這句話可能有點繞，一個利用物聯(lián)網(wǎng)設(shè)備的弱密碼來打造僵尸網(wǎng)絡(luò)的背后組織，在自家的數(shù)據(jù)庫上又用了弱密碼，結(jié)果被安全研究人員發(fā)現(xiàn)了……

這事說起來有點搞笑，卻是最近真實發(fā)生的事情。

我們來看看青天科技（NewSky Security）的投稿。

Owari 的 MySQL 數(shù)據(jù)庫

講 Owari 這個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，就得先說說 Mirai 這個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的老祖宗。Mirai 的數(shù)據(jù)庫是 MySQL 的，里面有三張表：用戶、歷史和白名單。好多 Mirai 的后代都開拓了新的方式，不過數(shù)據(jù)庫這塊還是用老祖宗的多，Owari 也是這么個好孩紙。

我們的某個蜜罐某天受到一個來自80(.)211(.)232(.)43這個IP的攻擊，命令是/bin/busybox OWARI post successful login。我們發(fā)現(xiàn)發(fā)過來的載荷代碼里面想搞一下post 下載。

出于黑客的直覺我們自然去看了看對方的IP，然后發(fā)現(xiàn)他們開著3306口，配置MySQL也不改個缺省端口，鄙視一下。

我們就跑去試了一下對方的密碼，結(jié)果發(fā)現(xiàn)：全世界人民都知道??！

用戶名: root

密碼: root

數(shù)據(jù)庫里那點事兒

既然門都沒關(guān)我們就進去瞅了瞅。

用戶表里面是一幫控制這個僵尸網(wǎng)絡(luò)的用戶名和密碼。有些應(yīng)該是作者，還有一些是客戶，也叫黑箱用戶，就是交錢，然后打流量。除了密碼，還有能用多久，用多少僵尸，如果是-1就是全軍都能用，以及冷卻時間，就是打過以后要休息多久的意思。

在這個 Owari 的例子里面，我們找到一個用戶的時間是 3600 秒，也就是一小時，而且僵尸總量是-1，大客戶啊。注意這里用戶密碼也是明文的，再鄙視一次。

在歷史記錄表里面，我們找到了歷史攻擊IP記錄。好多IP地址都沒啥關(guān)聯(lián)，我們猜測，是因為他們在打?qū)κ值慕┦W(wǎng)絡(luò)，黑吃黑的意思。

白名單表居然是空的，說明這個僵尸網(wǎng)絡(luò)胃口很好逮誰打誰。

而且這個還不是孤例，另外一個IP(80.211.45.89)也是一樣的root:root登錄。

商業(yè)模式了解一下

Owari 的代碼已經(jīng)在暗網(wǎng)上面泄露了，所以很難找到原作者。不過我們還是找到了一位代號“疤臉”的僵尸網(wǎng)絡(luò)操控者，讓 TA 講解一下攻擊事件，冷卻時間和 Owari 網(wǎng)絡(luò)的使用價格。

“一般我每個月收費是 60 美元，提供 600 秒的服務(wù)。這個價位跟同行比不算高的。不過只有這種方法我才能保證僵尸設(shè)備的數(shù)量。我不能讓十來個用戶每個人都跑 1800 秒。我一般不讓設(shè)備冷卻。如果要冷卻時間，我一般會設(shè)置成最多 60 秒。一個用戶每月 60 每月不算多，不過每月有 10 個到 15 個用戶的話，我平時的網(wǎng)絡(luò)費用就夠用了” -疤臉

后來

或許大家以為一旦拿到 MySQL 數(shù)據(jù)庫的改寫權(quán)限，就能刪除數(shù)據(jù)來把僵尸網(wǎng)絡(luò)給搞掉?？上虑闆]有這么簡單，因為僵尸網(wǎng)絡(luò)控制服務(wù)器 CnC 的 IP 地址很快就會失效（平均有效期是一周）。僵尸網(wǎng)絡(luò)的控制者知道自己的 IP 地址很快就會被標(biāo)記為惡意，因為流量太差了。所以，他們經(jīng)常會主動的改變IP來躲開監(jiān)控。我們文中提到的兩個 IP 地址都已經(jīng)下線了。

原文地址：你看看你自己的弱密碼。你們也好意思說自己是黑客？

閱讀更多網(wǎng)絡(luò)安全信息？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”（微信ID：letshome），重要的事情說三遍，雷鋒網(wǎng)、雷鋒網(wǎng)、雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。