原标题:下一波摄像头僵尸网络来袭!350家厂商的WiFi摄像头内置不安全的Web服务器软件

方法其实很简单,只要在有人编写僵尸网络之前拨掉这些设备?

准备迎接下一波摄像头僵尸网络吧:以牵涉354家厂商的1200多个品牌销售的一款中国产普通网络摄像头里面使用了一款漏洞百出、易被攻击的嵌入式Web服务器软件。

据皮埃尔·金(Pierre Kim)在Full Disclosure发布的这份安全公告(http://seclists.org/fulldisclosure/2017/Mar/23)声称,问题出现在这款摄像头的GoAhead管理员界面中和一种安全性很差的云连接协议中。

金发布了一个Shodan链接,列出了摄像头暴露在互联网上的大约185000个安全漏洞。

这款普通摄像头在默认情况下运行Telnet,root:$1$ybdHbPDn$ii9aEIFNiolBbM9 QxW9mr0:0:0::/root:/bin/sh提供了进入后门的机会。

有一个文件夹名为/system/www/pem/ck.pem,里面包含苹果开发者证书以及RSA私钥,Web服务器软件用到的登录信息通过system.ini和system-b.ini这两个符号链接泄露给了未验证身份的攻击者。

金写道,摄像头的FTP配置提供了一个CGI脚本,该脚本提供了自2015年就已经知道的一个远程代码执行漏洞,而这个漏洞可以结合HTTP服务器安全漏洞,获得以root身份代码执行代码的权限。

有一个未验证身份的实时数据流协议(RTSP)服务器系统,所以如果你能看到摄像头的TCP端口10554,就能看到它传送什么样的数据流。

摄像头的云功能在默认情况下已开启,预先配置连接到AWS、阿里巴巴和百度。攻击者只需要一款合适的智能手机应用程序(金尝试了P2PWificam和Netcam360)以及目标设备的序列号,就能为所欲为。

他写道:“如果摄像头处于联网状态,就会在该应用程序与摄像头之间自动建立起一条UDP隧道,使用云服务器中为中继。”

那条UDP隧道是个攻击途径,金通过获取明文格式的配置信息进行了演示,“隧道绕过了NAT和防火墙,让攻击者得以连接到内部摄像头(如果这些摄像头连接到互联网),并且通过蛮力攻击来获取登录信息。”

金特别指出,不费吹灰之力,就可以将这些容易被攻击的摄像头征入到僵尸网络中。

金在GitHub上的帖子(https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html)包括了概念证明代码,并给出了合理的忠告:别将摄像头连接到互联网上。

这些安全漏洞显然已有一些年头了,因为3Com的名字也出现在了列表上。其他大牌厂商包括D-Link、Akai、Axis、Kogan、罗技(Logitech)、Mediatech、松下(Panasonic)、宝丽来(Polaroid)和Secam。

澳大利亚读者可能应该检查一下向Jaycar购买的摄像头,尤其是QC-38nn这个型号系列。返回搜狐,查看更多

责任编辑:

无线摄像头 服务器,下一波摄像头僵尸网络来袭!350家厂商的WiFi摄像头内置不安全的Web服务器软件...相关推荐

  1. 为什么网站服务器不存在了,最可能的原因: 指定的目布医无名录或文件在 Web 服务器上不存在...

    摘要:服务器技术网nifengsoft 最可能的原因: 指定的目布医无名录或文件在 Web 服务器上不存在HTTP 错误 404.0 - Not Found 您要找的资源已被删除.已更名或暂时不可用. ...

  2. 华为无线AC 配置内置Portal认证和Radius服务器示例

    配置内置Portal认证示例 组网图形 图1 配置内置Portal认证组网图 · 组网需求 · 配置思路 · 数据规划 · 操作步骤 · 配置文件 组网需求 如图1所示,某企业AC直连AP.通过WLA ...

  3. 新建的邮件服务器只能发件不能收件_49. Django 2.1.7 使用内置函数发送邮件

    Django中内置了邮件发送功能,被定义在django.core.mail模块中.发送邮件需要使用SMTP服务器,常用的免费服务器有:163.126.QQ,下面以163邮件为例. 1)注册163邮箱, ...

