这是一个创建于 1111 天前的主题,其中的信息可能已经有所发展或是发生改变。
一个藏在我们身边的巨型僵尸网络 Pink https://blog.netlab.360.com/pinkbot/
国内某厂商的光猫被僵尸网络控制 160 万设备
厂商名字可以通过搜关键词 “光猫 TCP 17998” 获得
几个要点
- Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在 360Netlab 的独立测量中,总感染量超过 160 万,其中 96% 位于中国。
- 受感染的 IP 主要集中在中国 (96%),遍及全国 33 个省。受影响的运营商主要涉及中国联通(>80%)和中国电信(>15%)。
- 受攻击的漏洞源于一个 TCP-17998 的管控服务,该服务是对运营商提供的一个管理家用光猫的接口。由于服务配置和实现的失误,向公网开放了访问权限,攻击者通过它获取了相关光猫的控制权。
第 1 条附言 · 2021-10-26 23:51:34 +08:00
过去几年曝光的几波摄像头僵尸网络、摄像头挖矿等,主要分布在国外,国内很少受影响,因为我国的设备都在 NAT 后面,无法通过公网直接访问、扫描。
等 IPV6 铺开后,NAT 形成的“防火墙”消失,各种联网设备被僵尸网络控制,到时候就是大型养蛊现场。
等 IPV6 铺开后,NAT 形成的“防火墙”消失,各种联网设备被僵尸网络控制,到时候就是大型养蛊现场。
 |
1
lockiee 2021-10-26 14:15:33 +08:00
主动开通公网 ip 的都是会使用的吧,这样感染了之后关闭对外的访问渠道,使用者不是知道了么
|
 |
2
InDom 2021-10-26 14:33:38 +08:00
@lockiee 是关闭了特定服务 特定端口的对外访问渠道,并不会影响绝大多数用户的正常使用。
从文章末尾看,关闭了三个服务,都是普通用户没权限做到的。 TCP-17998 管控服务、tr069 升级通道、LAN 侧的 TCP-80 HTTP 服务(光猫的 Web 管理界面) |
 |
3
mxT52CRuqR6o5 2021-10-26 14:52:24 +08:00
好可怕
|
 |
4
VxJiahua 2021-10-26 14:55:50 +08:00 via Android
以前看的有人通过入侵光猫宽带来刷钻的,俗称肉鸡
|
 |
5
feitxue 2021-10-26 15:04:09 +08:00
我只知道之前有人通过 tr069 通道可以实现同城高速局域网连接.
|
 |
6
geekvcn 2021-10-26 15:04:11 +08:00
让我解惑的不是回收 IPv4 的原因,而是为什么去年开始裸连 raw github 网页访问多刷几次还能正常一次,命令行访问一直不正常。
|
 |
7
jiezhi 2021-10-26 15:04:23 +08:00
[运营商收回公网 IP 的原因之一] 这是楼主自己的猜测吧?
今天还打电话给电信客服要求分配公网 IP ,不知后续如何。 |
 |
8
wwbfred 2021-10-26 15:04:31 +08:00 via iPhone  49
如何避免老公出轨?答:把老公 JB 剁了。
|
 |
9
Tink 2021-10-26 15:08:12 +08:00 via Android
如果开通公网 ip ,然后光猫只做光转换的话是不是就不会有这个问题了,相当于 17998 端口开到了软路由上
|
 |
10
ochatokori 2021-10-26 15:13:56 +08:00 via Android
@InDom #2 关闭 LAN 侧的 web 管理界面应该很容易被用户发现吧
|
|
12
InDom 2021-10-26 15:21:41 +08:00
@ochatokori 就算被用户发现,作为用户也没有任何办法,只能维修或更换,估计很少有人会在没使用问题的情况下得到运营商的支持。
其次,绝大多数用户并不会访问光猫,包括你,想一下你有多久没有访问过光猫了,你的猫可能也是 160 万之一。 甚至还是 最后那是万分之一。 |
 |
13
azuis 2021-10-26 15:23:57 +08:00
问题是管理端口本来就不应该开到 WAN 侧....
|
 |
14
leavic 2021-10-26 15:28:36 +08:00 3
根本目的是:你们不再有独立向世界广播的权利了。
|
 |
15
xu2060 2021-10-26 15:38:17 +08:00
真可怕
|
 |
16
CallMeReznov 2021-10-26 15:41:17 +08:00 4
感觉这是一个综合原因决定的.不光是这个原因.
