V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hicdn
V2EX  ›  宽带症候群

运营商收回公网 IP 的原因之一

  •  
  •   hicdn · 2021-10-26 14:06:27 +08:00 · 9674 次点击
    这是一个创建于 1111 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个藏在我们身边的巨型僵尸网络 Pink https://blog.netlab.360.com/pinkbot/

    国内某厂商的光猫被僵尸网络控制 160 万设备

    厂商名字可以通过搜关键词 “光猫 TCP 17998” 获得

    几个要点

    • Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在 360Netlab 的独立测量中,总感染量超过 160 万,其中 96% 位于中国。
    • 受感染的 IP 主要集中在中国 (96%),遍及全国 33 个省。受影响的运营商主要涉及中国联通(>80%)和中国电信(>15%)。
    • 受攻击的漏洞源于一个 TCP-17998 的管控服务,该服务是对运营商提供的一个管理家用光猫的接口。由于服务配置和实现的失误,向公网开放了访问权限,攻击者通过它获取了相关光猫的控制权。
    第 1 条附言  ·  2021-10-26 23:51:34 +08:00
    过去几年曝光的几波摄像头僵尸网络、摄像头挖矿等,主要分布在国外,国内很少受影响,因为我国的设备都在 NAT 后面,无法通过公网直接访问、扫描。
    等 IPV6 铺开后,NAT 形成的“防火墙”消失,各种联网设备被僵尸网络控制,到时候就是大型养蛊现场。
    49 条回复    2023-01-11 23:50:54 +08:00
    lockiee
        1
    lockiee  
       2021-10-26 14:15:33 +08:00
    主动开通公网 ip 的都是会使用的吧,这样感染了之后关闭对外的访问渠道,使用者不是知道了么
    InDom
        2
    InDom  
       2021-10-26 14:33:38 +08:00
    @lockiee 是关闭了特定服务 特定端口的对外访问渠道,并不会影响绝大多数用户的正常使用。

    从文章末尾看,关闭了三个服务,都是普通用户没权限做到的。

    TCP-17998 管控服务、tr069 升级通道、LAN 侧的 TCP-80 HTTP 服务(光猫的 Web 管理界面)
    mxT52CRuqR6o5
        3
    mxT52CRuqR6o5  
       2021-10-26 14:52:24 +08:00
    好可怕
    VxJiahua
        4
    VxJiahua  
       2021-10-26 14:55:50 +08:00 via Android
    以前看的有人通过入侵光猫宽带来刷钻的,俗称肉鸡
    feitxue
        5
    feitxue  
       2021-10-26 15:04:09 +08:00
    我只知道之前有人通过 tr069 通道可以实现同城高速局域网连接.
    geekvcn
        6
    geekvcn  
       2021-10-26 15:04:11 +08:00
    让我解惑的不是回收 IPv4 的原因,而是为什么去年开始裸连 raw github 网页访问多刷几次还能正常一次,命令行访问一直不正常。
    jiezhi
        7
    jiezhi  
       2021-10-26 15:04:23 +08:00
    [运营商收回公网 IP 的原因之一] 这是楼主自己的猜测吧?

    今天还打电话给电信客服要求分配公网 IP ,不知后续如何。
    wwbfred
        8
    wwbfred  
       2021-10-26 15:04:31 +08:00 via iPhone   ❤️ 49
    如何避免老公出轨?答:把老公 JB 剁了。
    Tink
        9
    Tink  
       2021-10-26 15:08:12 +08:00 via Android
    如果开通公网 ip ,然后光猫只做光转换的话是不是就不会有这个问题了,相当于 17998 端口开到了软路由上
    ochatokori
        10
    ochatokori  
       2021-10-26 15:13:56 +08:00 via Android
    @InDom #2 关闭 LAN 侧的 web 管理界面应该很容易被用户发现吧
    cyrbuzz
        11
    cyrbuzz  
       2021-10-26 15:19:29 +08:00
    @wwbfred

    已笑死。
    InDom
        12
    InDom  
       2021-10-26 15:21:41 +08:00
    @ochatokori 就算被用户发现,作为用户也没有任何办法,只能维修或更换,估计很少有人会在没使用问题的情况下得到运营商的支持。

    其次,绝大多数用户并不会访问光猫,包括你,想一下你有多久没有访问过光猫了,你的猫可能也是 160 万之一。

    甚至还是 最后那是万分之一。
    azuis
        13
    azuis  
       2021-10-26 15:23:57 +08:00
    问题是管理端口本来就不应该开到 WAN 侧....
    leavic
        14
    leavic  
       2021-10-26 15:28:36 +08:00   ❤️ 3
    根本目的是:你们不再有独立向世界广播的权利了。
    xu2060
        15
    xu2060  
       2021-10-26 15:38:17 +08:00
    真可怕
    CallMeReznov
        16
    CallMeReznov  
       2021-10-26 15:41:17 +08:00   ❤️ 4
    感觉这是一个综合原因决定的.不光是这个原因.
    一方面管控加强, 安全因素, 加上 4 退 6 进.等等综合原因导致的.

