我从 2014 年就开始使用 Mikrotik 的一款路由器,因为一般家用的路由器都不太稳定,所以最终用上了 Mikrotik 家的。
一直很稳定,常年开着没挂过,以至于我很少去升级路由器使用的 RouterOS 系统还有 fireware。
最近浏览网站时发现一个奇怪的现象:看 B 站的一些视频会出现 cpu 100% 的情况,看个视频而已不至于吧。
然后就是浏览非 https 的网站,浏览器标签栏的标题显示的不是网站页面标题,而是加了双引号的网址,如访问 http://bbs.srfc.com.cn/forum.php 应该显示“SRFC模拟赛车网 - Powered by Discuz!”,但切显示为“ "http://bbs.srfc.com.cn/forum.php" ”,20多年的网虫立马觉得不对劲。
放狗(google)搜,搜不到结果,没人这样描述。于是用开发者工具查看页面,我的女马啊:
coinhive,好熟悉的名,搜了一下,果然是臭名远扬的挖矿 js 代码。
一开始以为是这些网站中招,但查看了好多网站,都会。不管我清空浏览器还是用其他浏览器,都会出现此类情况,然后去老博主群里吐槽了下,结出结论应该是我本地被女干被劫持。(注:但为何这些网站被这样 iframe 后没出现 cpu 100% 呢?因为浏览器都装了 uBlock 自动屏蔽了 coinhive.min.js)
于是花了一晚上扫了全盘,除了提示各个浏览器缓存里面大量 coinhive 外,没其他的。
既然系统都没问题,那么问题到底在哪呢?在搜索 coinhive 关键词过程中,有提到一些服务器也会感染,但是我的服务器非常低调,所以那些木弟子之类不太会被劫持——因为出现问题的网站包括很多国内直连的。继续不停地搜索,终于搜到有用的信息:用来连接 RouterOS 的 WinBox 工具存在漏洞被植入挖矿 js,难道我的路由器也因为此漏洞被植入?
汗~原来官方早在 4 月份就发布了补丁,而我还是很久以前升级过 WinBox 和 RouterOS …… 官方文章 https://blog.mikrotik.com/security/winbox-vulnerability.html
解决过程:
官方只说升级 WinBox 和 RouterOS,没说如何处理我前面说的那些问题,因为我
- WinBox 工具软件升级到最新 3.18
- RouterOS 升级到最新的 v6.43.4(6.41.2已经解决此漏洞)
- 路由器设置里面 IP 》Services,把 winbox 的 Available From 设置为只能内网连接
但还是一样遇到前面说的情况,试了各种办法,搞得焦头烂额失去信心,枉我还自称为老网虫、大叔的大叔……
只好放狗搜英文了,终于搜到了结果:被黑的 RouterOS 的一般是利用代理缓存的 error.html 重定向来实现网页 iframe 的…… 立即用 WinBox 连接 RouterOS 进入设置
- IP 》Web Proxy:果然,这里被 Enabled(虽然也有可能我以前设置了,不管怎么样,肯定是这个功能被利用了),这里关闭后前面说的问题就解决了,但是重新开启马上就又出现问题,所以还要第二步
- IP 》Files,里面有 2 个目录存在 error.html,这 2 个目录分别是 /webproxy 和 /flash/webproxy,我直接把这 2 个目录删了——因为家里不需要 Web Proxy 功能,在删以前我下载并看了下 error.html,一切都明白了
认识的人中用 Mikrotik 路由器的朋友很少,很难会想到路由器被劫持,所以饶了很远的路才找到原因和解决方法,有些东西太好用时你会忽略了它的存在……
网络早就不安全了,我折腾好后,打开路由器的 Terminal 命令行看日志,真那么多无聊的人么?
telnet 也关掉吧……
- 本文标题:Mikrotik 路由器被植入 coinhive 恶意挖矿 js
- 本文链接:https://zww.me/mikrotik-routeros-beijian.z-turn
- 发布时间:2018年11月27日 21:28
- 版权声明:除非注明,文章均为 zwwooooo 原创,转载请以链接形式标明本文地址!
还有酱紫的事情,我也是用Mikrotik的路由器
好好查一下才是……
@sunnywolf 嗯,还是检查下。如果在漏洞被利用期间你没升级系统 + 宽带是外网IP + 没限制WINBOX连接IP段 = 很容易中招。
小米路由器,华为路由器之类会不会有此种情况出现?
@jack 没用过不清楚
这问题,一般人还真看不出。。
@郑永 因为排除了系统,那么只能归到网络了,然后肯定找入口了吧(路由器)
想起一件事情,我电脑的chrome打开非常慢,而腾讯浏览器秒开,这可能被腾讯搞了?
@郑永 现在应该不会干这事儿了吧。。。。
@DickWu 找到原因了,我刚才做了一件事情,把截图插件给删除了顺便用内置的更新了一下浏览器,从原来的55秒打开变成了2秒打开~ 我想应该是插件问题!
@郑永 哈哈哈,你这不正常,加个壳就快不科学吧
@zwwooooo 找到原因了,我刚才做了一件事情,把截图插件给删除了顺便用内置的更新了一下浏览器,从原来的55秒打开变成了2秒打开~ 我想应该是插件问题!
@zwwooooo 现在正常了,哈哈,但仔细想想,偶尔测试用,否则也都只用腾讯浏览器。。至于腾讯浏览器,原以为它的书签自动展开挺好用,后来发现书签多了,会占满屏幕,造成挡住其他书签,然后历史记录,居然不能显示今天的,显示昨天的,这点他们居然几年了都没修复,真够郁闷的。 但即使是这样,我居然还是选择腾讯浏览器,或许一个账号式吸引到我,然后最近想换chrome,但又想不起什么原因,之后想到回来继续留言,哈哈。
@郑永 国产浏览器。。。各种捆绑
我感觉不管啥系统升级到最新版最好
@灰常记忆 也不一定吧,如老 iPhone 其实只是在后台默默工作,所以没想到要升级吧
@zwwooooo 最新版不一定好,刚升级WordPress5.0我又给退回4……
@灰常记忆 嗯,不过最终还是要升上去,不急就是
到底是技术高手啊
telnet 里是一个人,不会是你自己忘记密码在重试吧哈哈
@axiu 那 ip 是韩国的,还有几个 ip 没截图了
文章不错非常喜欢
现在网页不挂马或是干嘛的,很可能就是背后有小动作,比如说是挖矿或是利用代码mjj。但在路由器下手可以说是高手中的高手
@fffou 利用了官方工具的漏洞
好高端的路由器,都没玩过这个
@Timothy 不是吧,你竟然不玩这种直接用命令就能配置的路由器
这个路由太高端了,据说配置起来也比较折腾。
@Timothy 有给傻瓜式的配置,不过要玩高级功能就要比较折腾了,而且参考文档都是英文,适合你,我就用傻瓜式配置能玩的就行了,主要看中稳定性和它的限速功能真的很厉害,给你2Mbps就别想超——不管你用迅雷还是BT……
Mikrotik 、 D-link 、 NETGEAR一直都是被扫的高发区,主要是因为国外的一些家庭和企业一般都用前两个,所以灰产也比较容易对这几个品牌的下手。
华为的一些路由器(销往巴西/欧洲的一个型号)前一段时间也是集体挖矿... 但貌似HW没给修
@deef 用的人多自然就容易被攻击,就像当年windows,不是其他系统就很安全——是因为不值得去攻击