一方面管控加强, 安全因素, 加上 4 退 6 进.等等综合原因导致的. 当然了,回收珍贵的 IPV4 拿来创造更好的经济效益我感觉才是主要原因. 另外光猫都是 PON 口上联,tr069 管理,讲道理应该不会出现公网管理端口的操作啊 |
 |
17
acbot 2021-10-26 15:45:35 +08:00
这个解释太牵强很难成立,感觉就是当初封家宽 80 443 端口的一个翻版。第一,既然都知道公网了,很大一部分都是桥接路由拨号上网了,根本就没有光猫 WAN 口开放问题。 第二,这么大的漏洞光猫厂家不升级?就算厂家不升级运营商防火墙直接就可以统一 reject 。目前我个人认为回收 v4 公网最正能量的解释是提高 v6 流量变相促进 v6 网络部署,其他的解释都是扯蛋。比如:说啥 v4 地址枯竭使用完啥的,v4 地址少不假,但 v4 地址在各运营商,各地区之间分配上也不能说没有问题,国内 v4 地址总数 3.44 亿 按运营商划分 电信一家就分了 1.25 亿,按地域划分 北京地区就占了 25% 广东 9% 其他大部分省份就只有 1-3%,目前国内宽带总用户 4.97 亿 绝大多数是 NAT
|
 |
18
ZRS 2021-10-26 15:47:03 +08:00 via iPhone 1
这不是运营商及其供应商自己傻逼的问题吗
|
 |
19
cathedrel 2021-10-26 15:49:14 +08:00 7
又是该死的蛙为
|
|
20
ochatokori 2021-10-26 15:52:16 +08:00 via Android
@InDom #12 我光猫是桥接的不用担心…,不经常访问光猫管理页倒是
|
 |
21
zu1k 2021-10-26 15:54:15 +08:00 via Android 7
https://blog.netlab.360.com/pinkbot/
当初记录下来了运营商第三次尝试修复的方式,当初还感觉莫名其妙,现在看来就很清晰了 https://gist.github.com/zu1k/7120d1f71797153eb8c867bb09323eae#L9923 因为我早就关闭了各种外部管理和升级接口,所以实际没有受攻击影响。后面运营商发现没办法给我光猫在线更新,专门派人到户更新的 |
 |
24
Bunnyranch 2021-10-26 16:38:23 +08:00
现在有了 IPV6 是不是等于有公网了呢 至少我现在 bitcomet 是绿灯了..
