Главная » Лайфхаки

Компьютерные вирусы, которые атакуют роутеры и другие сетевые устройства

Автор На чтение 8 мин Опубликовано

За двадцать лет работы с сетями я насмотрелся всякого. От корпоративных гигантов, где каждый чих под контролем, до домашних сетей, где роутер стоит на холодильнике, мигает огоньками и молчаливо пропускает через себя весь трафик. И вот тут-то и кроется главная засада: большинство людей воспринимают свой роутер как черную коробку, которая просто «раздает интернет». А ведь это, по сути, мини-компьютер, который круглосуточно смотрит в интернет, и при этом он часто остается самым незащищенным звеном в домашней или даже небольшой офисной сети. В моей практике эти «черные коробки» порой превращались в настоящие Троянские кони, открывающие ворота для куда более серьезных проблем.

Содержание
  1. Почему роутеры — лакомый кусок?
  2. Типичные векторы атак, которые я видел
  3. Когда роутер «заболел»: симптомы и реальные кейсы
  4. Мои личные истории из окопов
  5. Мой «боевой» набор лайфхаков для защиты
  6. Первый шаг: смените все пароли
  7. Второй шаг: прошивка — наше всё
  8. Третий шаг: отрубите лишнее
  9. Четвертый шаг: DNS — ваш невидимый щит
  10. Пятый шаг: следите за поведением
  11. Бонус-трек: провайдерские роутеры — отдельная песня

Почему роутеры — лакомый кусок?

Ну вот честно, почему хакеры так любят роутеры? Причин несколько, и все они до боли банальны. Во-первых, роутер всегда включен. Всегда. Это идеальный плацдарм для постоянной работы вредоносного кода. Во-вторых, он стоит на границе вашей сети и внешнего мира, контролируя весь входящий и исходящий трафик. Представьте, если злоумышленник получает над ним контроль: он может перенаправлять вас на фишинговые сайты, шпионить за вашим трафиком, или, что чаще всего, использовать ваш роутер как часть огромной армии зомби-устройств — ботнета, для проведения DDoS-атак на кого-то другого. В-третьих, и это самое печальное, большинство пользователей просто не заботятся о безопасности своих роутеров. Купили, воткнули, забыли. А это, поверьте, как оставить дверь в квартиру нараспашку с запиской «Заходите, берите что хотите».

Типичные векторы атак, которые я видел

  • Слабые или дефолтные учетные данные: это классика, которая до сих пор работает. Админ/админ, root/12345, или просто пароль, написанный на наклейке роутера. Сколько раз я приходил к клиентам, у которых роутер был уже заражен, а на вопрос «пароль меняли?» получал округленные глаза. Типичный D-Link DIR-300/615, который до сих пор у многих стоит, это просто решето, если на нем заводская прошивка 2012 года и дефолтный пароль.
  • Устаревшее программное обеспечение (прошивка): производители роутеров, как и разработчики ОС, постоянно находят и закрывают уязвимости. Но кто обновляет прошивку? Единицы. В моем опыте, модель TP-Link WR841N, которую до сих пор можно найти в каждом втором подъезде, это просто золотая жила для сканеров, если на ней древняя прошивка. А уж про условные MikroTik, которые при всей своей мощи могут стать дырой, если не обновлять RouterOS до актуальных версий с закрытыми CVE, и говорить не приходится.
  • UPnP (Universal Plug and Play): эта функция должна упрощать жизнь, автоматически открывая порты для приложений типа торрент-клиентов или игровых консолей. На деле же, это часто дыра в стене, через которую вредоносное ПО может открыть доступ к вашему роутеру без вашего ведома. Я видел, как через UPnP роутеры становились частью ботнетов, а их владельцы даже не подозревали, что их интернет вдруг начал «тормозить» из-за того, что роутер участвует в DDoS-атаке на сервер где-нибудь в Азии.
  • Удаленное управление: многие роутеры по умолчанию имеют включенную функцию удаленного управления через интернет. Это удобно для провайдера или продвинутого пользователя, но для большинства — это прямая угроза. Если у вас нет острой необходимости управлять роутером извне, эту функцию нужно отключать.
  • DNS-hijacking: это когда вредоносное ПО на роутере подменяет адреса DNS-серверов. Вместо того чтобы идти на правильный сайт банка, ваш браузер отправляет вас на фишинговую страницу, которая выглядит один в один как настоящая. Особенно это заметно, когда бабушка звонит и говорит, что у нее «Сбербанк» на китайском открывается, или вместо привычного «Яндекса» вы видите какой-то левый поисковик с кучей рекламы.

Когда роутер «заболел»: симптомы и реальные кейсы

Как понять, что ваш роутер уже не просто «раздает интернет», а стал частью чего-то большего? Есть несколько тревожных звоночков:

  • Необъяснимые замедления интернета: если ваш роутер вдруг начал дико тормозить, а провайдер уверяет, что у него все в порядке, возможно, ваш роутер участвует в DDoS-атаке или майнинге криптовалюты.
  • Появление странной рекламы или перенаправления: это явный признак DNS-hijacking. Вместо привычных сайтов вы видите рекламные баннеры, всплывающие окна, или вас вообще перекидывает на другие ресурсы.
  • Невозможность войти в настройки роутера: иногда злоумышленники меняют пароль администратора, чтобы вы не смогли получить доступ и очистить систему.
  • Странная активность в логах роутера: если вы заглянете в логи, то можете увидеть множество попыток входа с неизвестных IP-адресов, или подозрительные запросы на открытие портов.

