我们有一个客户正在办公室,他可以在家办公。 系统运行在NAT防火墙后面的embedded式Linux框中,转发到8080端口用于浏览器访问,37777用于专有软件访问。
所有这一切突然停止工作,一个小调查显示,发送到他的IP地址(任一端口)的TCP SYN数据包立即终止与包含消息“走开,我们不在家”的RST数据包。 谷歌search这个消息得到了很多关于风暴僵尸networking的东西,显然是这样做的。
所以问题是,风暴僵尸networking究竟是如何劫持一个embedded式Linux的。 还是我完全错过了其他的东西?
这个NAT防火墙 – 它是什么硬件和软件? 这不一定是被劫持的Linux机器。
我已经回答了这个问题,以防其他人不幸日后这样做。
我问我是否可能完全错过了其他的东西。 事实certificate,我是。 问题出在我们自己的路由器上,有三个明显的症状。
虽然这看起来像是一个固件漏洞,但与psyb0t的症状不符。
有问题的路由器是一个(相当老)2Wire智能网关1800,并已被取代!