今天發現我的 IP 分享器被入侵,我記得有關閉 SSH & Telnet 的功能,但卻發現有駭客透過 SSH 執行以下指令,請問這些指令是在做什麼?
dropbear: Password auth succeeded for 'xxxxx' from 201.24.185.90:41181
dropbear: User xxxxx executing '/sbin/ifconfig'
dropbear: User xxxxx executing 'cat /proc/meminfo'
dropbear: User xxxxx executing '2>/dev/null sh -c 'cat /lib/libdl.so* || cat /lib/librt.so* || cat /bin/cat || cat /sbin/ifconfig''
dropbear: User xxxxx executing 'cat /proc/version'
dropbear: User xxxxx executing 'uptime'
dropbear: User xxxxx executing '1>/dev/null 2>/dev/null /sbin/iptables -L -n && echo 1 || echo 0'
dropbear: User xxxxx executing '(python -V 2>/dev/null && echo python && python -V) || (/usr/local/bin/python -V 2>/dev/null dropbear: && echo /usr/local/bin/python && /usr/local/bin/python -V)'
dropbear: Exit (xxxxx): Exited normally
我 IP 分享器的帳號密碼都有換過,帳號不是預設的 admin,密碼也有包含大小寫字母,特殊符號與數字,感覺駭客是知道帳密,然後透過 Web UI 管理介面直接登入 IP 分享器,並打開 SSH 功能。
因為人在外,我先做了以下處置:
1. 更改密碼
2. 關閉 SSH
3. 禁止透過 Internet 連接 Web UI 管理介面
4. IP 分享器重新開機
5. 電腦重灌 (回家才能做)。
請問,我還需要做什麼動作,才能確保分享器不會被綁架、DNS 串改,或竊取資訊?是否需要重刷韌體?
雙面浪人 wrote:
看起來像是試探看看...(恕刪)
我 Router 是 24 小時開機,家裡有 NAS,會發現,是因為我一連上 Router 管理介面時,它就出現密碼錯誤太多次,不准登入的訊息,才驚覺問題大了,不是已被駭,就是有駭客不斷測試密碼。登入後去看 log 才發現有大量的攻擊,且有的登入成功,並開啟 SSH 執行指令。國外似乎也有人有類似狀況,如下:
https://www.snbforums.com/threads/was-my-routers-username-and-password-hacked.36602/
原本是使用 Vigor 2930vn,一直沒事,2017/02 才換上 Asus RT-AC5300,馬上就被駭成功,實在是不知道是管理者帳號密碼被偷,還是 Asus Router 有漏洞。我會先重刷韌體,再觀察看看,若又被駭,只好再換 Draytek 的來用了
內文搜尋