這句話可能有點(diǎn)繞，一個(gè)利用物聯(lián)網(wǎng)設(shè)備的弱密碼來打造僵尸網(wǎng)絡(luò)的背后組織，在自家的數(shù)據(jù)庫(kù)上又用了弱密碼，結(jié)果被安全研究人員發(fā)現(xiàn)了……

這事說起來有點(diǎn)搞笑，卻是最近真實(shí)發(fā)生的事情。

我們來看看青天科技（NewSky Security）的投稿。

Owari 的 MySQL 數(shù)據(jù)庫(kù)

講 Owari 這個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，就得先說說 Mirai 這個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的老祖宗。Mirai 的數(shù)據(jù)庫(kù)是 MySQL 的，里面有三張表：用戶、歷史和白名單。好多 Mirai 的后代都開拓了新的方式，不過數(shù)據(jù)庫(kù)這塊還是用老祖宗的多，Owari 也是這么個(gè)好孩紙。

我們的某個(gè)蜜罐某天受到一個(gè)來自80(.)211(.)232(.)43這個(gè)IP的攻擊，命令是/bin/busybox OWARI post successful login。我們發(fā)現(xiàn)發(fā)過來的載荷代碼里面想搞一下post 下載。

出于黑客的直覺我們自然去看了看對(duì)方的IP，然后發(fā)現(xiàn)他們開著3306口，配置MySQL也不改個(gè)缺省端口，鄙視一下。

我們就跑去試了一下對(duì)方的密碼，結(jié)果發(fā)現(xiàn)：全世界人民都知道??！

用戶名: root

密碼: root

數(shù)據(jù)庫(kù)里那點(diǎn)事兒

既然門都沒關(guān)我們就進(jìn)去瞅了瞅。

用戶表里面是一幫控制這個(gè)僵尸網(wǎng)絡(luò)的用戶名和密碼。有些應(yīng)該是作者，還有一些是客戶，也叫黑箱用戶，就是交錢，然后打流量。除了密碼，還有能用多久，用多少僵尸，如果是-1就是全軍都能用，以及冷卻時(shí)間，就是打過以后要休息多久的意思。

在這個(gè) Owari 的例子里面，我們找到一個(gè)用戶的時(shí)間是 3600 秒，也就是一小時(shí)，而且僵尸總量是-1，大客戶啊。注意這里用戶密碼也是明文的，再鄙視一次。

在歷史記錄表里面，我們找到了歷史攻擊IP記錄。好多IP地址都沒啥關(guān)聯(lián)，我們猜測(cè)，是因?yàn)樗麄冊(cè)诖驅(qū)κ值慕┦W(wǎng)絡(luò)，黑吃黑的意思。

白名單表居然是空的，說明這個(gè)僵尸網(wǎng)絡(luò)胃口很好逮誰打誰。

而且這個(gè)還不是孤例，另外一個(gè)IP(80.211.45.89)也是一樣的root:root登錄。

商業(yè)模式了解一下

Owari 的代碼已經(jīng)在暗網(wǎng)上面泄露了，所以很難找到原作者。不過我們還是找到了一位代號(hào)“疤臉”的僵尸網(wǎng)絡(luò)操控者，讓 TA 講解一下攻擊事件，冷卻時(shí)間和 Owari 網(wǎng)絡(luò)的使用價(jià)格。

“一般我每個(gè)月收費(fèi)是 60 美元，提供 600 秒的服務(wù)。這個(gè)價(jià)位跟同行比不算高的。不過只有這種方法我才能保證僵尸設(shè)備的數(shù)量。我不能讓十來個(gè)用戶每個(gè)人都跑 1800 秒。我一般不讓設(shè)備冷卻。如果要冷卻時(shí)間，我一般會(huì)設(shè)置成最多 60 秒。一個(gè)用戶每月 60 每月不算多，不過每月有 10 個(gè)到 15 個(gè)用戶的話，我平時(shí)的網(wǎng)絡(luò)費(fèi)用就夠用了” -疤臉

后來

或許大家以為一旦拿到 MySQL 數(shù)據(jù)庫(kù)的改寫權(quán)限，就能刪除數(shù)據(jù)來把僵尸網(wǎng)絡(luò)給搞掉?？上虑闆]有這么簡(jiǎn)單，因?yàn)榻┦W(wǎng)絡(luò)控制服務(wù)器 CnC 的 IP 地址很快就會(huì)失效（平均有效期是一周）。僵尸網(wǎng)絡(luò)的控制者知道自己的 IP 地址很快就會(huì)被標(biāo)記為惡意，因?yàn)榱髁刻盍?。所以，他們?jīng)常會(huì)主動(dòng)的改變IP來躲開監(jiān)控。我們文中提到的兩個(gè) IP 地址都已經(jīng)下線了。

原文地址：你看看你自己的弱密碼。你們也好意思說自己是黑客？

閱讀更多網(wǎng)絡(luò)安全信息？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome），重要的事情說三遍，雷鋒網(wǎng)、雷鋒網(wǎng)、雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。