Мои личные истории из окопов

  • Кейс с ботнетом: лет пять назад, еще до того, как Mirai стал именем нарицательным, мне пришлось выезжать к одному клиенту, у которого небольшой офис вдруг оказался в черных списках. Выяснилось, что их старенький TP-Link, который висел на стене и о котором все давно забыли, был заражен и участвовал в ботнете. Пришлось сидеть до утра, вычищая заразу и перенастраивая всё с нуля. Самое обидное, что заражение произошло из-за дефолтного пароля и прошивки десятилетней давности.
  • История про DNS-подмену: один мой знакомый жаловался, что у него постоянно выскакивают какие-то казино и реклама, хотя он не ходит по сомнительным сайтам. Проверили его Keenetic Start (который, к слову, на старых прошивках имел свои нюансы). Оказалось, что DNS-сервера были подменены на внешние, контролируемые хакерами. Пришлось руками прописывать ему Cloudflare DNS и отключать UPnP.
  • «Неизвестный» трафик: как-то раз я настраивал систему мониторинга трафика для небольшой компании. И заметил, что ночью, когда никого в офисе нет, роутер генерирует довольно приличный исходящий трафик. Оказалось, что их старый D-Link, который им провайдер дал лет семь назад и который никто не обновлял, был заражен и использовался для рассылки спама и участия в DDoS-атаках. Пришлось менять роутер и перенастраивать всю сеть.

Мой «боевой» набор лайфхаков для защиты

После всего, что я видел, могу дать несколько советов, которые помогут вам если не полностью обезопасить себя, то хотя бы значительно снизить риски. Это не просто «обновите прошивку», а проверенные на практике нюансы.

Первый шаг: смените все пароли

Казалось бы, очевидно, но 90% проблем начинаются здесь. Смените заводской пароль на роутере на сложный, уникальный. Это не должен быть ваш день рождения или «password123». Используйте комбинации букв, цифр и символов. И да, пароль от Wi-Fi тоже поменяйте! В моем опыте, многие пользователи оставляют стандартный пароль от Wi-Fi, который написан на наклейке. Это тоже не безопасно.

Второй шаг: прошивка — наше всё

Регулярно проверяйте сайт производителя вашего роутера на наличие новых прошивок. Не тяните с обновлением. Если у вас роутер популярной модели (Keenetic, MikroTik, TP-Link актуальных серий), обновления выходят регулярно и их установка обычно не вызывает проблем. В моем опыте, условный Keenetic обновляется без проблем, а вот с некоторыми китайскими «ноунеймами» можно получить кирпич вместо роутера, если прошивка не подходит или процесс пошел не так. Лайфхак: никогда не обновляйте прошивку по Wi-Fi – только по кабелю! И всегда делайте резервную копию текущей конфигурации перед обновлением. Это сэкономит кучу нервов, если что-то пойдет не так.

Третий шаг: отрубите лишнее

Большинство функций, которые есть в вашем роутере, вам, скорее всего, не нужны. Отключите UPnP, если вы не знаете, зачем он вам. Отключите удаленное управление через интернет, если вы не системный администратор, которому это действительно необходимо. Выключите Telnet и SSH-доступ, если не используете их для безопасного удаленного управления. Чем меньше открытых дверей, тем меньше шансов на проникновение.

Четвертый шаг: DNS — ваш невидимый щит

В настройках роутера вы можете вручную указать DNS-серверы. Вместо того, чтобы использовать серверы провайдера (которые могут быть подменены или просто медленные), пропишите публичные и надежные DNS-серверы, например, Cloudflare (1.1.1.1 и 1.0.0.1) или Google (8.8.8.8 и 8.8.4.4). Это не только ускорит загрузку сайтов, но и защитит вас от некоторых видов DNS-hijacking.

Пятый шаг: следите за поведением

Обращайте внимание на странности. Медленный интернет, необъяснимые перенаправления, появление рекламы там, где ее раньше не было. Загляните в логи роутера – часто там можно увидеть подозрительные попытки входа или странные запросы. Если что-то не так, первым делом перезагрузите роутер (полностью выключите его из розетки на минуту), затем смените пароли и проверьте настройки DNS.

Бонус-трек: провайдерские роутеры — отдельная песня

Многие провайдеры дают свои роутеры «в аренду» или «в подарок». Зачастую это самые дешевые модели с урезанной прошивкой, которую провайдер не всегда спешит обновлять. В моей практике, именно эти роутеры чаще всего становятся источником проблем. Лайфхак: если есть возможность, попросите провайдера переключить их роутер в режим моста (bridge mode) и используйте свой собственный, более функциональный и безопасный роутер. Или просто купите свой и не морочьте себе голову с тем, что вам навязали.

Отказ от ответственности: эта статья основана на моем личном опыте и наблюдениях в сфере информационной безопасности. Информация предоставлена в ознакомительных целях и не является исчерпывающим руководством по безопасности или юридической консультацией. Всегда следуйте рекомендациям производителей вашего оборудования и обращайтесь к профессионалам в случае серьезных проблем.

Радик Камаев

Сисадмин с 20-летним опытом. Windows, Unix, Android.

Оцените автора
Познавательный портал
© 2025 Познавательный портал