IP-камера пытается соединиться с левым сервером...

[MicroDiP]

Ну да, однозначно... Где б её только взять.. Завтра нанесу визит вежливости производителю, мать его....

[kROOT]

да при чем тут камера? лезет в инет браузер.
плагин устанавливается с сайта производителя камер http://xmsecu.com:8080/ocx/NewActive.exe" onclick="window.open(this.href);return false;
теоретически конечно возможно, то этот плагин зараженный, но маловероятно.

Нет, ребят, это камера... Вот что старый добрый NODE говорит... Вот киты, блин.... чудаки на букву "М"... нет слов. И так-то их не шибко любил.. А тут прямо ещё бОльшие чувства появились...

надо смотреть, плагин это создает фреймы или вебсервер камеры, т.е. взломали именно эту камеру или на сайте производителя зараженный плагин.

[MicroDiP]

надо смотреть, плагин это создает фреймы или вебсервер камеры, т.е. взломали именно эту камеру или на сайте производителя зараженный плагин.

[/quote]
NOD выдаёт это сообщение когда вся сеть отключена от инета. Т.е. имеем просто локальную сеть без выхода наружу, в которой присутствуют: роутер, комп и камера. Или вы имеете ввиду что камера могла с сервера производителя обновиться до заражённой версии ещё до того как попала в продажу ?

[kROOT]

Или вы имеете ввиду что камера могла с сервера производителя обновиться до заражённой версии ещё до того как попала в продажу ?

Еще раз, есть 2 варианта.
1. в прошивке камеры заменили урл плагина, который необходимо установить, скачивается этот левый плагин и заражает комп либо выдает левый iframe через которые делаются нехорошие дела
2. Прошивка нормальная, но заражен плагин на сайте производителя.

[MicroDiP]

@kROOT
Плагин - это та самая оболочка, которая запускается в браузере для управления камерой (в том числе и для просмотра видеопотока с неё) ? Если да, то если отключить все системы безопасности, то эта оболочка в итоге запускается. Изображение показывается. Настройки работают. Коннект к постороннему серверу идёт именно в момент когда браузер выдаёт сообщение о попытке установить ActiveX (web.cab). Если разрешить его установку, то он начинает коннектиться к этому серверу. Я и заметил то это только потому, что выход в интернет отключил. И в статусе зависла строчка до ближайшего таймаута... А с подключенным (и хорошим) инетом это соединение происходит за доли секунды: чё-то там мелькнёт в статусе - и не заметишь...

[MicroDiP]

Тут и выяснится что за камера, однако к камере можно итак по 34567 подключится из CMS и увидеть версию чуда, а дальше принять необходимые меры по правильной перепрошивке перепрошивке.

А можно подробнее как это сделать ?

[kROOT]

@kROOT
Плагин - это та самая оболочка, которая запускается в браузере для управления камерой (в том числе и для просмотра видеопотока с неё) ? Если да, то если отключить все системы безопасности, то эта оболочка в итоге запускается. Изображение показывается. Настройки работают. Коннект к постороннему серверу идёт именно в момент когда браузер выдаёт сообщение о попытке установить ActiveX (web.cab). Если разрешить его установку, то он начинает коннектиться к этому серверу. Я и заметил то это только потому, что выход в интернет отключил. И в статусе зависла строчка до ближайшего таймаута... А с подключенным (и хорошим) инетом это соединение происходит за доли секунды: чё-то там мелькнёт в статусе - и не заметишь...

надо до установки плагина посмотреть исходник html по правой кнопке и там видно, откуда плагин должен браться

[MicroDiP]

исходник странички камеры. В самом конце:

[kROOT]

исходник странички камеры. В самом конце:

если такой исходник на гарантированно чистом компе, значит прошивку камере поправили. просто вирус сидящий на компе может перехватывать пакеты и добавлять такую строчку на все сайты

[MicroDiP]

как я говорил, компов было несколько, с разных мест. Во всех случаях браузер при запросе по айпишнику камеры начинал ломиться на этот адрес. Так что всё таки склонен думать что у китайцев в дизайн хаусе компы заражены. Тем более что пока камера работает с софтом (пока нет запроса к страничке), проблема себя не проявляет.

[kROOT]

через IE вообще не работаю с такими камерами, так что даже если заражены, не замечал.

[iTuneDVR]

исходник странички камеры. В самом конце:

Да, именно там в оригинаде хапрос на ксимай облако и исполняемый файл.
Сделай дамп прошивки и выстави её. Поглядим, что там повнимательней, либо камеру зашарь наружу в полный доступ