
Права: admin - проверил, сервисы: SFTP, SMB - разрешены.
Но похоже, что нет доступа к ресурсам: SFTP, SMB.
Это не полноценный linux.
И что теперь делать?

[HEcaxap]

Уважаемые участники форума!

Просьба публиковать в теме сообщения, относящиеся к тематике раздела. Сообщения, не несущие смысловой нагрузки или не относящиеся к теме, будут удаляться.

Для свободного общения и неформальных бесед есть отдельный раздел форума. Там можно пообщаться на любые темы без ограничений.

Спасибо за понимание и уважение к другим участникам!

[Master2009]

2 часа назад, Валерий-Т сказал:

Вместо этого, принудительно обновили ПО роутера,
попутно сломав некоторые сервисы.
Конкретно у меня (и еще были жертвы) сломался: OPKG.

Только чинить, если квалификации хватит, если бэкап делали, то бэкап разворачивать или заново ставить. Сами видите текущие события, тут ничего больше не вытащить из ситуации, уж сломалось, так сломалось. Переходите в раздел OPKG, может там помогут.

[Denis P]

7 часов назад, Валерий-Т сказал:

Конкретно у меня (и еще были жертвы) сломался: OPKG.

достаточно было его повторно включить на вкладке OPKG в веб интерфейсе, больше ничего сломаться не могло
 

7 часов назад, Валерий-Т сказал:

MAIN SFTP - подключается, но на ресурс не пускает.
OPKG SFTP - подключается, но на ресурс не пускает.
SMB - подключается, но на ресурс не пускает.

читаем
https://support.netcraze.ru/ultra/nc-1812/ru/18485.html

[Master2009]

В 18.11.2025 в 18:26, Leoo сказал:

Прилетело обновление на устройство с выключенным авто обновлением =))))))
Ultra (KN-1810)» с «4.3.6» до «4.3.6.3». Сложный пароль, вход извне закрыт.

У кого ещё изменение канала обновления и компонентов прошивки в версии 4.3.6.3 блокировано в админке? Хотел бы узнать, это единичный сбой или сама прошивка блокирует? Эта настройка и выбор компонентов работает только в мобильном приложении.

 

P.S. Вопрос с блокировкой автообновления прошивки решился. Действительно несколько с костылями и вряд ли надёжно, но видимо пока вариантов нет. В Dashboard (Системный монитор) тоже информирование с постоянной записью в журнал пока отключаемо, надо только отключить показ версии прошивки в плитке "О системе" (Отображать обновления системы).

 

P.P.S. Рассчитываю что всё же сможете сделать нормальную прошивку без бэкдора и подобных "сюрпризов" больше не будет. Я бы может и поставил бы выбор настройки "обновлять, если важно" или хотя бы "информировать, если важно", если заранее предупредили бы и дали бы разобраться самостоятельно. И информирование о ситуации через роутер (переадресация, админка на входе и т.п., см. сообщения раньше) могло бы быть отдельной настройкой (по умолчанию пусть даже было бы автообновление и информирование, для важных ситуаций информирование или неотключаемо, или отключаемо, но под личную ответственность пользователя и с правом возможной блокировки доступа к роутеру через облако, если роутер взломают).

Способов много есть, главное, чтобы это был именно личный выбор клиента. Если возможно подобное поведение с принятием решений за пользователя было принято в компаниях с тайваньскими корнями, или решили подобную практику внедрить независимо от этого, переносить на российскую почву это точно не стоит.

Новая прошивка 4.3.6.3 менее стабильна, роутер перезагружается примерно раз в сутки-двое, старая 4.0.2 работала месяцами. Настройки не менял в целом, воспользовался тем, что предложила система после самообновления. Если система может вылететь в процессе записи на флешку или диск, вполне понятно, что будет, поэтому я и не ставил обновление.

Изменено 7 часов назад пользователем Master2009
Дополнил сообщение.

