ssh 密码被暴力破解未遂我是已经经历了好久了,但攻击源是内网地址我还真是第一次见,我家的路由器 WAN 口获得的是公网地址,而不是 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之一。
这到底是怎么回事?我们家的人除了我就没什么人玩电脑,更别提暴力破解了。而且我们家的内网网段还是 192.168.1.0/24,没有 10.170.166.3 这样的。。。
附上#last -f btmp | head -n 40 的输出:
https://s2.ax1x.com/2019/02/14/kB1FG6.png
(顺带一提:这台服务器的 ssh 端口做了端口映射到公网上去,因为我要用 sftp 接收一些文件)
 | 1 4KMOMhIkocgLELMt Feb 14, 2019  1 10.段是运营商使用的内网段,是运营商大局域网里有台中毒电脑向外感染。 |
 | 2 ysc3839 Feb 14, 2019 via Android 1 traceroute 这个 IP 地址看看是怎么走的? |
 | 3 davie Feb 14, 2019 你的 wan 口地址是多少? 局域网分配的地址是多少? 攻击地址是多少? |
 | 4 file0X0088 Feb 14, 2019 你的 wan 应该获取的只是局域网 IP 而不是你说的公网 IP,你在确认一次看看 |
 | 5 JayHawel Feb 14, 2019 via Android 码住,楼主有什么新的分析进展没有,倒是吱个声啊。 |
 | 6 julyclyde Feb 14, 2019 这个倒不奇怪 公网上并不是不许有私网 IP 的 |
 | 7 gesse Feb 14, 2019 你们小区的有电脑中毒了吧 你 apt-get/yum install 个 fail2ban 解决暴力破解这类的困扰 |
 | 8 tomychen Feb 14, 2019 难道你奇怪的点不应该是 10.x 怎么跨路由到 192.x? 那能做这个路由的点在哪? |
 | 10 TestSmirk Feb 14, 2019 小区就算用 10.x.x.1 难道路由不做内网隔离吗. 用的什么穿透啊.有的穿透会建立 vpn. |
 | 11 catalina OP @davie WAN IP 125.116.110.* 家庭网关 TP-LINK 路由器 192.168.1.1 192.168.1.0/24 Debian 虚拟机的宿主计算机(NAT 方式端口映射) 192.168.1.2 |
| 14 catalina OP @file0X0088 你把 125.116.110.*叫局域网 ip ? |
| 15 catalina OP 承蒙各位好意,我先装个 nmap 扫扫看 |
| 16 catalina OP 5 。。。。。。 。。。。。。 。。。。。。 (请先允许我用 3 行句号来表示我此时的心情) 宿主机 nmap 发现有个端口好像开着 Web 服务器,进去一看,是个机顶盒。。。 https://s2.ax1x.com/2019/02/14/kBW8LF.png 大概率是烽火的 HG680 有什么漏洞被攻陷了、或者主人自己破解了这货然后到处煽风点火。 |
| 17 catalina OP 2 更新: 这个盒子安全性不高,它开着 adb over network,而且一句 adb connect 下去它就把自己的 root shell 交了。。。 https://s2.ax1x.com/2019/02/14/kBOB4K.png 还好意思说自己的设备名是 godbox(上帝之盒)。。。龟龟,烽火网络就是个弟弟。 |
 | 18 flynaj Feb 14, 2019 via Android tracert 10.170.166.3 看一下 |
 | 19 t6attack Feb 14, 2019 公网上超过 90%的 ssh 弱口令扫描行为,不是来自真人,而是来自蠕虫病毒。 八成是内网有 ssh 弱口令蠕虫。很多 ssh 弱口令蠕虫 专门攻击机顶盒、摄像头等物联网设备,因为这些设备默认密码是固定的。 |
| 21 t6attack Feb 14, 2019 部分 物联网&ssh 弱口令 蠕虫关键词:Mirai 物联网蠕虫、TruSSH 蠕虫、Hajime 蠕虫、HNS 蠕虫。。。 |
 | 23 ZRS Feb 14, 2019 内网设备被 hack 了 |
 | 25 Les1ie Feb 14, 2019 咨询楼主是怎么连上机顶盒的,我家里也是类似的网络,不过移动光猫以及盒子的型号可能和楼主的不一样 光猫拨号拿到 100.x.x.x (似乎是运营商私网 ip ), 光猫内网是 192.168.1.0/24, 但是能看在电视盒子的设置里面看到 Ip 地址是 10.x.x.x win10 拿到的 Ip 是 192.168.1.x, 但是 tracert 到不了机顶盒,似乎是光猫那里没加到机顶盒的路由 ,不知道是不是光猫里面做了隔离 有没有办法让电脑通过内网连上电视盒子? |
| 26 catalina OP @Les1ie 我们家没有机顶盒,这是别人家的。应该是宽带和 iptv 的流量在接入的地方设置出了毛病,内网隔离没弄好,结果两个不同功能客户端能互相访问了。 |
 | 27 laozhoubuluo Feb 14, 2019 @tomychen 现在运营商为了便于维护和业务开通,推一种叫家庭网关的设备。 这种设备默认配置都是 IPTV 和 Internet 都在设备上开路由,完了通过 option64+路由表来分开 IPTV 和 Internet 流量。 如果配置有问题的话,确实有可能会在特定条件下把这两个网络联通...... |
| 28 catalina OP @laozhoubuluo 我们家没有,应该是上游某一处配错了。 家庭网关也的确是在推,但是我家和附近好像都没用过,都是用一台小交换机把 iptv、宽带和入户线桥接起来的。 |
 | 29 zlylong Feb 15, 2019 厂商安全意识太低了。。。。 |
| 30 catalina OP @zlylong 其实本来宽带用户端也没法利用这些漏洞的,直到我们家附近某台路由器的路由表配错了。。。 而且,实测这些机顶盒,都是连不上网的,需要在宽带端的用户地方建立代理服务器。。。我好像明白为什么它要爆破我的服务器了 |
 | 31 Trumeet Feb 16, 2019 等楼主更新( |
| 32 catalina OP @Trumeet 没有了呀,难道还要我用 adb connect 进去搞别人吗?只是肉鸡而已,搞垮了又如何呢?再说,搞掉了的话,别人家的电视就没法看了啊,怎么能这么给别人添麻烦呢?( |
| 33 Trumeet Feb 16, 2019 via Android @catalina adb 进去搞就搞,基本上遵守基本法(大雾)的厂商都不会给 adb root 权限的,不过也有些劣质厂商直接给 adb root。 进去装个 App 啥的(大雾 |
 | 35 rumu3f Feb 16, 2019 既然你路由上获取的是公网 ip 那问题应该还是出在内网,服务器里边有没有虚拟机什么的,或者你的其他设备有没有虚拟机,找到这个网段先 |
 | 36 Tink PRO 不排除是通过你家里的另外某一台设备发起攻击的呀 |
| 37 catalina div class="badges">OP Feb 17, 2019 via Android |
| 38 catalina OP @Trumeet 给了,adb shell id 给的是"uid=0(root) gid=0(root)"。。。 产品随意给 root shell、毫无安全性的烽火是屑,要被拖出去续了(迫真) 也有想过装个 app,但是这些机顶盒都没法连接 internet,我们家拿的又是动态 ip 地址,代理架着也不稳定,得时时刻刻进去改(说得好像我真的会去做一样) |
Select Language