2018年11月27日 折腾 20条评论

Mikrotik 路由器被植入 coinhive 恶意挖矿 js

我从 2014 年就开始使用 Mikrotik 的一款路由器,因为一般家用的路由器都不太稳定,所以最终用上了 Mikrotik 家的。

一直很稳定,常年开着没挂过,以至于我很少去升级路由器使用的 RouterOS 系统还有 fireware。

最近浏览网站时发现一个奇怪的现象:看 B 站的一些视频会出现 cpu 100% 的情况,看个视频而已不至于吧。

然后就是浏览非 https 的网站,浏览器标签栏的标题显示的不是网站页面标题,而是加了双引号的网址,如访问 http://bbs.srfc.com.cn/forum.php 应该显示“SRFC模拟赛车网 - Powered by Discuz!”,但切显示为“ "http://bbs.srfc.com.cn/forum.php" ”,20多年的网虫立马觉得不对劲。

放狗(google)搜,搜不到结果,没人这样描述。于是用开发者工具查看页面,我的女马啊:

coinhive,好熟悉的名,搜了一下,果然是臭名远扬的挖矿 js 代码。

一开始以为是这些网站中招,但查看了好多网站,都会。不管我清空浏览器还是用其他浏览器,都会出现此类情况,然后去老博主群里吐槽了下,结出结论应该是我本地被女干被劫持。(注:但为何这些网站被这样 iframe 后没出现 cpu 100% 呢?因为浏览器都装了 uBlock 自动屏蔽了 coinhive.min.js)

于是花了一晚上扫了全盘,除了提示各个浏览器缓存里面大量 coinhive 外,没其他的。

既然系统都没问题,那么问题到底在哪呢?在搜索 coinhive 关键词过程中,有提到一些服务器也会感染,但是我的服务器非常低调,所以那些木弟子之类不太会被劫持——因为出现问题的网站包括很多国内直连的。继续不停地搜索,终于搜到有用的信息:用来连接 RouterOS 的 WinBox 工具存在漏洞被植入挖矿 js,难道我的路由器也因为此漏洞被植入?

汗~原来官方早在 4 月份就发布了补丁,而我还是很久以前升级过 WinBox 和 RouterOS …… 官方文章 https://blog.mikrotik.com/security/winbox-vulnerability.html

解决过程:

官方只说升级 WinBox 和 RouterOS,没说如何处理我前面说的那些问题,因为我

  • WinBox 工具软件升级到最新 3.18
  • RouterOS 升级到最新的 v6.43.4(6.41.2已经解决此漏洞)
  • 路由器设置里面 IP 》Services,把 winbox 的 Available From 设置为只能内网连接

但还是一样遇到前面说的情况,试了各种办法,搞得焦头烂额失去信心,枉我还自称为老网虫、大叔的大叔……

只好放狗搜英文了,终于搜到了结果:被黑的 RouterOS 的一般是利用代理缓存的 error.html 重定向来实现网页 iframe 的…… 立即用 WinBox 连接 RouterOS 进入设置

  • IP 》Web Proxy:果然,这里被 Enabled(虽然也有可能我以前设置了,不管怎么样,肯定是这个功能被利用了),这里关闭后前面说的问题就解决了,但是重新开启马上就又出现问题,所以还要第二步
  • IP 》Files,里面有 2 个目录存在 error.html,这 2 个目录分别是 /webproxy 和 /flash/webproxy,我直接把这 2 个目录删了——因为家里不需要 Web Proxy 功能,在删以前我下载并看了下 error.html,一切都明白了

认识的人中用 Mikrotik 路由器的朋友很少,很难会想到路由器被劫持,所以饶了很远的路才找到原因和解决方法,有些东西太好用时你会忽略了它的存在……

网络早就不安全了,我折腾好后,打开路由器的 Terminal 命令行看日志,真那么多无聊的人么?

telnet 也关掉吧……

zww
or
oooo

“Mikrotik 路由器被植入 coinhive 恶意挖矿 js”有20条评论

  1. sunnywolf says:

    还有酱紫的事情,我也是用Mikrotik的路由器 :arrow:
    好好查一下才是……

    1. zwwooooo says:

      @sunnywolf 嗯,还是检查下。如果在漏洞被利用期间你没升级系统 + 宽带是外网IP + 没限制WINBOX连接IP段 = 很容易中招。

  2. jack says:

    小米路由器,华为路由器之类会不会有此种情况出现?

    1. zwwooooo says:

      @jack 没用过不清楚

  3. 郑永 says:

    这问题,一般人还真看不出。。

    1. zwwooooo says:

      @郑永 因为排除了系统,那么只能归到网络了,然后肯定找入口了吧(路由器)

  4. 郑永 says:

    想起一件事情,我电脑的chrome打开非常慢,而腾讯浏览器秒开,这可能被腾讯搞了?

    1. DickWu says:

      @郑永 现在应该不会干这事儿了吧。。。。

      1. 郑永 says:

        @DickWu 找到原因了,我刚才做了一件事情,把截图插件给删除了顺便用内置的更新了一下浏览器,从原来的55秒打开变成了2秒打开~ 我想应该是插件问题!

    2. zwwooooo says:

      @郑永 哈哈哈,你这不正常,加个壳就快不科学吧

      1. 郑永 says:

        @zwwooooo 找到原因了,我刚才做了一件事情,把截图插件给删除了顺便用内置的更新了一下浏览器,从原来的55秒打开变成了2秒打开~ 我想应该是插件问题!

      2. 郑永 says:

        @zwwooooo 现在正常了,哈哈,但仔细想想,偶尔测试用,否则也都只用腾讯浏览器。。至于腾讯浏览器,原以为它的书签自动展开挺好用,后来发现书签多了,会占满屏幕,造成挡住其他书签,然后历史记录,居然不能显示今天的,显示昨天的,这点他们居然几年了都没修复,真够郁闷的。 但即使是这样,我居然还是选择腾讯浏览器,或许一个账号式吸引到我,然后最近想换chrome,但又想不起什么原因,之后想到回来继续留言,哈哈。

  5. 我感觉不管啥系统升级到最新版最好 :lol:

    1. zwwooooo says:

      @灰常记忆 也不一定吧,如老 iPhone :mrgreen: 其实只是在后台默默工作,所以没想到要升级吧

      1. @zwwooooo 最新版不一定好,刚升级WordPress5.0我又给退回4…… :lol:

  6. 阿桂屋 says:

    到底是技术高手啊

  7. axiu says:

    telnet 里是一个人,不会是你自己忘记密码在重试吧哈哈

    1. zwwooooo says:

      @axiu 那 ip 是韩国的,还有几个 ip 没截图了

  8. 新闻 says:

    文章不错非常喜欢

  9. fffou says:

    现在网页不挂马或是干嘛的,很可能就是背后有小动作,比如说是挖矿或是利用代码mjj。但在路由器下手可以说是高手中的高手

发表评论

昵称 *

网址

B em del U Link Code Quote