[Валерий-Т]

В 30.11.2025 в 20:47, Axel Pervolianinen сказал:

Предполагаю случился серьезный ботнет, причем из-за простых паролей типа 123. И прошивкой сразу убили 2 зайцев, повысили сложность пароля и покрашили ботнет. Но рассказывать о том что он был, никто конечно не будет. 

Идея хорошая, реализация кривая.
По хорошему, по правильному, должно быть так:
1) пароль плохой, доступ закрыт - ничего не дать, это опытный пользователь сделал специально!
2) пароль верный, доступ закрыт - тем более, ничего не делать!
3) пароль верный, доступ открыт, однозначно, ничего не делать!
4) пароль плохой, доступ открыт - правильней и надежней - закрыть удаленный доступ.
Пользователю выдать (как это делают инет провайдеры при нехватке средств на счете) сообщение:
Ваш пароль небезопасный, для Вашей безопасности удаленный доступ на Вашем устройстве отключен.
Вам необходимо задать правильный (безопасный) пароль, или отключить
удаленный доступ к Вашему устройству.

А что вместо этого? Принудительное обновление, сломавшее работу сервисов:
OPKG, sftp, smb (это только то что у меня случилось).
Ладно, я опытный, починил весть этот геморрой, но сколько времени пришлось затратить!
Ну и нафига козе такой крутой баян?!
Разработчик боясь испортить "свое лицо" - просто и тупо обновил всех.
ИМХО, своим действием разработчик потерял меня как клиента.
Уже ищу железку для роутера на базе linux.
 

[Master2009]

18 минут назад, Валерий-Т сказал:

Пользователю выдать (как это делают инет провайдеры при нехватке средств на счете) сообщение:
Ваш пароль небезопасный, для Вашей безопасности удаленный доступ на Вашем устройстве отключен.
Вам необходимо задать правильный (безопасный) пароль, или отключить
удаленный доступ к Вашему устройству.

У них не было возможности на старых прошивках проверить сложность пароля и вызвать реакцию прошивки на слабый пароль, в прошивку просто это не встроено, а облако просто или на роутер переадресует, или на свою заглушку, больше ничего в нём не было предусмотрено. О системе информирования клиентов тоже заранее, к сожалению, никто не подумал, работает роутер на полке, светит лампочками и ладно. Встроили только бэкдор на автообновление, видимо на крайний случай, никак не просчитав, как люди это воспримут и хорошо бы договориться заранее и выбор предоставить. Но тут случился:

1. интернет с Public Relations.

2. Ботнет с Router Relations.

Сделали первое возможное, что было. Проводить всех клиентов со старыми прошивками через процедуру "мы вас временно заблокировали из-за ботнета, введите пожалуйста  подтверждение, что у вас длинный пароль, нажав клавишу "Да"", посчитали невозможным или не решились. (и надо ввести одноразовый код с российского email/телефона/Госуслуг, что ваш пароль достаточно длинный, тогда разблокируем, какая-никакая гарантия, что это не хакер, он на это не пошёл бы)

Изменено 7 часов назад пользователем Master2009
Исправил текст.

[Валерий-Т]

10 часов назад, Denis P сказал:

достаточно было его повторно включить на вкладке OPKG в веб интерфейсе, больше ничего сломаться не могло
 

читаем
https://support.netcraze.ru/ultra/nc-1812/ru/18485.html

Очень "информативно" и "понятно"!
Реально: описанные настройки далеки от реальности на 99.(9)%
Настройки: sftp описаны в группе: "Облако личное".
Настройки прав доступа: sftp  - вообще зарыты по самое не могу.
Настройки прав доступа: smb - в явном виде не существуют.
Но подхватываются от настроек: sftp.
Это пушной зверек.

По хорошему, по правильному, ...
Это информация должна быть предоставлено пользователю: АВТОМАТИЧЕСКИ и ПРИНУДИТЕЛЬНО!
Например так, как это делают интернет операторы, когда заканчивается средства на счету клиента.
А то, что сделал Keentec - это кидалово с попадаловом,
Только для того, чтобы "отбелить свое лицо".

