Злам камер серії K35/K15 по P2P
- Автор теми Fan
- Дата створення
Якщо у вас стара прошивка, то у пристроя відкритий Telnet і вона взломана, потрібно скидати на заводські і оновлювати.
Доброго дня! Така ж сама біда і в мене, сам вже другий раз борюся з цим FCAM, скидання до заводу нічого не дає, через 5 хвилин ця зараза знову чіпляється і знову по колу, поки я думаю на деякий час поборов тим що відключив камеру від інтернету потім видалив Fcam з ролі адміністратора і перезавантажив до заводських, на всякий випадок перезалив прошивку, камера IPC - K35P.
До речі також запитання чи можна щось свіжіше знайти чим V2.621.1026000.0.R?
До речі також запитання чи можна щось свіжіше знайти чим V2.621.1026000.0.R?
Consumer-Zi-Themis прошивка IP відеокамер Dahua за 14.09.2021
це остання прошивка, з безпекою проблем немає. Відключіться від інтернету, залиштесь з камерою в локальній мережі, скиньте камеру кнопкою ресет до заводських налаштувань, оновіть камеру, а потім знову скиньте на заводські, так вона видалить стару конфігурацію.
це остання прошивка, з безпекою проблем немає. Відключіться від інтернету, залиштесь з камерою в локальній мережі, скиньте камеру кнопкою ресет до заводських налаштувань, оновіть камеру, а потім знову скиньте на заводські, так вона видалить стару конфігурацію.
zheniatv
New member
Доброго дня. Маю проблеми за камерами К35. Вони розмовляють, співають ітд. Показують посилання на Discord. На одній із них оновив прошивку на актуальну від 14.09.2021. Проблема з'явилась знову. Камеру зкидував на заводські, але під час прошивки не відключав її від мережі. Є шанс подолати цю проблему? Вона й інші такі камери на данний момент відключені від мережі. Якщо я її зкину знову на заводські це може вирішити? Можливо ця тема вже десь обговорювалася? Який саме механізм зламу якщо навіть на новій прошивці воно залишається в випадку коли камера підключена до мережі?
Дякую
Дякую
- Перевірте в розділі Акаунти чи немає стороннього користувача
- При активації камери використовувати складні паролі
- До чого вони у вас підключені? (SmartPSS або Реєстратор)
zheniatv
New member
Аккаунти з'являються при зламі, пароль дуже складний, знаю тільки я. Підключені во відеореєстратора. До заводських скидалися, користувачі виділялися, змінювався пароль Onvif на складний, ставилася актуальна прошивка, настраювалася фільтрація по ip, відключатися Bonjour ітд. Перевірявся роутер. Стоять складні паролі на відеорестраторі, роутері, адмін пароль роутері також складний, роутер мікротік. Перевірялося все що можна до дірок. Не допомагає. Створюються нові користувачі. Горить надпис FCAM discord gg DpSHFr8ZUN. )
Якось напишіть або подзвоніть на номер https://vidimost.com/contacts/ з 9 до 17, підключимось по Anydesk або TeamViewer подивимось
Доброго вечора, в мене також таке саме, вже і паролі змінив, і прошивку обновив Consumer-Zi-Themis прошивка IP відеокамер Dahua за 14.09.2021, і всеодно це падло влазить в систему, я так розумію що це вже не побороти без деактивації P2P і підключеня цих камер через регістратор, бо і повідомлення про рух перестали приходити в DMSS.
Пришліть хтось одну камеру на тест на сервіс
zheniatv
New member
В мене камери підключені до реєстратора по протоколу private. P2P на них не потрібно. Але я не знайшов як його відключити. (
Заходьте на WEB сторінку самої камери, потім в розділ Setting - Network - TCP\IP - Easy4ip і клацніть на галочку Enable якщо вона активована і тим самим вимкнете P2P на камері.
Доброго дня! Таке питання. А у всіх роутер мікротик кого взломали? Але я впевнений що ломають через P2P. Але навіть якщо вимкнтуи всі служми камера активно ломится в інтернет саме на хмарні сервери дахуа.
