开发者社区> boxti> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

美东部网站宕机后续:1100万路由器和摄像头仍在公网“裸奔”

简介:
+关注继续查看
   10月22日凌晨,美国域名服务器管理服务供应商Dyn称其公司遭遇了DDoS(分布式拒绝服务)攻击,包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多网站无一幸免。

10月24日,安全博客 Security Affairs 上发布了一篇日志内容,宣称 RSA 曾在10月初公布了一项新发现:黑客曾在黑市中宣传由其控制的、由庞大数量的 IoT 设备组成的僵尸网络,其大致售价根据所购买的设备数量相关联,其中50000个售价4600美元,100000个售价7500美元。

10月24日,国内电子产品厂商雄迈表示在上周五美国发生的大规模网络攻击中,其产品无意中成为黑客“帮凶”;其产品中与默认密码强度不高有关的安全缺陷,是引发上周五美国大规模互联网攻击的部分原因。

白帽汇的安全研究人员给雷锋网(公众号:雷锋网)提供的后续研究报告认为,这与安全研究人员的发现相吻合:被称作Mirai 的物联网僵尸网络病毒一直在利用雄迈产品中的缺陷,在其中注入恶意代码,并利用它们发动大规模分布式拒绝服务攻击,其中包括上周五的攻击。除此以外,物联网僵尸网络病毒“Mirai”还曾经制造过多起DDoS 攻击事件,包括在上月参与发起了针对 KrebOnSecurity 安全站点的大规模分布式DDoS攻击,流量达到1T;而 OVH 运营商也曾遭到同样手段的攻击。

以下内容均出自白帽汇的研究报告。 

1.Mirai功能介绍

这是一款基于Linux的ELF类型木马,主要针对IoT设备,其中包含但不限于网络摄像头,路由器等。它可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备。被病毒感染后,该设备成为僵尸网络机器人并可在黑客命令下发动高强度僵尸网络攻击。 

Mirai主要由loader、cnc控制器、bot服务端构成。loader主要用于创建服务端程序和状态监控;服务端程序包含了连接控制端、DDOS攻击、下载并运行文件功能。并且,服务端实现了反调试,近程隐藏,杀死系统进程,并建立相应端口的功能。DDoS攻击支持udp、vse(Valve source engine specific flood)、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等洪水攻击方式。传播方式主要依靠爆破SSH和telnet弱口令。其中,包含了60余组用户名和密码的字典,扫描端口主要为23和2323。

2.潜在影响范围

此次受影响的范围涉及超过60余万台设备。

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔

(此图引用自360网络研究院,如有侵权请联系删除)

目前,根据白帽汇安全实验室和广大白帽子贡献的fofa检索规则,统计出共有1100万摄像头和路由器暴漏在公网(当然这还不包括全部)。在此次受影响的设备中,国内的雄迈和大华,中兴存在很多。在top10的统计中就有雄迈和中兴。

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔

前十设备排名(红色为此次受影响设备)

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔

排名前五的网站地理位置分布(TOP 5)

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔 

HuaweiHomeGateway_Global

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔 

Plesk

 美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔 

海康威视(WW)

美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔

mikrotik

 美东部网站宕机后续:1100万路由器和摄像头仍在公网裸奔 

雄迈

3.Mirai的防护方法

1、若果开启了telnet服务,请关闭Telnet服务.

2、如果没有使用TCP/48101端口,请禁用。这样可以免受进一步的损害。

3、修改初始口令以及弱口令,加强密码安全。

4.Mirai清除

进入系统后如发现带有如下字符串的进程请结束并删除掉:

./{长字母字符串} alphabet

/dev/.{something}/dvrHelper

 

参考来源

http://blog.nsfocus.net/mirai-source-analysis-report/ 

http://www.toutiao.com/a6344836010480746753 

http://bobao.360.cn/news/detail/3677.html 

http://securityaffairs.co/wordpress/52657/iot/lot-botnet-sale.html 

https://www.easyaq.com/newsdetail/id/359897463.shtml 

http://data.netlab.360.com/mirai-scanner

https://github.com/jgamblin/Mirai-Source-Code
http://data.netlab.360.com/feeds/mirai-scanner/scanner.list 

白帽汇对雷锋网表示,后续会持续跟踪此次事件。

  
  本文作者:李勤

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
暗影追踪:是谁入侵了近百万台路由器,让德国电信全网宕机
本文讲的是暗影追踪:是谁入侵了近百万台路由器,让德国电信全网宕机,2017年2月,英国国家犯罪局(NCA)在伦敦机场逮捕一名29岁的英国嫌疑人, 涉嫌攻击2016年11月底德国的90万个路由器。根据披露的信息,本次攻击疑似为Mirai变种导致,分析人员在相关感染的样本中发现了与Mirai相同的代码。
1458 0
从周五开始香港主机特别慢,香港主机用户有同感吗?
从周五开始香港主机特别慢,香港主机用户有同感吗? 随着香港主机市场普及率增高,香港主机使用过程中出现的问题也让更多企业和朋友感到烦恼,某些用户在使用香港主机时可能感觉网络速度变慢,变卡等状况。那么哪些因素会导致香港主机速度慢呢?阿里云在此为您作简单介绍。
1792 0
全国性大面积网络故障 又一起暴风影音事件?
  6月25日17:45左右,记者在广州地区上网发现许多网页都无法打开,只有部分网站能偶尔打开,但打开的速度非常缓慢。而腾讯QQ则出现不时掉线的情况。   网友猜:电信有问题?又一起暴风影音事件?   记者通过QQ与朋友联络,发现广州地区普遍出现上述情况。
1440 0
全网首发:无线网桥的延迟太大,有时达到10秒以上
全网首发:无线网桥的延迟太大,有时达到10秒以上
0 0
+关注
boxti
12535
文章
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
负载均衡是如何支撑几亿手机微博用户访问的-高性能负载均衡研发
立即下载
负载均衡是如何支撑几亿手机微博用户访问的高性能负载均衡研发
立即下载
负载均衡是如何支撑几亿手机微博用户访问的 -高性能负载均衡研发和应用实践
立即下载