德国电信近日遭遇网络攻击,超 90 万路由器无法联网,德国电信方面已经确认了此事。断网事故始于当地时间 11 月 27 日(周日)17:00 左右,持续数个小时。周一上午 08:00 再次出现断网问题。除了联网服务外,德国电信用户还用这些路由器来连接电话和电视服务。
事件影响全国范围内的众多用户,具体影响范围如下图所示:
当地时间周一 12:00,德国电信在 Facebook 上放出通告称,其 2 千万用户已将问题解决,但其用户反映无法联网的问题依旧存在。
实际上德国电信并没有公布这次网络攻击的技术细节,甚至连究竟有哪些路由器受到影响都没提。有专家推测这次的攻击应该是恶意软件阻止了路由器连接到德国电信的网络。
SANS ISC 的安全专家周一早晨发布了一篇报告,其中提到针对 Speedport 路由器的 7547 端口进行 SOAP 远程代码执行漏洞的扫描和利用,近期发生了急剧增长。而 Speedport 路由器正是德国电信用户广泛使用的型号。
通过 Shodan 搜索,可以发现目前约 4100 万个设备开放 7547 端口。代码似乎是来自 Mirai 僵尸网络。目前,从蜜罐服务器的数据来看,针对每个目标IP,每5-10分钟就会收到一个请求。代码中的登录用户名和密码经过了混淆,和 Mirai 所用的算法一致。C&C 服务器也在 timeserver.host 域名下——这也是台 Mirai 服务器。而且连扫描 IP 的伪随机算法,看起来都直接复制了 Mirai 的源码。
稿源:Freebuf 节选,封面来源:百度搜索
from hackernews.cc.thanks for it.