|
 |
25
life4me 2021-10-26 16:54:40 +08:00
牵强
|
 |
26
alect 2021-10-26 17:46:46 +08:00
这个不可能是原因之一
|
 |
27
treo 2021-10-26 23:01:06 +08:00 1
厂商名字都不敢提,马上就知道是哪家厂商了
新时代的 He Who Must Not Be Named |
 |
28
AlexPUBLIC 2021-10-26 23:21:19 +08:00 1
另看到一篇文章说:该端口主要是维护人员使用 APP 调试 ONU 使用,此端口在 ONU 上网链接( internet )为路由模式时会在 wan 侧打开,桥接模式下则不会打开
那么好了正常设计逻辑应该是 app 向中心发起请求,OLT 通过 tr069 下发,为啥还在 wan 侧开一个端口?可见这家厂商是故意为之,建议先把负责人抓起来,检查是否有境外势力背景 |
 |
29
hicdn OP 还有 10 万设备在被僵尸网络控制,不知道有没有人发现自己光猫的 80 端口不能访问了。
|
 |
30
acess 2021-10-27 00:15:30 +08:00
“厂商又尝试利用设备上 LAN 侧的 TCP-80 HTTP 服务来进行设备修复”
|
|
31
acess 2021-10-27 00:20:47 +08:00
于是这类光猫就算不出这档事也有 CSRF 后门呗
|
 |
32
swulling 2021-10-27 00:25:41 +08:00 via iPhone
ipv6 路由器基本都默认开启防火墙功能,限制传入链接。这个没啥成本 too easy
|
 |
33
77ShiORi 2021-10-27 00:29:07 +08:00 1
如果 IPv6 会“助长”这种僵尸网络的话,那这不应该是运营商收回公网 IP 而推行 IPv6 的原因之一。
|
 |
34
flynaj 2021-10-27 00:54:00 +08:00 via Android
所以路由器拨号才是明智的选择。
|
|
36
feitxue 2021-10-27 09:57:13 +08:00
@pungaagin base64
aHR0cHM6Ly9ub3RlLnZpYml0LmNjLzIwMjAvMDQvdHIwNjktd2lyZWd1YXJkLmh0bWw/bT0x |
 |
38
JamesR 2021-10-27 11:01:47 +08:00
是不是华为的光猫设备?
|
 |
39
a1562619919 2021-10-27 12:30:55 +08:00 via Android
@wwbfred 这样搞老公不出轨了,自己出轨了
|
 |
40
tankren 2021-10-27 15:50:55 +08:00
光猫桥接就好啦
|
 |
41
glamor 2021-10-27 18:09:46 +08:00
连这个厂商的名字都没法说出来,相比僵尸网络,我觉得这个厂商更加令人害怕.
这回别人打他,名字都报不出来,要是他利用后门打别人,画面太美我不敢想象😰 |
 |
42
elboble 2021-10-27 19:10:41 +08:00 via Android
应该不是的,某省广电用 hgu ,因为 linux sdk 有 bug 被利用导致出口防火墙被挂了,两个地级市受影响。
众所周知,广电宽带从未有公网 ip |
 |
43
qingmuhy0 2021-10-27 19:43:57 +08:00 via iPhone
现在的路由器对于 v6 的防护墙默认都是不允许入站的吧,我记得我之前搞的时候只有 openwrt 对 v6 防火墙设置比较完善。
|
 |
44
LnTrx 2021-10-27 20:19:39 +08:00
IPV6 铺开后“各种联网设备”也很难被扫描吧,本文提到的光猫倒是相对容易被发现的类型
|
 |
45
geniussoft 2021-10-28 01:57:41 +08:00 1
完全的胡说八道。
运营商在乎互联网安全? 家用宽带上搞 HTTP 劫持、加广告,然后装傻不承认,愣说用户电脑有病毒的,就是三大运营商。 更有甚者,直接劫持购物返利,盆满钵满。 |
 |
46
Kowloon 2021-10-28 12:49:56 +08:00 via iPhone
@elboble
北京歌华的 IP 虽然经过 NAT 三网不通,但是走 IX 直通各大 IDC 是没问题的。 |
 |
47
FlyingShark 2021-10-29 14:17:34 +08:00
@geniussoft 你说得对,但其实很多小区的最后 500 米,实际上不是电信管的,签了协议帮电信做事
|
 |
48
adfs 2021-11-04 08:31:42 +08:00 via Android
中兴和华为的光猫都中招了?
|
 |
49
droidmax61 2023-01-11 23:50:54 +08:00 via Android
@zu1k 大佬你好,我想请问一下你博客里的那篇回顾 pinkbot 事件当中所拍摄的运营商装维师傅给光猫升级用到的模块是串口调试模块嘛?还有就是他手机上用的 app 是啥?
|
Select Language