自己的服务器被SSDP的DDOS攻击了，上次攻击还是几年前用的是NTP，SSDP是一种新漏洞攻击手段

lovewind

用的阿里云，不是阿里云自己哈。前几年刚开始被攻击，一个月1-2次，采用的是NTP攻击，这个是UDP的原理很明白，现在看了下记录
访问几十次就换一个IP，难道是肉鸡？还是什么，攻击原理是什么？看到都是局域网IP的80端口信息？还有有的是华为路由器，群晖NAS，果然印证了后面的内容

搜索了一下，这玩意是SSDP攻击，是2014年第一次被用到新攻击手段，你一定想不到，攻击来自路由器，摄像头，打印机

那发起者肯定是用的肉鸡，在肉鸡所在的局域网发起请求，说白了这个漏洞本来问题不大，就是被人控制了电脑才导致发起的攻击





看了几个IP都是上海移动的

dellric

你描述的这个情况和2017年10月21日美国遇到的全国断网问题是同样的问题，当时是受到mirai的僵尸网络攻击，雄迈在攻击后被美国要求召回100万卡片网络 摄像机，100多万摇头机，130万全景IPC。 其中，OVH公司的网站受到了1Tbps的DDOS攻击流量，这些流量是背后14万多台摄像头构成的僵尸网络所产生。这些主机也包含了海康的很多IPC。 专业人士通过分析，以及之前公布的漏洞发现，运行uc-http服务器的设备有：海思系列芯片。部分openwrt设备运行了mini_httpd、micro_httpd。运行着busybox的telnetd的主机有45%被感染，运行Q-SEE DVR telnetd的主机 35%被感染，运行uc-httpd的主机，约27%被感染。通过对banner分析，感染第一的主机是H264DVR，排名第七的是DAHUA RTSP SERVER，应该是大华的IPC，其它的都是23端口。 原因，是这些设备采用弱口令！！！比如“\r\r\n(none)login” "LocalHost login:"。更重要的是设备厂商和维护人员错误地把TR-064和TR-069协议错误地暴露在了WAN口。 同年11约28日，德国也同样遭受了断网事件，同样是因为7547端口的过度暴露造成了漏洞。好在两天后，德国开发7547端口的设备数量被控制为0，结束了感染。但是任然有2000多台潜在感染设备。这次事件也造成 西方国家对中国生产的网络设备的严重不信任，通过发酵和渲染后成为西方政府不懂网络的政客攻击中国的有效例证。
另外，勘察这些设备当前进程，查找长字符串"alphabet"进程来确认是否感染了Mirai恶意程序。

lovewind

dellric 发表于 2020-7-24 21:28
你描述的这个情况和2017年10月21日美国遇到的全国断网问题是同样的问题，当时是受到mirai的僵尸网络攻击， ...

高端很专业。。。我还看到了华为路由器，其中有一台我发现是采用公网IP的群晖NAS，我都打开了他的登录页面，看来他是直接被感染控制了。。。

armok.

帖子移动通知：
原分论坛：生活百科
目标分论坛：电脑综合
移动时间：0小时之后

armok.

打赏！

庆祝论坛“打赏”功能实施， 现在开始发技术主题，可以获得打赏
https://www.amobbs.com/thread-5735948-1-1.html

holong

所以基础部分还是比较薄弱