P.S. це все сникуто на дефолт та вискнуті всі сервіси. p2p також, але трафік все одно хоче в інтернет пройти..
- Додаткова інформація - Несанкціонований користувач "ajmnocf" (рандомно) із позначкою "CISA" на всіх камерах (admin-права). Видалити тільки повний сброс камер
- Discord-інвайт-посилання прописана в назві камери
- Активний трафік на інфраструктуру Dahua P2P (165.154.0.0/16, 47.254.0.0/16, 47.91.0.0/16)
- Compromise persists через Factory Default (вимагає Initialize + повне переналаштування)
- Треба перевірка зі сторни виробника інакше не подолати.
P.S. це все сникуто на дефолт та вискнуті всі сервіси. p2p також, але трафік все одно хоче в інтернет пройти..
Останнє редагування:
Може зробити дамп.
Тут справа в тому, що шкідливий скрипт або бекдор закріплюється у внутрішній пам'яті (флеш-пам'яті) пристрою на рівні операційної системи Linux через дірки в старих прошивках, тобто десь в mtd розділі прошивки, хард ресет не всі розділи чистить, а тільки бекапи і конфіг. Класична перепрошивка теж не всі розділи перезаписує. Коли ви її підключаєте до хмари, скрипт автоматично підтягує шкідливий конфіг, котрий прописує користувача. Тому і треба камера на тест, її треба спробувати прошити через TFTP, щоб зініціювати стирання і перезапис розділів на флеш, або через юарт почистити і записати. Або я можу дати розкладену прошивку, спробуєте, якщо є навички, але повністю ізолюйте її від інтернету.
ПРОШИВКА ДЛЯ TFTP
ПРОШИВКА ДЛЯ TFTP
Вітаю сьогодні побачив що багато камер саме Dahua K35A підділися атаці які були відкриті в інтернет по Easy4ip.
Всього у мене 9 камер такого типу. У 7 з них прописався адмін на рівні linux без можливості видалення. 2 камери вдалося врятувати
На всіх камерах прописалось накладеня - FCAM - Discort... бла бла бла - для себе я розумію що вони віщали ізо в якомусь діскорді.
Можливо навіть і писало
Всі вони передають на адреси типу - 165.154.165.21, 128.14.224.101, 165.154.165.238, 128.1.42.40 - побачив на Мікротіку
Додаю фото назв цих адмінів і версію прошивки камер. Розумію що питання в тому що вони не були оновлені і боти знайшли дірку
Не розумію навіщо, можливо просто ціль це реклама ТГ каналу їх бо він теж вписується в зображення
Підтримка радить що?
Спробувати до заводскіх і потім прошити актуальною без інтернету зрозуміло чи прошити через TFTP чи одразу на UART?
Всього у мене 9 камер такого типу. У 7 з них прописався адмін на рівні linux без можливості видалення. 2 камери вдалося врятувати
На всіх камерах прописалось накладеня - FCAM - Discort... бла бла бла - для себе я розумію що вони віщали ізо в якомусь діскорді.
Можливо навіть і писало
Всі вони передають на адреси типу - 165.154.165.21, 128.14.224.101, 165.154.165.238, 128.1.42.40 - побачив на Мікротіку
Додаю фото назв цих адмінів і версію прошивки камер. Розумію що питання в тому що вони не були оновлені і боти знайшли дірку
Не розумію навіщо, можливо просто ціль це реклама ТГ каналу їх бо він теж вписується в зображення
Підтримка радить що?
Спробувати до заводскіх і потім прошити актуальною без інтернету зрозуміло чи прошити через TFTP чи одразу на UART?
Вкладення
краще так, вище надав прошивку. Розробник вже в курсі, працюють над новою прошивкою.
можу дати 1 камеру на аналіз, але по результату ломають все навіть реестратор
який у вас роутер все це тримав? Цікавить саме фірма. Побачив що Мікротік. Просто там де немає Мікртіка такої проблеми немає. Відгукнітся у кого не Мікротік.