我们有一个客户正在运行他从家里访问的办公室闭路电视系统。该系统在 NAT 防火墙后面的嵌入式 Linux 机器上运行,转发到端口 8080 用于 Web 浏览器访问,37777 用于专有软件访问。
所有这一切都突然停止工作,一项小调查显示,发送到他的 IP 地址(在任一端口上)的 TCP SYN 数据包立即被包含“走开,我们不在家”消息的 RST 数据包终止。谷歌搜索这条消息会得到很多关于 Storm Botnet 的信息,它显然就是这样做的。
所以问题是,Storm Botnet 究竟是如何劫持嵌入式 Linux 机器的。还是我完全错过了其他东西?
这个 NAT 防火墙——它是什么硬件和软件?被劫持的不一定是 Linux 机器。
我已经回答了这个问题,以防将来有人不幸走上这条路。
我问我是否可能完全错过了其他东西。原来我是。问题出在我们自己的路由器上,并且有三个明显的症状。
虽然这看起来像是一个固件漏洞,但它与 psyb0t 的症状不一致。
有问题的路由器是(相当旧的)2Wire 智能网关 1800 并且已被更换!