家中的 Linux 服务器上的 ssh 被爆破未遂，但攻击者的 ip 是个内网地址。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 2088 天前的主题，其中的信息可能已经有所发展或是发生改变。

ssh 密码被暴力破解未遂我是已经经历了好久了，但攻击源是内网地址我还真是第一次见，我家的路由器 WAN 口获得的是公网地址，而不是 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之一。

这到底是怎么回事？我们家的人除了我就没什么人玩电脑，更别提暴力破解了。而且我们家的内网网段还是 192.168.1.0/24，没有 10.170.166.3 这样的。。。

附上#last -f btmp | head -n 40 的输出：

https://s2.ax1x.com/2019/02/14/kB1FG6.png

（顺带一提：这台服务器的 ssh 端口做了端口映射到公网上去，因为我要用 sftp 接收一些文件）

第 1 条附言 · 2019-02-14 18:00:15 +08:00

是台烽火的 HG680 机顶盒，adb over wireless 开着且连入即有 root 权限，很大概率是被人钻了漏洞入侵，变成跳板 /肉鸡了。
谢谢各位的指导，谢谢！

第 2 条附言 · 2019-02-28 06:53:33 +08:00

漏洞已被未知人修复，已经无法由宽带连接至 10.x.x.x，勿念。
虽然在修复之前我把整个系统打包进 tar 文件，然后 nc 传回来了。。。

第 3 条附言 · 2019-03-26 09:11:14 +08:00

在分析数据的转移过程中，/data/local/tmp 中的大量程序被小红伞报毒了，判定结果为 Mirai Worm。。。
好吧我虽然早就明白了这是蠕虫，但我还真没想到这竟然就是传说中 d 掉了半个美国的 Mirai😂😂😂
https://s2.ax1x.com/2019/03/26/AN1hNj.png

ssh

内网

未遂

地址

44 条回复 • 2019-02-19 09:48:09 +08:00

4KMOMhIkocgLELMt

2019-02-14 12:23:49 +08:00

10.段是运营商使用的内网段，是运营商大局域网里有台中毒电脑向外感染。

ysc3839

2019-02-14 12:28:09 +08:00 via Android

traceroute 这个 IP 地址看看是怎么走的？

davie

2019-02-14 12:29:20 +08:00

你的 wan 口地址是多少？局域网分配的地址是多少？攻击地址是多少？

file0X0088

2019-02-14 12:36:20 +08:00

你的 wan 应该获取的只是局域网 IP 而不是你说的公网 IP，你在确认一次看看

JayHawel

2019-02-14 12:40:22 +08:00 via Android

码住，楼主有什么新的分析进展没有，倒是吱个声啊。

julyclyde

2019-02-14 12:50:51 +08:00

这个倒不奇怪
公网上并不是不许有私网 IP 的

gesse

2019-02-14 12:53:54 +08:00

你们小区的有电脑中毒了吧

你 apt-get/yum install 个 fail2ban 解决暴力破解这类的困扰

tomychen

2019-02-14 13:00:47 +08:00

难道你奇怪的点不应该是
10.x 怎么跨路由到 192.x?
那能做这个路由的点在哪？

disk

2019-02-14 13:36:10 +08:00 via Android

@tomychen 他说了 ssh 有做端口映射，猜测路由点应该就在家用网关上面几层。

TestSmirk

2019-02-14 13:45:54 +08:00

小区就算用 10.x.x.1 难道路由不做内网隔离吗.
用的什么穿透啊.有的穿透会建立 vpn.

