{"id":3188,"date":"2017-09-27T11:26:13","date_gmt":"2017-09-27T10:26:13","guid":{"rendered":"https:\/\/www.securame.com\/blog\/?p=3188"},"modified":"2017-09-27T17:52:50","modified_gmt":"2017-09-27T16:52:50","slug":"dahua-restaurar-grabador-hackeado","status":"publish","type":"post","link":"https:\/\/www.securame.com\/blog\/dahua-restaurar-grabador-hackeado\/","title":{"rendered":"Dahua: Como restaurar tu grabador \u00abhackeado\u00bb (Sep\/2017)"},"content":{"rendered":"<p>Desde hace m\u00e1s o menos una semana hemos recibido varios reports de <a href=\"https:\/\/www.securame.com\/grabador-dvr-5in1-dahua-c-224_226.html\"><strong>grabadores Dahua<\/strong><\/a> que aparentemente han dejado de funcionar; no muestran imagen en ninguno de los canales, y en pantalla el nombre de los canales de video es HACKED.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter wp-image-3189 size-large\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1-1024x768.jpg\" alt=\"\" width=\"520\" height=\"390\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1-1024x768.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1-150x113.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1-300x225.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1-768x576.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_1.jpg 1920w\" sizes=\"(max-width: 520px) 100vw, 520px\" \/><\/p>\n<p>Parece ser que hay una nueva oleada de ataques automatizados contra equipos Dahua con firmwares vulnerables. Si bien Dahua no ha hecho a\u00fan ning\u00fan comunicado oficial y no tenemos claro al 100% el sistema que est\u00e1 usando este nuevo troyano para infectar equipos Dahua, en <a href=\"http:\/\/www.securame.com\"><strong>Securame<\/strong><\/a> pensamos que tiene relaci\u00f3n con el problema de seguridad descubierto por Bashis el pasado marzo, sobre el que ya hablamos en este articulo:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"gENzqSs32a\"><p><a href=\"https:\/\/www.securame.com\/blog\/encontrado-backdoor-los-firmwares-dahua-2a-3a-generacion\/\">Encontrado un backdoor en los firmwares Dahua de 2a y 3a generaci\u00f3n<\/a><\/p><\/blockquote>\n<p><iframe class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"\u00abEncontrado un backdoor en los firmwares Dahua de 2a y 3a generaci\u00f3n\u00bb \u2014 Securame\" src=\"https:\/\/www.securame.com\/blog\/encontrado-backdoor-los-firmwares-dahua-2a-3a-generacion\/embed\/#?secret=gENzqSs32a\" data-secret=\"gENzqSs32a\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Los equipos Dahua vienen todos con un usuario por defecto (888888) que te\u00f3ricamente solo puede ser utilizado en modo local; con un monitor y rat\u00f3n conectados al equipo.<\/p>\n<p>Ahora bien, Bashis descubri\u00f3 que al acceder al equipo mediante navegador web la validaci\u00f3n de si se intentaba acceder con el usuario 888888 se hac\u00eda en local en el propio navegador (v\u00eda <strong>loginEx.js<\/strong>), por lo que era relativamente trivial saltarse esa validaci\u00f3n, de modo que se puediera acceder remotamente con ese usuario que en teor\u00eda deber\u00eda ser de acceso restringido.<\/p>\n<p>En los logs de los sistemas hackeados se puede observar que el acceso se ha hecho precisamente con el usuario 888888 desde una IP remota, por lo que queda probado que la limitaci\u00f3n de la cuenta 888888 a acceso solo local NO es efectiva.<\/p>\n<p><a href=\"https:\/\/www.securame.com\/blog\/dahua-restaurar-grabador-hackeado\/dahua_hacked_2\/\" rel=\"attachment wp-att-3190\"><img decoding=\"async\" class=\"aligncenter wp-image-3190 size-full\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_2.jpg\" alt=\"\" width=\"779\" height=\"195\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_2.jpg 779w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_2-150x38.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_2-300x75.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_2-768x192.jpg 768w\" sizes=\"(max-width: 779px) 100vw, 779px\" \/><\/a><\/p>\n<p>Para restaurar el equipo a su correcto funcionamiento trabajaremos en local, y desconectaremos el equipo de la red para evitar que el equipo pueda reinfectarse mientras lo estamos actualizando\/restaurando.<\/p>\n<ul>\n<li>Nos conectaremos al equipo con monitor\/mouse, y entraremos usando cualquier cuenta con acceso administrador.<img decoding=\"async\" class=\"aligncenter wp-image-3191 size-medium\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3-300x225.jpg\" alt=\"\" width=\"300\" height=\"225\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3-300x225.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3-150x113.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3-768x576.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3-1024x768.