  4. 内置在maven项目的服务器,IDEA使用maven中tomcat插件来启动服务器配置

    一 .在项目pom文件中配置tomcat 先添加如下配置: org.apache.maven.plugins maven-compiler-plugin 2.3.2 1.7 1.7 org.apach ...

  5. 学习PHP7如何快速安装WEB服务器

    文章作者:Lccee 原创说明:欢迎转载,注明出处即可 如何安装web服务器? 学习php7需要安装web服务器,那么新手如何快速安装web服务器 首先我们来简单了解一下,什么叫web服务器 在了解什 ...

  6. 外网主机访问虚拟机下的Web服务器_服务器应用_Linux公社-Linux系统门户网站

    外网主机访问虚拟机下的Web服务器_服务器应用_Linux公社-Linux系统门户网站 之前在CentOS虚拟机上安装了LAMP,搭建起了自己的web服务器,具体流程见: http://www.lin ...

  7. Ubuntu 12.10下配置Web服务器详细教程

    搭建Ubuntu的Web服务器 无疑是目前非常热门的技术.下面我们来看一下如何在Ubuntu下搭建大家熟悉的Web服务器. Linux在服务器领域表现却尤为喜人,据IDC数据显示,部署了Linux系统 ...

  8. Linux服务器下挂载存储

    Linux服务器下挂载存储 挂载存储背景: 针对安徽省各地市硬件配置的不同,诸如oracle的软件安装在服务器上,数据则放在存储上.这样的话,启动服务器若没有挂载存储,应用启用失败.为了能够使服务器重 ...

  9. 《jQuery与JavaScript入门经典》——第 1 章 动态Web编程简介 1.1理解Web服务器浏览器范式...

    本节书摘来自异步社区<jQuery与JavaScript入门经典>一书中的第1章,第1.1节,作者:[美]Brad Dayley著,更多章节内容可以访问云栖社区"异步社区&quo ...

最新文章

  1. linux 更改wp版本号,代码实现移除 WordPress 版本号
  2. 新站如何使用标签才对SEO优化更有利
  3. arcgis 分区 属性值_如何使用ArcGIS计算分区河流(管线)总长度
  4. leetcode 463. 岛屿的周长
  5. pip 不是内部或外部命令 也不是可运行的程序_QT之程序打包发布
  6. 你该学点HTML/CSS知识的9大理由
  7. 引用类型--Object类型、Array类型
  8. 除了努力挣钱,青春也不能错过的十件事
  9. 机器学习与量化交易项目班 [从零搭建自动交易系统]
  10. jsp定义java方法_jsp中java成员变量、方法的声明以及使用
  11. 计算机有哪些知识,电脑基本操作知识有哪些
  12. CCLE:肿瘤细胞系百科全书
  13. Java P1413 滑雪
  14. 对List集合中每个对象元素按时间顺序排序
  15. Home键监听与电源键
  16. JAVA出现警告无法读取 AppletViewer 属性文件的解决方法
  17. 用防火墙可以防御DDoS攻击吗?
  18. C#工控上位机实例_工控学习,搞工控的到底什么是上位机,什么是下位机?
  19. selenium如何接管(控制)已打开Chrome浏览器
  20. html内容整体放大缩小,html元素放大缩小的示例-javaScript示例

热门文章

  1. Axure电商后台业务管理系统原型模板/通用版电商后台管理系统/订单管理/营销管理/运营管理/财务管理/统计分析/库存管理/流量统计/运营管理/用户管理/秒杀促销/交易统计/活动管理/广告管理
  2. Btrfs 与 Ext4 - 功能、优势和劣势
  3. c语言程序第一章编程,c语言程序的设计第一章 C语言编程入门.ppt
  4. NCBI 基因组数据下载:法二
  5. 如何查看笔记本南桥温度/AIDA64查看南桥温度
  6. 微信oa服务器配置,企业号来了—你必须了解OA与微信结合的几种方式
  7. 第二章 nRF52832介绍
  8. 计算机基础知识第四章测试,第四章计算机基础知识.ppt
  9. Nand flash相关概念介绍
  10. sql2005 数据类型