catalina

2019-02-14 15:25:27 +08:00 via Android

@davie
WAN IP 125.116.110.*
家庭网关 TP-LINK 路由器 192.168.1.1 192.168.1.0/24
Debian 虚拟机的宿主计算机(NAT 方式端口映射) 192.168.1.2

catalina

2019-02-14 15:27:33 +08:00 via Android

@gesse 倒是没必要，因为这台 linux 里也没东西。。。

catalina

2019-02-14 15:29:08 +08:00 via Android

@disk 应该是了，ping 到那 ping 得通，TTL60，ping 网关 TTL 是 64

catalina

2019-02-14 15:29:55 +08:00 via Android

@file0X0088 你把 125.116.110.*叫局域网 ip ？

catalina

2019-02-14 15:30:42 +08:00 via Android

承蒙各位好意，我先装个 nmap 扫扫看

catalina

2019-02-14 16:05:03 +08:00

。。。。。。
。。。。。。
。。。。。。
（请先允许我用 3 行句号来表示我此时的心情）
宿主机 nmap 发现有个端口好像开着 Web 服务器，进去一看，是个机顶盒。。。
https://s2.ax1x.com/2019/02/14/kBW8LF.png
大概率是烽火的 HG680 有什么漏洞被攻陷了、或者主人自己破解了这货然后到处煽风点火。

catalina

2019-02-14 17:45:16 +08:00

更新：
这个盒子安全性不高，它开着 adb over network，而且一句 adb connect 下去它就把自己的 root shell 交了。。。
https://s2.ax1x.com/2019/02/14/kBOB4K.png
还好意思说自己的设备名是 godbox(上帝之盒)。。。龟龟，烽火网络就是个弟弟。

flynaj

2019-02-14 17:53:59 +08:00 via Android

tracert 10.170.166.3 看一下

t6attack

2019-02-14 18:03:08 +08:00

公网上超过 90%的 ssh 弱口令扫描行为，不是来自真人，而是来自蠕虫病毒。
八成是内网有 ssh 弱口令蠕虫。很多 ssh 弱口令蠕虫专门攻击机顶盒、摄像头等物联网设备，因为这些设备默认密码是固定的。

tomychen

2019-02-14 18:09:59 +08:00

@disk 我还是很好奇，这条 10 的路由表是怎么被添加上的

t6attack

2019-02-14 18:15:51 +08:00

部分物联网&ssh 弱口令蠕虫关键词：Mirai 物联网蠕虫、TruSSH 蠕虫、Hajime 蠕虫、HNS 蠕虫。。。

yexm0

2019-02-14 18:16:51 +08:00 via Android

@tomychen 我这深圳电信公网 ip 是能 ping 通 192.168.x 某个段里的 ip 的。这个不奇怪

ZRS

2019-02-14 18:23:53 +08:00

内网设备被 hack 了

catalina

2019-02-14 18:45:58 +08:00 via Android

@t6attack 这个没有默认密码(笑死)

Les1ie

2019-02-14 19:46:11 +08:00

咨询楼主是怎么连上机顶盒的，我家里也是类似的网络，不过移动光猫以及盒子的型号可能和楼主的不一样

光猫拨号拿到 100.x.x.x （似乎是运营商私网 ip ）, 光猫内网是 192.168.1.0/24, 但是能看在电视盒子的设置里面看到 Ip 地址是 10.x.x.x

win10 拿到的 Ip 是 192.168.1.x, 但是 tracert 到不了机顶盒，似乎是光猫那里没加到机顶盒的路由 ,不知道是不是光猫里面做了隔离

有没有办法让电脑通过内网连上电视盒子？

catalina

2019-02-14 20:17:07 +08:00 via Android

@Les1ie 我们家没有机顶盒，这是别人家的。应该是宽带和 iptv 的流量在接入的地方设置出了毛病，内网隔离没弄好，结果两个不同功能客户端能互相访问了。

laozhoubuluo

2019-02-14 21:53:58 +08:00

@tomychen 现在运营商为了便于维护和业务开通，推一种叫家庭网关的设备。
这种设备默认配置都是 IPTV 和 Internet 都在设备上开路由，完了通过 option64+路由表来分开 IPTV 和 Internet 流量。
如果配置有问题的话，确实有可能会在特定条件下把这两个网络联通......

