本帖最后由 mouse1rat1 于 2016-7-20 16:24 编辑
和路由智能路由器默认 telnet 密码可导致被远程控制2016-06-06 [url=]0[/url]个评论 [url=]收藏[/url] 我要投稿
和路由智能路由器存在开放 telnet 服务和默认的帐号密码,可以通过公网扫描对路由器进行批量控制,进一步渗透内网或组成僵尸网络。 和路由是中国移动旗下的智能路由器品牌。厂商可能出于远程维护的目的留下了 telnet 后门,可以通过公网访问路由器的 shell。通过固件分析可以获得此账户密码。 其 telnet 服务的指纹特征为“heluyou login”,通过 ZoomEye / Shodan 等搜索引擎,或自行全网扫描的手段批量可批量获取使用默认口令的路由器,从而批量获取权限。根据 2016 年 3 月 2 日的查询,ZoomEye 搜索得到 163 个结果,Shodan 可搜索到 698 条。 默认账户:admin,密码:[email protected] 结合网上公开的 Lizard Squad 源码(https://**.**.**.**/gh0std4ncer/lizkebab,修改其 client.c 中的 usernames 和 passwords),可通过交叉编译的方式生成具有传播性的路由器蠕虫。 电脑接入和路由的本地局域网,路由器的默认 IP 为 **.**.**.**。 telnet **.**.**.** 输入 admin 和 [email protected],获得 shell。
cat /etc/options.pppoe 可以查看宽带帐号密码; 篡改 /etc/resolv.conf 的内容可以劫持 DNS; nvram_get 命令可以获得固件信息和路由器相关配置,如 nvram_get Password 得到路由器 Web 管理页面密码 解决方案: 在路由器中关闭 telnetd 服务,使用更安全的认证方式留下调试接
|