    当然了,回收珍贵的 IPV4 拿来创造更好的经济效益我感觉才是主要原因.


    另外光猫都是 PON 口上联,tr069 管理,讲道理应该不会出现公网管理端口的操作啊
    acbot
        17
    acbot  
       2021-10-26 15:45:35 +08:00
    这个解释太牵强很难成立,感觉就是当初封家宽 80 443 端口的一个翻版。第一,既然都知道公网了,很大一部分都是桥接路由拨号上网了,根本就没有光猫 WAN 口开放问题。 第二,这么大的漏洞光猫厂家不升级?就算厂家不升级运营商防火墙直接就可以统一 reject 。目前我个人认为回收 v4 公网最正能量的解释是提高 v6 流量变相促进 v6 网络部署,其他的解释都是扯蛋。比如:说啥 v4 地址枯竭使用完啥的,v4 地址少不假,但 v4 地址在各运营商,各地区之间分配上也不能说没有问题,国内 v4 地址总数 3.44 亿 按运营商划分 电信一家就分了 1.25 亿,按地域划分 北京地区就占了 25% 广东 9% 其他大部分省份就只有 1-3%,目前国内宽带总用户 4.97 亿 绝大多数是 NAT
    ZRS
        18
    ZRS  
       2021-10-26 15:47:03 +08:00 via iPhone   ❤️ 1
    这不是运营商及其供应商自己傻逼的问题吗
    cathedrel
        19
    cathedrel  
       2021-10-26 15:49:14 +08:00   ❤️ 7
    又是该死的蛙为
    ochatokori
        20
    ochatokori  
       2021-10-26 15:52:16 +08:00 via Android
    @InDom #12 我光猫是桥接的不用担心…,不经常访问光猫管理页倒是
    zu1k
        21
    zu1k  
       2021-10-26 15:54:15 +08:00 via Android   ❤️ 7
    https://blog.netlab.360.com/pinkbot/

    当初记录下来了运营商第三次尝试修复的方式,当初还感觉莫名其妙,现在看来就很清晰了
    https://gist.github.com/zu1k/7120d1f71797153eb8c867bb09323eae#L9923

