DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器安全防护_联通云盾_超高防御

05-03 DDOS防御

服务器安全防护_联通云盾_超高防御

一个新发现的僵尸网络的目标是TCP端口8291和易受攻击的基于Mikrotik RouterOS的设备。拉脱维亚的一家硬件制造商MikroTik的产品在世界各地广泛使用,路由器ddos防御过滤广播包,现在成为新传播的僵尸网络的目标,利用其RouterOS操作系统中的漏洞,允许攻击者远程在设备上执行代码。这些设备一直在进行未知的出站winbox连接。在卡巴斯基发表了关于感染Mikrotik路由器的弹弓式APT恶意软件之后,Radware的紧急响应小组(ERT)发现了恶意活动的增加。据信这个僵尸网络是哈吉姆僵尸网络的一部分。Radware见证了这种扩散机制从8291端口扩散到其他设备,并迅速感染MikroTik以外的其他设备(如AirOS/Ubiquiti)。人们担心的是,这种新的僵尸网络将被用来发动DDoS攻击。这是另一个事件,展示了不同的机器人牧民之间争夺控制权的斗争。图1:GitHub和其他站点上有多个MikroTik漏洞RouterOS漏洞RouterOS是一个基于Linux内核的操作系统,它实现了isp通常使用的功能,免费cc攻击防御,如BGP、IPv6、OSPF或MPLS。由MikroTik及其用户社区支持的RouterOS,提供了各种各样的配置示例。RouterOS嵌入在MikroTik的Routboard产品线中,下列无法防御ddos,专注于在偏远地区提供宽带接入的中小型互联网接入提供商。[您可能还喜欢:欧盟Putinstress公司,一个简单而强大的引导和压力服务]初步分析表明,僵尸网络正在利用已知的Mikrotik漏洞(HTTP、SMB)以及密码暴力。该蠕虫通过主动扫描8291端口来识别公共可用的Mikrotik设备并使用密码破解功能感染邻居设备,从而具有高效的传播机制。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');Mikrotik RouterOS SMB缓冲区溢出漏洞在处理NetBIOS会话请求消息时,MikroTik的RouterOS SMB服务中出现缓冲区溢出状态。利用此漏洞的远程攻击者可以在系统上执行代码。由于溢出发生在身份验证之前,未经身份验证的远程攻击者可以轻松利用它进行攻击。Chimayered HTTP攻击远程主机上运行的MikroTik RouterOS软件受到其HTTP web服务器进程中的一个缺陷的影响,这是由于对用户提供的输入进行了不正确的验证。未经身份验证的远程攻击者手工编写POST请求,将数据写入web服务器进程中的任意位置,从而导致拒绝服务条件或执行任意代码。感染法在UTC时间2018-03-24,15:00,ddos无法防御,Radware ERT研究团队在其全球蜜罐网络中检测到TCP端口8291的活动出现巨大峰值。图2:每小时唯一的IP,目标是TCP端口8291。对数标度在数月来几乎为零的活动之后,Radware见证了超过10000个独特的IP在一天内攻击8291端口。图3:针对漏洞的唯一IPs扫描分布蠕虫攻击性地用SYN包扫描到8291端口,但它实际上从未在该端口上建立三方握手,例如,没有向该端口发送有效负载。该蠕虫似乎利用这种隐形SYN扫描方法快速识别易受攻击的Mikrotik设备,因为该端口几乎完全由Mikrotik RouterOS平台使用。除了扫描端口8291外,蠕虫还针对以下端口:80、81、82、8080、8081、8082、8089、8181、8880。利用该蠕虫利用Chimayered漏洞攻击Mikrotik设备上易受攻击的web服务器。该蠕虫将尝试将恶意负载发送到端口80以及前面描述的其他端口(80 81 82 8080 8081 8082 8089 8181 8880)。[你可能还喜欢:新的Satori僵尸网络变种奴役了数千台Dasan WiFi路由器]正如MikroTik在自己的论坛(*Update 1)中提到的,"我们的网络今天也遭到了重大攻击。他们似乎通过http端口(相当旧的固件)打开了一些设备,并试图通过暴力强迫mikrotik邻居来传播或访问。"这意味着该蠕虫利用利用漏洞攻击以及对附近邻居的密码暴力行为,加快了感染率。图5:Radware在其蜜罐网络中捕获的漏洞有效载荷哈希/IOC/闪存/bin/.telnetd/闪存/bin/fifo/闪存/bin/.p/闪存/etc/rc.d/run.d/S99telnetdPOST/jsproxy HTTP/1.1\r\n内容长度:建议Mikrotik建议防火墙端口80/8291(Web/Winbox),并将RouterOS设备升级到v6.41.3(或至少,高于v6.38.5–*更新2)遵循Mikrotik在Twitter上的建议。*更新1:我们对错误的措辞造成的混乱感到遗憾,这可能给人一种米克罗蒂克自己的网络受到损害的印象。我们将措辞从"自己的帖子"改为"自己的论坛",因为帖子并非出自MikroTik员工之手。*更新2:更新了MikroTik最初的推荐,该推荐是在一条被删除的Twitter消息中发布的(https://twitter.com/mikrotik_com/status/978160202380972032)并根据后面的推文替换为新的推荐(https://twitter.com/mikrotik_com/status/978533853324283904).下载"当机器人来袭时,仔细观察僵尸网络、网络抓取和物联网僵尸不断演变的威胁"以了解更多信息。立即下载

,ddos防御盾

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50124.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6780496访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X