HydraRoute Neo - маршрутизация доменов и CIDR

[Ground_Zerro]

@Кинетиковод

Хз. Не прогонял антивирусами. А на что конкретно ругается хоть?

[Кинетиковод]

20 минут назад, Ground_Zerro сказал:

А на что конкретно ругается хоть?

Отчёт тут.

[Ground_Zerro]

Да, догадался залезть туда.

В вирусах не силен, потому анализ исходников от Ai агента:

Цитата

readelf подтверждает: ELF32, big-endian, MIPS R3000, EXEC, статическая линковка, стрипнутый (нет .symtab, нет dynamic-секции, nm: no symbols).

Это дословно отпечаток IoT-ботнетов (Mirai, Gafgyt/Bashlite, Tsunami, Mozi): они почти всегда — статические стрипнутые MIPS/ARM ELF без зависимостей. Универсальные
сигнатуры вида ELF:Mirai-gen, Linux/Gafgyt, ELF.Agent, Trojan.Linux.Generic срабатывают уже на одной этой форме.

Поведенческие строки, усиливающие детект

Найдено в .text/.data (всё — задокументированная функциональность HRNeo, но один-в-один совпадает с индикаторами роутерной малвари):

- Загрузка модуля ядра: init_module, /lib/modules/%s/%s.ko, xt_connbytes → эвристика LKM-руткита.
- Сырой перехват пакетов: AF_PACKET, [INFO] Packet capture initialized (AF_PACKET …) → поведение сниффера.
- Перехват трафика через NFQUEUE + сырой NETLINK_NETFILTER.
- Прямая правка фаервола: iptables-restore, CONNMARK, fwmark, ip rule/ip route → «firewall tampering», классика роутерных троянов.
- Манипуляция соединениями: conntrack netlink DUMP+DELETE (conntrack: deleted %d entries).
- Системная разведка: /proc/self/exe, /proc/self/maps, /proc/modules, /proc/net/route, /sys/class/net → recon-паттерн.
- Встроенный /bin/sh (из статической glibc) + собственный HTTP/JSON-клиент к loopback:79 → для песочницы похоже на самодельный C2-beacon на нестандартный порт.

Совокупность «много сетевально-атакующих примитивов в одном маленьком статическом стрипнутом MIPS-бинаре без внешних зависимостей» максимизирует обобщённый «generictrojan»-скор.

Вывод

Это ложноположительное срабатывание (false positive) эвристики, а не находка реальной вредоносной нагрузки. Причина системная: легитимная задача HRNeo (policy-routing на
роутере) технически реализуется ровно теми же низкоуровневыми примитивами ядра и сети, что и Mirai-подобная малварь под те же MIPS-роутеры, — и при этом упаковано в тот же
формат (static stripped MIPS ELF). Сигнатурного «тела» конкретного зловреда нет; срабатывает форма + набор capability.

Что именно поднимает скор, по убыванию:
1. Static stripped MIPS BE ELF (форма IoT-ботнета) — плюс UPX, если VT-сэмпл был упакован.
2. init_module (загрузка .ko).
3. AF_PACKET-сниффинг + NFQUEUE.
4. Правка iptables/conntrack/ip rule.
5. Recon по /proc и /sys + /bin/sh.

Исходники открыты, кому нужно - проверяйте, смотрите.

[Ground_Zerro]

Для интересующихся

Принятые меры:
FP-репорты направлены вендорам.
Будет добавлен GNU build-id.
UPX сжатие - долой. Плюс ~356Кб к весу бинарника владельцам ARM надеюсь по силам.

В процессе:
Над динамической линковкой нужно подумать, это противоречит идее HRN «единый статический бинарь без зависимостей». Но "static stripped, no dynamic section" - основа сигнатуры IoT-ботнета, и увеличивает вес триггеров. Нужен компромисс.
Релизов на GitHub не планировал, но видимо придётся это пересмотреть и изучить что такое "GPG-подпись".

Изменено 30 мая пользователем Ground_Zerro

[Cranky48]

Привествую всех! Два интерфейса (мобильные yota и mts) один через ру впн для обхода ограничений провайдера по скорости и скачиванию (основной), второй под игры мтс. Так вот, мтс и йота не работает через HR при включении глобальной маршрутизации (Global Routing). На политике по умолчанию (через ру впн) все работает, если поменять политику по умолчанию, сделать выше йота или мтс тоже работает. А вот если на устройство применить другую политику, то HR не срабатывает. Есть решение? Переустановка не помогла

[Денисыч]

К сожалению уже с месяц как перестало работать. Сейчас прошивка Netcraze 1812 5.1 Beta 4, а перестало работать по-моему с 5.1 Beta 2. Создаю политику, нажимаю сохранить, и после нажатия F5 понимаю, что ничего не сохранилось. Интерфейс создаётся, в "других подключениях" в роутере присутствует, показывает, что подключён. Ставлю этот интерфейс в какую-нибудь политику в единственном экземпляре на первое место, и ничего не работает. Устройство в этой политике работает какбуд-то в политике по умолчанию. Через ssh пакеты обновлял. Что я делаю не так? Месяц назад всё летало, буквально на версии 5.1 Beta 1.

[Ground_Zerro]

5 часов назад, Денисыч сказал:

Устройство в этой политике работает какбуд-то в политике по умолчанию

Ответ где-то рядом.

[Денисыч]

1 час назад, Ground_Zerro сказал:

Ответ где-то рядом.

Кажется допёр. Прошу прощение за беспокойство. Почему-то послетали все ip адреса. 

Изменено Среда в 15:54 пользователем Денисыч

[Valhandro]

Интересно что ответа не последовало (((

[Ground_Zerro]

7 часов назад, Valhandro сказал:

Интересно что ответа не последовало (((

В исходном запросе полностью отсутствуют какие-либо технические данные. Без вводных сведений локализовать проблему и определить причину некорректной работы сможет разве что экстрасенс. В неизвестных абсолютно всё. Какое там системное окружение, что ставилось, как использовалось и т.д. и т.п. Тезис "Не работает уже месяц" слишком широк чтоб даже приблизительно понять, что на устройстве происходит и почему.

С подобными вводными рекомендация может быть только следующая:

Единственным эффективным решением в данной ситуации является полная деинсталляция всех установленных компонентов и последующая чистая установка Entware и остального ПО с нуля.

 

Лучший и наиболее быстрый способ получить помощь - написать в ТГ группу.