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_3.jpg 1920w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/li>\n<li>En la secci\u00f3n de <em>Configuraci\u00f3n -&gt; Sistema -&gt; Predeterminado<\/em> volveremos el equipo a los valores de f\u00e1brica en todos los apartados.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3192 size-medium\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4-300x225.jpg\" alt=\"\" width=\"300\" height=\"225\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4-300x225.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4-150x113.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4-768x576.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4-1024x768.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_4.jpg 1920w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/li>\n<li>En caso de que el nombre de los canales de video siga mostr\u00e1ndonos HACKED, repetiremos el proceso de volver a valores de f\u00e1brica, pero lo haremos en cada una de los apartados de manera individual.<\/li>\n<li>Obtendremos un firmware actual de nuestro equipo, y lo actualizaremos utilizando un pendrive USB desde la secci\u00f3n <em>Configuraci\u00f3n -&gt; Sistema -&gt; Actualizar<\/em>.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3193 size-medium\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5-300x225.jpg\" alt=\"\" width=\"300\" height=\"225\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5-300x225.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5-150x113.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5-768x576.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5-1024x768.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_5.jpg 1920w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/li>\n<li>Para aquellos equipos que hayan sido comprados en Securame pod\u00e9is mandarnos un email a <strong>soporte@securame.com<\/strong> incluyendo el n\u00famero de factura, y una foto del apartado <em>Info -&gt; Sistema -&gt; Versi\u00f3n<\/em> del grabador para que veamos el modelo y versi\u00f3n de firmware actual de vuestro equipo, y que podamos mandaros el firmware correcto. <strong>No facilitamos soporte para equipos que no hayamos vendido nosotros<\/strong>.<\/li>\n<li>Ya con el firmware actualizado y tras haber reiniciado el equipo, devolvemos de nuevo el equipo a los valores de f\u00e1brica.<\/li>\n<li>Crearemos una nueva contrase\u00f1a para las cuentas de usuario admin y 888888, de suficiente longitud y complejidad (al menos 8 car\u00e1cteres, y mezclar n\u00fameros y letras).<\/li>\n<li>Es recomendable utilizar puertos NO standard en nuestro equipo, as\u00ed como abrir solamente en el router aquellos puertos que necesitemos. Si queremos acceder remotamente via web, cambiaremos el puerto HTTP de 80 a otro que nos sea m\u00e1s conveniente.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-3194 size-medium\" src=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6-300x225.jpg\" alt=\"\" width=\"300\" height=\"225\" srcset=\"https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6-300x225.jpg 300w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6-150x113.jpg 150w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6-768x576.jpg 768w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6-1024x768.jpg 1024w, https:\/\/www.securame.com\/blog\/wp-content\/uploads\/2017\/09\/dahua_hacked_6.jpg 1920w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/li>\n<li>Desactivaremos UPnP en el grabador para que este no abre puertos de manera automatizada.<\/li>\n<li>Si se trata de un equipo actual y solo pensamos acceder al equipo por P2P no es necesario abrir ning\u00fan puerto, con lo cual el interfaz web de nuestro equipo no ser\u00e1 accesible desde internet.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Desde hace m\u00e1s o menos una semana hemos recibido varios reports de grabadores Dahua que aparentemente han dejado de funcionar; no muestran imagen en ninguno de los canales, y en pantalla el nombre de los canales de video es HACKED. Parece ser que hay una nueva oleada de ataques automatizados contra equipos Dahua con firmwares [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3196,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[144,9,30,145,78],"class_list":["post-3188","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-backdoor","tag-cctv","tag-dahua","tag-iot","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/comments?post=3188"}],"version-history":[{"count":0,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/posts\/3188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media\/3196"}],"wp:attachment":[{"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/media?parent=3188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/categories?post=3188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securame.com\/blog\/wp-json\/wp\/v2\/tags?post=3188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}