[Валерий-Т]

9 минут назад, Master2009 сказал:

У них не было возможности на старых прошивках проверить сложность пароля и вызвать реакцию прошивки на слабый пароль, в прошивку просто это не встроено, а облако просто или на роутер переадресует, или на свою заглушку, больше ничего в нём не было предусмотрено. О системе информирования клиентов тоже заранее, к сожалению, никто не подумал, работает роутер на полке, светит лампочками и ладно. Встроили только бэкдор на автообновление, видимо на крайний случай, никак не просчитав, как люди это воспримут и хорошо бы договориться заранее и выбор предоставить. Но тут случился:

1. интернет с Public Relations.

2. Ботнет с Router Relations.

Сделали первое возможное, что было. Проводить всех клиентов со старыми прошивками через процедуру "мы вас временно заблокировали из-за ботнета, введите пожалуйста  подтверждение, что у вас длинный пароль, нажав клавишу "Да"", посчитали невозможным или не решились. (и надо ввести одноразовый код с российского email/телефона/Госуслуг, что ваш пароль достаточно длинный, тогда разблокируем, какая-никакая гарантия, что это не хакер, он на это не пошёл бы)

А что, до этого момента не было ботнетов?!
1) Keenetic - лажался (как впрочем и другие вендоры) давно, это все сходило ему с рук.
Вот только когда запахло жаренным: ботнет случился - попытался "отмыть свое лицо".
Но "отмыл" - очень топорно.
2) Keenetic - прогнулся под цензоров: что содержит новое ПО?

[Master2009]

38 минут назад, Валерий-Т сказал:

А что, до этого момента не было ботнетов?!А что, до этого момента не было ботнетов?!
1) Keenetic - лажался (как впрочем и другие вендоры) давно, это все сходило ему с рук.
Вот только когда запахло жаренным: ботнет случился - попытался "отмыть свое лицо".
Но "отмыл" - очень топорно.
2) Keenetic - прогнулся под цензоров: что содержит новое ПО?

Так кто спорит, что надо иначе было? Вы мои простыни текста не видели? ) Я кстати полагал, что одного сообщения хватит, но пришлось объяснять.

Под цензоров, скорее всего вряд ли, не факт, да и попробуй доказать, не открывая исходный код прошивки. Тут только открытая прошивка типа OpenWRT может помочь. Или ставьте старую прошивку, возможность пока есть.

Изменено 6 часов назад пользователем Master2009
Дополнил сообщение.

[Валерий-Т]

В 28.11.2025 в 18:47, keenet07 сказал:

Никакого не вольют, если вы позаботитесь об этом. У вас наверняка есть все бэкапы, раз вы сознательно выбрали какую-то конкретную версию. Вернитесь на неё, восстановите настройки. И сделайте так чтобы больше никакие обновления к вам не приходили совсем. Всё остальное уже случилось.

По поводу что будет дальше. Сказали же что услышали нас и всё сообщат. Ждать никто не хочет.

Вернуть бакап: ПО и настроек?
А Вы сами пробовали?
Я пока разгребал последствия этой медвежьей услуги:
заливал разные версии ПО (дистры и бэкапы) и свои настройки.
Да, OPKG - починилось легко и быстро.
Права на папки для: SFTP и SMB - нет.
Только после явного задания прав для: SFTP
- заработал доступ для: SFTP и SMB.
Специально подчеркиваю: права для: SMB
- задаются в настройках: SFTP.

P. S. Вообще, штатные бэкапы ... поручик молчать.
Предпочитаю кастомные. - Надежнее.
Как показывает реальность.
 

[Валерий-Т]

В 19.11.2025 в 00:10, Илья Хрупалов сказал:

Действуйте, пожалуйста, сначала подумав, и только потом пишите, чтобы не нужно было искать ваши кривляния в прошлом.

Марка Netcraze ко всему этому никакого отношения не имеет, потому что изначально выходила на прошивках не ниже 4.3. Я понятно изъясняюсь? Мой ответ у вас нормально открывается? Без обходных путей?

