别再用“Admin”作密码!近万台Router等IoT装置密码被公开
消息来源:baojiabao.com 作者: 发布时间:2024-04-27
你家里的 Router 账号及密码依然是“Admin、Admin”吗?没改过预设密码的话,真的要当心了!因为网上流传一份载有全球 8,000 多台 IoT 物联网装置之 IP 位址及账号密码名单,并有过万人存取过,恐怕已被骇客入侵装置,令它们成为僵尸网络的一部分,利用装置发动 DDoS 攻击!
这份名单由资讯保安研究员 Ankit Anubhav 发现,早在今年六月已被人张贴于 Pastebin 网站,期间被更新数次。虽然清单已被移除,但之前已吸引过 20,000 次浏览。在整份名单 33,000 个 IP 位址中,有 8,233 个是不重复的,其中 2,174 个允许外网人士透过 Telnet 登入,而当中更有 1,774 个仍能用清单上的账号密码登入。这 8,233 个 IP 位址却只用了 144 个账号密码组合,显示许多装置仍使用预设密码,可轻易被骇客破解。名单上受影响之装置遍布欧洲、美国、亚洲,还有一大部分位于中国,产品包含路由器及网络摄录机等。
33000+ telnet credentials of IoT devices exposed on pastebin.
Link : https://t.co/v5uGw4Llsv #iot #hacking #malware #infosec @newskysecurity pic.twitter.com/0Lg7q8G0Kq— Ankit Anubhav (@ankit_anubhav) August 24, 2017
Ankit Anubhav 整理了名单上的资料,发现头 10 个最常使用的密码是:
- admin(4,621 个)
- 123456(698 个)
- 12345(575 个)
- xc3511(530 个)
- GMB182(495 个)
- Zte521(415 个)
- password(399 个)
- oelinux123(385 个)
- jauntech(344 个)
- 1234(341 个)
除了“ GMB182 ”外,其余九个都是厂商的预设密码,明显很多人都不注重网络安全,懒得修改密码。不过“GMB182”以前常被僵尸网络的恶意软件所使用,名单上用此密码的装置都已被骇客入侵了吗?
另外荷兰非牟利网络安全组织 GDI Foundation 的主席 Victor Gevers,亦发现头 5 个最常用的账号及密码组合为:
- root / [空格](782 个)
- admin / admin(634 个)
- root / root(320 个)
- admin / default(21 个)
- default / [空格](18 个)
真的希望你家里的产品没使用以上密码。路由器都还好,在用家设定 Wi-Fi 密码时,设定精灵通常都要求用户一并修改路由器的登入密码。但据这份名单显示,受影响的产品种类中,还是以路由器占大多数,当中更有很多是不知名的品牌。正常 Telnet 这个远端控制埠(TCP Port 23)预设是关闭的,但不排除某些产品在买回来时已自动启用远端控制服务,所以不论是什么网络产品,都请你设定一个复杂的密码,及检查是否有开启远端控制的必要。因为骇客会不断扫描全球网络,不断尝试用常用密码登入,成功的话就能入侵网络偷取个人资料,或挪用你的装置及网络资源发动 DDoS 攻击,或作其他非法活动。
物联网装置攻击已愈趋普遍,去年法国网站代管供应商 OVH 遭到由 14.5 万部摄影机所组成的僵尸网络攻击,巅峰攻击流量高达 1Tbps;美国一所大学亦遭 DDoS 攻击,在追查下竟发现攻击来自校内约 5,000 台物联网装置,包括连网的路灯、自动贩卖机等。
而在今次公开密码名单的事件中,GDI Foundation 的义工已尝试联络受影响用户之网络供应商,看看有没有途径能通知他们加强安全防护,或令装置暂时离线,避开骇客入侵。不过最重要的是,大家要提高网络安全防护意识,而厂商亦可在每部机都预设不同的随机密码,屏弃常见的“Admin、Admin”预设组合,毕竟许多人仍是“方便”行先,懒得做任何安全措施。
Source:ARS Technica
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11