我们有一位客户正在运行办公室 CCTV 系统,他可以从家里访问该系统。该系统运行在 NAT 防火墙后面的嵌入式 Linux 机器上,转发到端口 8080 以供 Web 浏览器访问,转发到端口 37777 以供专有软件访问。
所有这些突然停止工作,经过一番调查发现,发送到他的 IP 地址(在任一端口上)的 TCP SYN 数据包立即被 RST 数据包终止,其中包含消息“走开,我们不在家”。在 Google 上搜索此消息会得到很多关于 Storm Botnet 的信息,显然 Storm Botnet 就是这么做的。
所以问题是,Storm Botnet 究竟如何劫持嵌入式 Linux 设备。还是我完全忽略了其他东西?
答案1
这个 NAT 防火墙——它是什么硬件和软件?它不一定是被劫持的 Linux 机器。
答案2
我回答了这个问题,以防将来其他人不幸遇到这种情况。
我问自己是否可能错过了其他完全不同的东西。结果发现我错过了。问题出在我们的自己的路由器,并有三个明显的症状。
- 阻止所有 ICMP 流量进入公共互联网
- 主动拒绝所有到公共互联网上任何地址的 TCP 连接不是在 [20, 21, 25, 80, 110] 范围内,带有讽刺意味。
- 尝试查看系统日志时重新启动。
虽然这看起来像是一个固件漏洞,但它与 psyb0t 的症状不一致。
有问题的路由器是(相当旧的)2Wire Intelligent Gateway 1800,已经被替换了!