catalina

2019-02-14 22:41:57 +08:00 via Android

@laozhoubuluo 我们家没有，应该是上游某一处配错了。
家庭网关也的确是在推，但是我家和附近好像都没用过，都是用一台小交换机把 iptv、宽带和入户线桥接起来的。

zlylong

2019-02-15 11:30:11 +08:00

厂商安全意识太低了。。。。

catalina

2019-02-15 12:31:19 +08:00 via Android

@zlylong 其实本来宽带用户端也没法利用这些漏洞的，直到我们家附近某台路由器的路由表配错了。。。
而且，实测这些机顶盒，都是连不上网的，需要在宽带端的用户地方建立代理服务器。。。我好像明白为什么它要爆破我的服务器了

Trumeet

2019-02-16 01:04:53 +08:00

等楼主更新（

catalina

2019-02-16 08:16:28 +08:00 via Android

@Trumeet 😂
没有了呀，难道还要我用 adb connect 进去搞别人吗？只是肉鸡而已，搞垮了又如何呢？再说，搞掉了的话，别人家的电视就没法看了啊，怎么能这么给别人添麻烦呢？(

Trumeet

2019-02-16 09:26:26 +08:00 via Android

@catalina adb 进去搞就搞，基本上遵守基本法（大雾）的厂商都不会给 adb root 权限的，不过也有些劣质厂商直接给 adb root。
进去装个 App 啥的（大雾

tomychen

2019-02-16 16:01:55 +08:00

@yexm0 这个还不奇怪？公网 IP ping 到 192.168.x.x?

那我也不好说太多了

rumu3f

2019-02-16 21:21:35 +08:00

既然你路由上获取的是公网 ip 那问题应该还是出在内网，服务器里边有没有虚拟机什么的，或者你的其他设备有没有虚拟机，找到这个网段先

Tink

2019-02-17 09:03:39 +08:00 via iPhone

不排除是通过你家里的另外某一台设备发起攻击的呀

catalina

2019-02-17 18:34:34 +08:00 via Android

@rumu3f
@Tink
我们家就只有 192.168.1.0/24 这个网段。。。另外一个延长距离用的路由器内网是 10.x.x.x，但是访问别的设备，设备上显示的 ip 是那个路由器的 WAN 口地址(即 192.168.1.3)。这个路由器没有开 RIP 啥的动态路由协议(gateway 也没有，而是用了简单的 NAT，把 LAN 设备访问转换成了自己的访问。
而且实际上，traceroute 那个 10.x.x.x 的地址的结果可以证明，流量是跑到网关路由器外面去了。
还有，小生不才，但对于管理家庭网络安全还是有点经验的 w

catalina

2019-02-17 18:42:52 +08:00 via Android

@Trumeet
给了，adb shell id 给的是"uid=0(root) gid=0(root)"。。。
产品随意给 root shell、毫无安全性的烽火是屑，要被拖出去续了(迫真)
也有想过装个 app，但是这些机顶盒都没法连接 internet，我们家拿的又是动态 ip 地址，代理架着也不稳定，得时时刻刻进去改(说得好像我真的会去做一样)

Trumeet

2019-02-18 00:09:54 +08:00 via Android

@catalina 这么恶心的厂商么.. adb 直接给 root.. system 挂 rw 进去玩啊（逃

Trumeet

2019-02-18 00:10:45 +08:00 via Android

@catalina 机顶盒没法连 Internet ？？

catalina

2019-02-18 18:02:15 +08:00 via Android

@Trumeet
#39 mount -o remount,rw /system，真是可怕(笑死)。算了，我还是 tar 回来慢慢玩吧(逃

#40 是的，不能连 internet，只能连 iptv 的业务网络，除非在本地架设代理或 vpn 什么的。。。

Trumeet

2019-02-19 01:24:19 +08:00 via Android

@catalina 不能连 Internet 要何用（
还不如本地弄个热点然后 adb 连上（

catalina

2019-02-19 09:07:58 +08:00 via Android

@Trumeet 这玩意儿连无线都没有，基本上只能做个攻击的跳板(摔

Trumeet

2019-02-19 09:48:09 +08:00 via Android

@catalina 无线都没有还行