Linux上のストームボットネット?
自宅からアクセスするオフィスのCCTVシステムを運用しているお客様がいます。システムは、NATファイアウォールがWebブラウザアクセス用にポート8080に、プロプライエタリソフトウェアアクセス用に37777に転送する背後にある組み込みLinuxボックスで実行されます。
これはすべて突然機能を停止し、少し調査したところ、彼のIPアドレス(いずれかのポート)に送信されたTCP SYNパケットは、「Go away、we」というメッセージを含むRSTパケットですぐに終了していることがわかりました。このメッセージをグーグルで検索すると、ストームボットネットについて多くの情報が得られます。これは明らかにこれを実行します。
したがって、問題は、StormBotnetが組み込みLinuxボックスをどのようにハイジャックできるかということです。それとも私は何か他のものを完全に見逃していますか?
これNATファイアウォール-それはどのハードウェアとソフトウェアですか?ハイジャックされたのは必ずしもLinuxボックスではありません。
他の誰かが将来このように踏むのに十分不幸な場合に備えて、私はこれに答えました。
何か他のものが完全に欠けているのではないかと尋ねました。私がいたことがわかりました。問題は私たちのownルーターにあり、3つの明らかな症状がありました。
- すべてのICMPトラフィックがパブリックインターネットに到達するのをブロックしました
- [20、21、25、80、110]の範囲内のポートnotのパブリックインターネット上の任意のアドレスへのすべてのTCP接続を皮肉なメッセージで積極的に拒否しました。
- システムログを表示しようとすると再起動します。
これはファームウェアの悪用のように見えますが、psyb0tの症状と一致していません。
問題のルーターは(かなり古い)2Wireインテリジェントゲートウェイ1800であり、交換されました。