V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AoEiuV020JP
V2EX  ›  宽带症候群

记路由器被黑

  •  
  •   AoEiuV020JP · 2023-11-09 10:13:02 +08:00 · 2806 次点击
    这是一个创建于 380 天前的主题,其中的信息可能已经有所发展或是发生改变。
    11 月 8 号,家里网络时断时续,网速几乎归 0 但能 ping 通外网,延迟从正常 20ms 跳到 200ms ,

    到处排查时登录 ikuai 路由上去看到很显眼的,连接数 16 万,

    想想感觉不大对啊,哪来这么多连接,端口数都没这么多,这不肯定影响网络了吗,

    到终端监控里看到十几万连接都属于一个名为 uu 的设备,

    家里网络是软路由 all in one ,一个 ikuai 带两个 openwrt 旁路网关,
    这个 uu 是其中一个 openwrt 路由器,只安装 uu 加速器插件只给游戏机当旁路网关用,

    因为这个路由里除了 uu 啥也没有,我甚至懒得改初始密码,这就埋下隐患了,

    不过虽然弱口令,却一直没出事,直到前两天 7 号晚上,
    玩着街霸 6 不知道为啥 uu 加速器突然连不上游戏,只好关了 uu 加速器,
    想着有公网 ip 顺便开个 dmz 会不会提升直连的联机效果,
    于是设置 DMZ ,把 ps5 和网关 uu 都暴露出去了,
    结果开了 dmz 玩完就忘记关了,第二天立马出事,

    实际上 8 号早上就发现网络不对劲了,但赶着上班没在意,
    下班回来网络就正常了(大概),直到 0 点过后突然爆发,啥也干不了只能 ping ,

    排查到 uu 路由有问题于是想登录看一下,结果居然,登录不上,报的居然是“密码错误”,7 号还能登上的,
    想想应该就是这个 uu 路由被黑了,有别人在里面做什么,但他为什么改我密码?又为什么搞出十几万的连接生怕我发现不了?想不明白,总不能是 uu 插件自己干的吧,
    上 pve 一看,还恰好就只有这个 uu 忘记设置快照,没法恢复,
    只好先把 uu 路由关机了,DMZ 也都关了,关闭后网络就正常了,第二天再看看,

    今天把 uu 网络断掉再开机,直接在 pve 控制台登录命令行看了一下,啥也没看出来,不知道到底发生了什么,
    虽然想着只读的 squashfs 就算被黑了应该也改不了啥要紧的吧,会不会重启后就已经恢复正常了,但这系统不敢用了,打算删了再创建一个,

    总结,弱口令要不得,哪怕是内网自用设备,DMZ 之类暴露内网的尽量不开,是真的有人搞无差别攻击,哪怕是没什么价值的设备,
    11 条回复    2023-11-15 17:32:29 +08:00
    tjiaming99
        1
    tjiaming99  
       2023-11-09 10:40:56 +08:00
    弱口令和裸奔没区别,上次服务器穿透出去,忘记改初始密码,第二天 CPU 全速运转,一查才发现被用来挖矿了
    M48A1
        2
    M48A1  
       2023-11-09 11:00:18 +08:00 via iPhone
    老哥请教个事情,你的 UU 装在软路由内,是有无线网卡吗? 怎么连手机客户端的
    AoEiuV020JP
        3
    AoEiuV020JP  
    OP
       2023-11-09 11:09:28 +08:00
    @M48A1 #2 没啥特别的,反正都在一个子网,手机客户端直接就能发现 uu 路由器,哪怕手机网关不是这个 uu 路由器,
    多子网的话就不行, 所以我这边两个 openwrt 都是旁路网关,只有一个 ikuai 当主路由,
    比如手机 ip 是 192.168.0.20 ,uu 路由器 ip 是 192.168.0.21 , 游戏机是 192.168.0.22 , 手机网关是另一个软路由 192.168.0.23 , 正常使用,手机 app 能直接配置绑定路由器修改加速节点啥的,
    ppbaozi
        4
    ppbaozi  
       2023-11-09 12:47:21 +08:00
    把硬盘镜像导出来分享下
    ochatokori
        5
    ochatokori  
       2023-11-09 12:53:10 +08:00 via Android
    开 ssh 让大伙上去看看
    Jacksu
        6
    Jacksu  
       2023-11-09 14:28:19 +08:00
    开 UPNP 不就好了么,可以限制端口范围,为啥要开 DMZ ?
    AoEiuV020JP
        7
    AoEiuV020JP  
    OP
       2023-11-09 14:52:35 +08:00
    @Jacksu #6 我想着就临时开会儿试试,懒得设置别的,也不确定有没有效,DMZ 一步到位,
    Anonywp
        8
    Anonywp  
       2023-11-09 20:42:50 +08:00
    脚本小子跑着玩的
    AoEiuV020JP
        9
    AoEiuV020JP  
    OP
       2023-11-09 21:25:02 +08:00
    @M48A1 #2 上面说的不对,我重新安装了软路由,重新绑定发现,绑定的时候手机网关要设置成 uu 路由器的 ip ,绑定之后就随意了,局域网内都 OK ,
    zachary99
        10
    zachary99  
       2023-11-09 23:25:53 +08:00 via Android
    前段时间,VPS 被攻击,日志文件把容量都塞保留。还有 nas 被攻击十个小时,报警邮件发了将近十个小时。
    huangxiao123
        11
    huangxiao123  
       2023-11-15 17:32:29 +08:00
    @ochatokori 认同,开 SSH 让大伙上去看看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2843 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:23 · PVG 21:23 · LAX 05:23 · JFK 08:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.