    因为我早就关闭了各种外部管理和升级接口,所以实际没有受攻击影响。后面运营商发现没办法给我光猫在线更新,专门派人到户更新的
    q197
        22
    q197  
       2021-10-26 16:01:50 +08:00 via Android
    @Tink 光猫还有多个拨号例如 iptv 、电话等,这些可能也有漏洞
    HAWCat
        23
    HAWCat  
       2021-10-26 16:37:22 +08:00 via iPhone
    @wwbfred 嘴?
    Bunnyranch
        24
    Bunnyranch  
       2021-10-26 16:38:23 +08:00
    现在有了 IPV6 是不是等于有公网了呢 至少我现在 bitcomet 是绿灯了..
    life4me
        25
    life4me  
       2021-10-26 16:54:40 +08:00
    牵强
    alect
        26
    alect  
       2021-10-26 17:46:46 +08:00
    这个不可能是原因之一
    treo
        27
    treo  
       2021-10-26 23:01:06 +08:00   ❤️ 1
    厂商名字都不敢提,马上就知道是哪家厂商了
    新时代的 He Who Must Not Be Named
    AlexPUBLIC
        28
    AlexPUBLIC  
       2021-10-26 23:21:19 +08:00   ❤️ 1
    另看到一篇文章说:该端口主要是维护人员使用 APP 调试 ONU 使用,此端口在 ONU 上网链接( internet )为路由模式时会在 wan 侧打开,桥接模式下则不会打开
    那么好了正常设计逻辑应该是 app 向中心发起请求,OLT 通过 tr069 下发,为啥还在 wan 侧开一个端口?可见这家厂商是故意为之,建议先把负责人抓起来,检查是否有境外势力背景
    hicdn
        29
    hicdn  
    OP
       2021-10-26 23:44:52 +08:00
    还有 10 万设备在被僵尸网络控制,不知道有没有人发现自己光猫的 80 端口不能访问了。
    acess
        30
    acess  
       2021-10-27 00:15:30 +08:00
    “厂商又尝试利用设备上 LAN 侧的 TCP-80 HTTP 服务来进行设备修复”
    acess
        31
    acess  
       2021-10-27 00:20:47 +08:00
    于是这类光猫就算不出这档事也有 CSRF 后门呗
    swulling
        32
    swulling  
       2021-10-27 00:25:41 +08:00 via iPhone
    ipv6 路由器基本都默认开启防火墙功能,限制传入链接。这个没啥成本 too easy
    77ShiORi
        33
    77ShiORi  
       2021-10-27 00:29:07 +08:00   ❤️ 1
    如果 IPv6 会“助长”这种僵尸网络的话,那这不应该是运营商收回公网 IP 而推行 IPv6 的原因之一。
    flynaj
        34
    flynaj  
       2021-10-27 00:54:00 +08:00 via Android
    所以路由器拨号才是明智的选择。
    pungaagin
        35
    pungaagin  
       2021-10-27 03:05:13 +08:00 via iPhone
    @feitxue 以前刷到过,最近想试一下,教程找不着了
    feitxue
        36
    feitxue  
       2021-10-27 09:57:13 +08:00
    @pungaagin base64
    aHR0cHM6Ly9ub3RlLnZpYml0LmNjLzIwMjAvMDQvdHIwNjktd2lyZWd1YXJkLmh0bWw/bT0x
    czfy
        37
    czfy  
       2021-10-27 09:58:18 +08:00
    @treo 这么说来,哇为和肖战是一个性质的东西
    JamesR
        38
    JamesR  
       2021-10-27 11:01:47 +08:00
    是不是华为的光猫设备?
    a1562619919
        39
    a1562619919  
       2021-10-27 12:30:55 +08:00 via Android
    @wwbfred 这样搞老公不出轨了,自己出轨了
    tankren
        40
    tankren  
       2021-10-27 15:50:55 +08:00
    光猫桥接就好啦
    glamor
        41
    glamor  
       2021-10-27 18:09:46 +08:00
    连这个厂商的名字都没法说出来,相比僵尸网络,我觉得这个厂商更加令人害怕.
    这回别人打他,名字都报不出来,要是他利用后门打别人,画面太美我不敢想象😰
    elboble
        42
    elboble  
       2021-10-27 19:10:41 +08:00 via Android
    应该不是的,某省广电用 hgu ,因为 linux sdk 有 bug 被利用导致出口防火墙被挂了,两个地级市受影响。
    众所周知,广电宽带从未有公网 ip
    qingmuhy0
        43
    qingmuhy0  
       2021-10-27 19:43:57 +08:00 via iPhone
    现在的路由器对于 v6 的防护墙默认都是不允许入站的吧,我记得我之前搞的时候只有 openwrt 对 v6 防火墙设置比较完善。
    LnTrx
        44
    LnTrx  
       2021-10-27 20:19:39 +08:00
    IPV6 铺开后“各种联网设备”也很难被扫描吧,本文提到的光猫倒是相对容易被发现的类型
    geniussoft
        45
    geniussoft  
       2021-10-28 01:57:41 +08:00   ❤️ 1
    完全的胡说八道。
    运营商在乎互联网安全?

    家用宽带上搞 HTTP 劫持、加广告,然后装傻不承认,愣说用户电脑有病毒的,就是三大运营商。
    更有甚者,直接劫持购物返利,盆满钵满。
    Kowloon
        46
    Kowloon  
       2021-10-28 12:49:56 +08:00 via iPhone
    @elboble
    北京歌华的 IP 虽然经过 NAT 三网不通,但是走 IX 直通各大 IDC 是没问题的。
    FlyingShark
        47
    FlyingShark  
       2021-10-29 14:17:34 +08:00
    @geniussoft 你说得对,但其实很多小区的最后 500 米,实际上不是电信管的,签了协议帮电信做事
    adfs
        48
    adfs  
       2021-11-04 08:31:42 +08:00 via Android
    中兴和华为的光猫都中招了?
    droidmax61
        49
    droidmax61  
       2023-01-11 23:50:54 +08:00 via Android
    @zu1k 大佬你好,我想请问一下你博客里的那篇回顾 pinkbot 事件当中所拍摄的运营商装维师傅给光猫升级用到的模块是串口调试模块嘛?还有就是他手机上用的 app 是啥?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2675 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:08 · PVG 14:08 · LAX 22:08 · JFK 01:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.