这个所谓的神雕大侠,在/root/.ssh 里放了 authorized_keys ,没有 id_rsa ,所有人的 mac 都固定为一个,好像是 11:22:33:44:55 。
要进入别人的盒子,就像走进自己家卧室一样方便,没有任何阻碍。
通过查看 https://bbs.histb.com/日志,找到来访者的 IP ,如果是 ipv4 ,直接访问,如果是 ipv6 ,推测出盒子的 ip ,然后直接访问,盒子的 mac 它给你固定了,只要有你访问 https://bbs.histb.com/的 ipv6 前缀,很容易就推测出来。
用它的秘钥,直接连接。密钥在谁的手上?这还用问吗?
刷机教程还教别人第一时间改密码,改密码有什么用呢?不管是 100 位还是 200 位的密码,你不是用私钥直接就进去了吗?
1
yangyang2022 OP 没有盒子的同学,直接下载 https://dl.ecoo.top/update/system/mv100-mdmo1c-usb-flash.zip ,解包,就一目了然。
|
2
python35 2023-08-10 23:04:22 +08:00 via iPhone
Ipv4 一般有 nat,ipv6 关掉路由防火墙的话确实有这个风险
|
3
xinJang 2023-08-10 23:09:23 +08:00
买这种电视盒子本身就是目标用户吧
我完全不可能买这种垃圾玩意 |
4
flyqie 2023-08-10 23:15:25 +08:00
@yangyang2022 #1
动机不明,不贸然猜测。 但确实是找到了。。 /root/.ssh/authorized_keys: ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIjgi2CFo51HIxioN0FSWLIgWSrjE9T0nUhbO03JCNJ+ nas |
5
cdlnls 2023-08-10 23:21:12 +08:00
快要见怪不怪了,最近一年已经在这里看到好几起这种事件了。 第三方的包从来不敢乱用,就算官方的包,如果不是有靠谱的来源或者机构,也是不敢用。
|
6
lshero 2023-08-10 23:22:44 +08:00
往 cnvd 提交一下?
|
7
tool2d 2023-08-10 23:27:25 +08:00
|
8
Jirajine 2023-08-10 23:30:28 +08:00
这还是太明显了。要是我拿开源系统封装编译一下发布个什么固件,把 sshd 或者什么其他的开放服务 patch 一下,岂不就是直接拥有了大批肉鸡。
最好不要硬编码密钥这么明显,搞一个刻意的或是注入、或是内存溢出的提权漏洞,事发了也不担责任。 |
9
flyqie 2023-08-10 23:51:05 +08:00
@Jirajine #8
你仔细看他固件/var/www 里的东西。。 请求无过滤直接拼接命令传给 shell_exec 。。也不知道该咋说。 /var/www 应该不是故意搞的后门, 不过水平确实不咋地... |
11
cdlnls 2023-08-11 00:18:41 +08:00 1
刚刚去下了官网另一个版本的包,解包后也是在 root 目录下的.ssh 里面看到配置了公钥。基本实锤是故意开后门了。顺便看了一下/var/www 没也是看到了加密的 php 脚本。 这歌在系统上放后门太简单了。 就算这次被锤了,估计后面换个名字应该还可以再收割一波。
|
12
flyqie 2023-08-11 00:48:15 +08:00
@cdlnls #11
/var/www/cronweb/changepassword.php 加密了, 花一块钱解密后看起来似乎问题不大(除#9 的问题以外). 目前不清楚啥情况,但/var/www/cronweb/index.php 里面有写了句`本插件全部代码均开源内置`, 实在不知道该咋说. |
13
wizardyhnr 2023-08-11 01:33:20 +08:00
各种刷机包,一键安装脚本都是高发区吧,手机上的 app 要局域网权限我都是默认关闭的。
|
14
opengps 2023-08-11 08:49:54 +08:00
可能是故意的,毕竟电视盒子作为内网使用场景,安全要求不高的。
|
15
NSAgold 2023-08-11 09:27:45 +08:00
这个好像还提供 frp 服务来着
|
16
NessajCN 2023-08-11 10:38:27 +08:00
真有心搞肉鸡好歹去 sshd_config 里把 AuthorizedKeysFile 路径改了吧
就这么挂个公钥进默认路径还是太年轻 |
17
julyclyde 2023-08-11 12:42:01 +08:00
啥叫“所有人的 mac”?
|
19
caycy01 2023-08-12 16:34:52 +08:00
作者的原话:回复多一个字都给他长脸了!那是开通 frpc 的时候服务器认证用的。不开通用不上。我他妈的要找服务器 IP 需要这么复杂? 那个人心理黑暗而已。以后这些都请叫他们自动滚!
|
20
yangyang2022 OP @caycy01 哦!哈哈哈。
|
21
yangyang2022 OP @caycy01 当哈卜拉姆背诵《可兰经》的经文之时,众族人都是恭恭敬敬的肃立倾听。经文替他们解决疑难,大家心中明白了,都说:“穆圣的指示,那是再也不会错的。”有人便称赞哈卜拉姆聪明有学问:“我们有什么事情不明白,只要去问哈卜拉姆,他总是能好好的教导我们。”
明白了,放心了。作者已经说了,那总不会错的。 我们有什么事情不明白,作者总是能好好的教导我们的。 |