據ZDNet報道,日前在國外安全論壇上,一個黑客公佈了大量數據,該數據中包含了超過515000臺服務器,家用路由器和IoT(物聯網)"智能"設備的密碼,這些設備開放了不安全的Telnet端口,導致密碼被掃描。數據列表包括設備的IP地址,Telnet服務用戶名和密碼,使用這些用戶名和密碼可對設備通過互聯網控制。據悉該列表是通過掃描整個互聯網網段來發現暴露的Telnet端口。
然後嘗試使用:出廠設置的默認用戶名和密碼,或自定義但易於猜測的密碼組合(密碼字典)。
這類列表,通常被稱為"bot lists",主要用於非法制造IoT殭屍網絡。黑客通過掃描互聯網以建立列表,然後使用它們來連接設備並安裝惡意軟件。這些列表通常不會直接公開的,此前曾有些許信息在互聯網上暴露過,比如2017年8月洩漏的33000個家庭路由器的列表。但是,如此大規模的信息洩露尚屬首次。
DDoS服務運營商洩露的數據
據瞭解,該列表是由DDoS租用(DDoS引導程序)服務的維護者在線發佈的。當被問及為什麼他發佈如此龐大的"bots"列表時,洩漏者說,它已將DDoS服務從IoT殭屍網絡上的工作升級為依靠從雲服務提供商租用高輸出服務器的新模式。
黑客洩露的所有列表的文件日期均為2019年10月至11月。其中一些設備現在可能在不同的IP地址上運行,或已經修改了密碼。由於信息真實性驗證涉嫌非法,該列表的尚未被驗證,無法得知其中有效的信息的比列。通過使用BinaryEdge和Shodan等物聯網安全搜索引擎,可以識別到,有一些設備地址為已知互聯網服務提供商的網絡(表明他們可能是家用路由器或IoT設備),其他設備網段則主要是雲服務提供商的網絡地址。
危險依然存在
目前儘管列表中的某些條目設備可能已更改其IP地址或密碼而不再有效,對於熟練的攻擊者而言,列表仍然非常有用。配置錯誤的設備不會在互聯網上上平均分佈,但是由於ISP供應商的員工在將設備部署到各自的客戶群時會對其進行錯誤配置,因此它們通常聚集在一個ISP的網絡上。
攻擊者可能會使用列表中包含的IP地址,確定服務提供商,然後重新掃描ISP的網絡以使用最新的IP地址更新列表。
安全防護
為了避免我們遭受類似攻擊影響,蟲蟲建議大家從以下幾個方面予以防護:
首先,Telnet服務由於屬於明碼數據傳輸,而且認證過程等沒有有效安全策略(比如防暴力破解),已經被業界官方拋棄,如果你的設備設計相關服務和端口(默認23)建議禁止使用該服務,使用安全的SSH服務+證書登陸方式。如果設備只支持Telnet方式,則該設備應該更換了。
其次,對非必要和管理端口限制訪問IP為可信IP,不要直接對公網開放。
再次,修改掉服務默認的監聽端口,比如Telnet的23,SSH的22,Ftp的 20,21端口,MySql的3306,Redis的6379等。
最後,路由器和物聯網等設備,建議不要對公網開放任何訪問途徑。
閱讀更多 蟲蟲安全 的文章
