运营商收回公网 IP 的原因之一

2021-10-26 14:06:27 +08:00

hicdn

一个藏在我们身边的巨型僵尸网络 Pink https://blog.netlab.360.com/pinkbot/

国内某厂商的光猫被僵尸网络控制 160 万设备

厂商名字可以通过搜关键词 “光猫 TCP 17998” 获得

Pinkbot 是我们六年以来观测到最大的僵尸网络，其攻击目标主要是 mips 光猫设备，在 360Netlab 的独立测量中，总感染量超过 160 万，其中 96% 位于中国。
受感染的 IP 主要集中在中国 (96%)，遍及全国 33 个省。受影响的运营商主要涉及中国联通（>80%）和中国电信（>15%）。
受攻击的漏洞源于一个 TCP-17998 的管控服务，该服务是对运营商提供的一个管理家用光猫的接口。由于服务配置和实现的失误，向公网开放了访问权限，攻击者通过它获取了相关光猫的控制权。

9445 次点击

所在节点

49 条回复

glamor

2021-10-27 18:09:46 +08:00

连这个厂商的名字都没法说出来,相比僵尸网络,我觉得这个厂商更加令人害怕.
这回别人打他,名字都报不出来,要是他利用后门打别人,画面太美我不敢想象😰

elboble

2021-10-27 19:10:41 +08:00

应该不是的，某省广电用 hgu ，因为 linux sdk 有 bug 被利用导致出口防火墙被挂了，两个地级市受影响。
众所周知，广电宽带从未有公网 ip

qingmuhy0

2021-10-27 19:43:57 +08:00

现在的路由器对于 v6 的防护墙默认都是不允许入站的吧，我记得我之前搞的时候只有 openwrt 对 v6 防火墙设置比较完善。

LnTrx

2021-10-27 20:19:39 +08:00

IPV6 铺开后“各种联网设备”也很难被扫描吧，本文提到的光猫倒是相对容易被发现的类型

geniussoft

2021-10-28 01:57:41 +08:00

完全的胡说八道。
运营商在乎互联网安全？

家用宽带上搞 HTTP 劫持、加广告，然后装傻不承认，愣说用户电脑有病毒的，就是三大运营商。
更有甚者，直接劫持购物返利，盆满钵满。

Kowloon

2021-10-28 12:49:56 +08:00

@elboble
北京歌华的 IP 虽然经过 NAT 三网不通，但是走 IX 直通各大 IDC 是没问题的。

FlyingShark

2021-10-29 14:17:34 +08:00

@geniussoft 你说得对，但其实很多小区的最后 500 米，实际上不是电信管的，签了协议帮电信做事

adfs

2021-11-04 08:31:42 +08:00

中兴和华为的光猫都中招了？

droidmax61

2023-01-11 23:50:54 +08:00

@zu1k 大佬你好，我想请问一下你博客里的那篇回顾 pinkbot 事件当中所拍摄的运营商装维师傅给光猫升级用到的模块是串口调试模块嘛？还有就是他手机上用的 app 是啥？

第 3 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.