如何阻止骗子”盗取”你家的路由器用作骇客服务器

  • 您不需要自己去搞懂下面这堆东西说的都是什么;但您可能需要与懂这些东西的朋友合作。技术社区的人员应该广泛插入到非技术社区中以便在关键时候提供帮助。因为如今所有人都无法摆脱技术了

SSH 是 Secure Shell 的缩写,可能是远程管理计算机最常用的工具包了。

Windows 用户可能更熟悉 RDP 或远程桌面协议,它可以为您提供对 Windows 计算机的完全图形化远程控制,并可通过鼠标和键盘访问常规 Windows 桌面。

但是,由于其原始功能,几乎每个 Linux 或 Unix 系统管理员以及许多 Windows 系统管理员都使用SSH代替RDP。

SSH 比 RDP 更通用,允许您远程运行任何程序,因此您可以通过预先编写的脚本远程自动管理计算机,或打开终端窗口并通过实时键入命令以交互方式控制远程系统 — 或同时做两件事。

因此,能够找出您的SSH密码的骗子就可以用自己的方式进入您的计算机,甚至是您的整个网络。

SSH 还为您提供了一个被称为网络隧道的功能(中国读者都懂),您可以使用SSH从计算机A到B创建加密的网络连接或“隧道”,然后再创建从B到C的连接,以执行您想要的实际在线工作。

对于具有安全意识的用户而言,这很好 —— 它可以轻松“跳过”不受信任的网络,例如您所在的咖啡店的 Wi-Fi 路由器。

因此,使用您的 SSH 密码的骗子也可以使用您的服务器作为下一次攻击的垫脚石 —— 用您作为跳跃点来攻击其他人,让受害者用手指着你。

坏消息是:你家里很可能已经有一台SSH服务器了,无论你是否意识到,无论你是否愿意。

Many home internet connections, notably those that don’t end in a regular phone line that you plug into, include an item of what’s called CPE (customer premises equipment) that doesn’t belong to you. The ISP’s own network terminates not at the phone jack on your wall, but at the LAN network ports on a router that’s loaned to you for the duration of your contract. Management of, configuration on and updates to the router may be handled remotely, as if your router were back in the ISPs own server racks.

无论您是自己管理的SSH服务器,还是您的ISP使用和管理的SSH服务器,对骗子来说都无关紧要。

SSH服务器具有盈利性网络犯罪潜力,不仅可以作为攻击和窃取数据的可能方式,还可以作为新攻击的方便且匿名的滩头阵地。

这已经发生在最近被发现的迷你僵尸网络攻击中。

这个被称为 Gwmndy 的僵尸恶意软件本身非常简单。

如果您还没有供 Gwmndy 使用的SSH服务器,它会下载一个名为 dropbear 的开源SSH服务器程序,这是一个轻量级的、被广泛使用的且易于配置的替代全功能SSH软件,就如 OpenSSH。

然后,它不仅会启动服务器,还会安静地创建一个新的 root-level 帐户,其密码由骗子预先选择。

(您可以确认一下,命令 openssl passwd -1 -salt .vb9HA2F pldt123456, 密码 pldt123456)

根据 360 Netlab 的说法,这种恶意软件还没有被广泛分发 — 它不是病毒,所以它本身不会传播。

该怎么办?

当骗子进入你甚至没有意识到的服务器时,很难知道该从哪里开始。

据报道,在这种情况下受影响的路由器都是 Fibrehome 品牌(恶意软件使用的 shell 脚本包括对名为/ fh的目录的引用,可能是品牌名称的缩写)。

1. 如果您有这样的设备,请考虑使用直接从路由器供应商下载的固件重新刷新它。

即使你需要一段时间来重新配置它,也至少会摆脱骗子留下的任何更新、调整或攻击,例如删除这个恶意软件创建的秘密 admin 用户。

此外,重新刷新路由器将有助于确保您拥有最新版本。

2. 花时间了解你的路由器的配置设置方法,假设它们可供您访问且未被ISP锁定。

许多路由器可以相当安全,但通常在默认情况下关闭了许多安全设置。

3. 如果您确实找到了您不确定或不需要的任何路由器功能,例如远程访问,请关闭它们,看看没有它们的情况下您可以管理的程度。

特别是,请确保您没有运行 UPnP(通用即插即用)该系统旨在帮助您的计算机和外围设备(如打印机和网络存储设备等东西)找到彼此。

不幸的是,UPnP 也因此可能使您的设备很容易找到它们自动启用的远程访问,这通常不是您想要的。

4. 如果您自己是技术人员,或者身边有随叫随到的技术娴熟的朋友,请查看您是否可以使用喜欢的网络扫描工具检查下您的路由器是否可访问。

顺便说一下,如果您自己是那位被请求的技术人员,任何时候都不要在没有明确许可的情况下探查其他人的网络。

特别是,这个恶意软件将通过端口23455上的侦听SSH服务释放自己,这是您通常不会期望看到的东西。

5. 如果您的 ISP 提供或管理路由器,请考虑购买自己的路由器。

如果你是技术人员,或者有懂技术的朋友,你甚至可以10​​0%免费运行 Sophos XG 防火墙家庭版作为你自己的安全网关。⚪️

Don’t let the crooks ‘borrow’ your home router as a hacking server

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据