Массовая проблема с китайскими IP камерами с портом 34567

[Sonya]

У меня отвалились три камеры. Все они были запаролены и недоступны снаружи (серый IP от провайдера), но вероятнее всего были подключены к облаку. Есть подозрение, что именно через облако происходит атака.
Пока не вышли обновлённые прошивки, отключаем устройства от облака и меняем внешний порт на отличный от 34567

[Sonya]

Сейчас проверил работу систем видеонаблюдения у своих клиентов и увидел удручающую картину - лежит бОльшая часть оборудования. Уцелело только то, что было отключено от облака.
Похоже, атака реально массированная.

[Rock]

...а глючных камер все прибавляется, 47 уже. Пипец...

Дак может дело то в регистраторах, а не в камерах?
В тот момент когда камера отвалилась с регистратора, она доступна через браузер?

Мне тоже интересно. Камера живая через web морду?
Потому что у меня тоже очень похожая проблема.
Регистратор работает около 5-8 часов, потом от него начинают отваливаться-присоединяться камеры.
При этом у меня облако не подключено вообще.
Кстати я на всякий случай добавил еще и правило в firewall.

[DIOR]

[/quote]
Мне тоже интересно. Камера живая через web морду?
[/quote]

Читайте внимательно посты выше.
Проблемные камеры отсутствуют в локальной сети, толи они виснут..., толи что... - непонятно. Появляются при отключении/включении питания. По крайней мере, у меня так.

[kROOT]

Проблемные камеры отсутствуют в локальной сети, толи они виснут..., толи что... - непонятно. Появляются при отключении/включении питания. По крайней мере, у меня так.

Кстати, по разному может быть. На одном объекте камеры то падали, то поднимались, зашел через тимвьюер на их сервер, снял облако на всех камерах и временные отвалы прекратились, видимо от прошивок сильно зависит.
боты сканируют айдишники и пытаются залить в камеру свой код, некоторые камеры полностью виснут, некоторые перегружаются, не удивлюсь если разные боты заливают разный код.
и еще мне кажется, что реально зараженные камеры не виснут, а продолжают работать, но сами становятся ботами.

[dede]

Есть объекты с серыми айпи, которые тоже валятся, так что 100% облако.

Буду дампить трафик... есть парочка камер которые валят стабильно

[Sonya]

Отчитываюсь по проблеме:
Все зависшие камеры и регистраторы были запаролены и подключены через облако.
Список поражённых устройств и версий прошивок:
NBD7024H-P
Version: V4.02.R11.00000107.12201.130000.00000
BuildDate: 28-03-2017 16:06:00

53H20L_S39
Version: V4.02.R11.00002532.10010.230200.00000
BuildDate: 2016-05-11 15:05:45

53H20L_S39
Version: V4.02.R11.00002532.10010.242800.00000
BuildDate: 2016-05-11 15:05:45

HI3518E_50H10L_S39
Version: V4.02.R12.00006510.10010.130300.00000
BuildDate: 2016-06-15 19:25:15

Список устройств, где было включено облако, но не произошло заражение:
53H20L_S39
Version: V4.02.R11.00002532.10010.1302
BuildDate: 2014-09-05 09:28:43

NBD6808T-PL
Version: V4.02.R11.00031119.12201.140000
BuildDate: 2015-06-23 18:19:48

NBD6808T-PL
Version: V4.02.R11.00031114.12201.140700
BuildDate: 2015-08-05 18:57:40

HI3518E_50H10L_S39
Version: V4.02.R12.00006510.10010.1303
BuildDate: 2015-03-17 09:44:44

MBD6016E-E
Version: V4.02.R11.00000116.10001.120200.00000
BuildDate: 28-06-2016 17:04:43

MBD6016E-E
Version: V4.02.R11.00000053.10001
BuildDate: 2014-03-11 10:16:11

К остальным объектам пока не восстановлен доступ. Интересно будет глянуть логи. Выводы пока делать рано, можно только предположить, что уязвимость появилась сравнительно недавно (в 2016г), как раз в то время, когда в прошивках появилось новое облако.

PS: Ну и напоследок немного юмора: таким образом владельцы xmeye.net снижают нагрузку своего сервиса

[dede]

В логах всё ровно, как вроде ничего не происходило вообще...

[Sonya]

В логах всё ровно, как вроде ничего не происходило вообще...

У меня в логах есть запись о подключении с IP регистратора. Возможно, камеры ломают через регистратор.

[DIOR]

Самое интересное в этой всей ситуации, то что проблему надо как-то оперативно решать, это ж системы безопасности, как ни как. Клиенты уже порядком волнуются. Кто-то ведет себя адекватно, а кто-то не очень, как вот один: "Что Вы мне втираете, какие вирусы? Это что, компьютер? Есть проблемы, оборудование на гарантии, вот и решайте, и желательно делать это быстро".

Если после отключения облака камеры ведут себя стабильно, по крайней мере пока, то буду наверно менять реги. Есть у меня десяток, на облаке Seetong, их и поставлю. На нескольких обьектах стоят такие, с камерами 34567, все работает стабильно.

[kROOT]

А обновление прошивок совсем не помогает чтоли? в июне вышли прошивки даже на некоторые старые регистраторы.

[dede]

для NBD7024H-P последняя от марта, для остальных моих моделей ситуация не лучше...

Писал в ХМ - тишина