 

Перечитайте до полного понимания, у кого где какие операции, тот пресс-релиз (надеюсь, он выложен без опоздания и у вас есть на это время). Крейзи -- это скорее чье-то состояние, не припоминаю такого в том релизе.

 

Да, это хорошее замечание, которое нужно в очередной раз эскалировать к разработчикам.

 

Вы можете задать этот вопрос по адресу на сайте Keenetic (если сможете его открыть), где выложены те самые бюллетени по безопасности. Я не писал этот стейтмент, но пользователи приобрели устройства у Keenetic (довольно давно, судя по обновляемым версиям), компания продолжает их поддерживать и заботиться об их безопасности так, как считает нужным, нравится это или нет. Уже сто раз прожевано на нескольких площадках, что новость о ботнете из кинетиков была бы ничуть не лучше и с куда более серьезными юридическими последствиями.

Про ботнет не надо!
Причины:

1) Kenetic облажался - обтекай!
Про безопасность он видите-ли вспомнил, а своевременно подумать...
Когда Kenetic добавил функцию удаленного доступа, не але было? 
Сколько версий ПО - после этого было выпущено?! А дыра все есть.
Решать свои ошибки и проблемы за счет других пользователей
- это не правильно, и это совсем уже не делает .Kenetic - розовым и пушистым.
- это лишний раз показывает, что Kenetic - плевать на пользователей.
Kenetic - главное сохранить: "свое лицо"

2) Пользователи ССЗБ - им это обновление: "Как собаке пятая нога".

3) Пользователи опытные - тупо и банально заложники ситуации.

[keenet07]

2 часа назад, Валерий-Т сказал:

Когда Kenetic добавил функцию удаленного доступа, не але было? 
Сколько версий ПО - после этого было выпущено?! А дыра все есть.
Решать свои ошибки и проблемы за счет других пользователей
- это не правильно, и это совсем уже не делает .Kenetic - розовым и пушистым.
- это лишний раз показывает, что Kenetic - плевать на пользователей.
Kenetic - главное сохранить: "свое лицо"

Очень давно добавил кинетик эту функцию. Я бы даже сказал совсем другие времена были. И с ботнетами было как-то полегче. То что раньше можно было установить любой пароль это не дыра, плохой UX возможно. Предупреждать о слабом пароле, вероятно нужно. Хотя каждый и должен сам это понимать. Но видимо многие не понимают.

То что они сделали, это попытка решить уже возникшую проблему о которой им стало известно. И я не про короткий простой пароль и открытый доступ из интернета. Обновили не для того чтобы что-то там в будущем не произошло, а для того чтобы пресечь то что уже случилось. Есть ли у выбранного способа недостатки, очевидно есть, пользователи писали о таких случаях. 

Изменено 2 часа назад пользователем keenet07

[keenet07]

5 часов назад, Master2009 сказал:

В Dashboard (Системный монитор) тоже информирование с постоянной записью в журнал пока отключаемо, надо только отключить показ версии прошивки в плитке "О системе" (Отображать обновления системы).

Возможно это работает на 4.x версиях, но уже не работает на 5.x.  Отключил вывод о версии и обновлениях на дашборде, перезагрузился, после перехода на дашборд начинается непрерываемая бомбордировка журнала вот этим: Core::Ndss: [1605] no registered connection.

[Master2009]

15 минут назад, keenet07 сказал:

Возможно это работает на 4.x версиях, но уже не работает на 5.x.  Отключил вывод о версии и обновлениях на дашборде, перезагрузился, после перехода на дашборд начинается непрерываемая бомбордировка журнала вот этим: Core::Ndss: [1605] no registered connection.

Сожалею, значит надо разбираться. В моём случае на 4.x версии реально помогло. Может разработчики смогут объяснить, что сделать пользователям, чтобы система стала вести себя корректно? Или возвращайтесь на старые прошивки, если есть, куда вернуться.

 

Изменено 1 час назад пользователем Master2009
Исправил текст.