别再用“Admin”作密码！近万台Router等IoT装置密码被公开

你家里的 Router 账号及密码依然是“Admin、Admin”吗？没改过预设密码的话，真的要当心了！因为网上流传一份载有全球 8,000 多台 IoT 物联网装置之 IP 位址及账号密码名单，并有过万人存取过，恐怕已被骇客入侵装置，令它们成为僵尸网络的一部分，利用装置发动 DDoS 攻击！

DDoS 攻击

这份名单由资讯保安研究员 Ankit Anubhav 发现，早在今年六月已被人张贴于 Pastebin 网站，期间被更新数次。虽然清单已被移除，但之前已吸引过 20,000 次浏览。在整份名单 33,000 个 IP 位址中，有 8,233 个是不重复的，其中 2,174 个允许外网人士透过 Telnet 登入，而当中更有 1,774 个仍能用清单上的账号密码登入。这 8,233 个 IP 位址却只用了 144 个账号密码组合，显示许多装置仍使用预设密码，可轻易被骇客破解。名单上受影响之装置遍布欧洲、美国、亚洲，还有一大部分位于中国，产品包含路由器及网络摄录机等。

33000+ telnet credentials of IoT devices exposed on pastebin.
Link : https://t.co/v5uGw4Llsv #iot #hacking #malware #infosec @newskysecurity pic.twitter.com/0Lg7q8G0Kq

— Ankit Anubhav (@ankit_anubhav) August 24, 2017

Ankit Anubhav 整理了名单上的资料，发现头 10 个最常使用的密码是：

• admin（4,621 个）
• 123456（698 个）
• 12345（575 个）
• xc3511（530 个）
• GMB182（495 个）
• Zte521（415 个）
• password（399 个）
• oelinux123（385 个）
• jauntech（344 个）
• 1234（341 个）

除了“ GMB182 ”外，其余九个都是厂商的预设密码，明显很多人都不注重网络安全，懒得修改密码。不过“GMB182”以前常被僵尸网络的恶意软件所使用，名单上用此密码的装置都已被骇客入侵了吗？

另外荷兰非牟利网络安全组织 GDI Foundation 的主席 Victor Gevers，亦发现头 5 个最常用的账号及密码组合为：

• root / [空格]（782 个）
• admin / admin（634 个）
• root / root（320 个）
• admin / default（21 个）
• default / [空格]（18 个）

用预设“Admin、Admin”密码的人还真多⋯

真的希望你家里的产品没使用以上密码。路由器都还好，在用家设定 Wi-Fi 密码时，设定精灵通常都要求用户一并修改路由器的登入密码。但据这份名单显示，受影响的产品种类中，还是以路由器占大多数，当中更有很多是不知名的品牌。正常 Telnet 这个远端控制埠（TCP Port 23）预设是关闭的，但不排除某些产品在买回来时已自动启用远端控制服务，所以不论是什么网络产品，都请你设定一个复杂的密码，及检查是否有开启远端控制的必要。因为骇客会不断扫描全球网络，不断尝试用常用密码登入，成功的话就能入侵网络偷取个人资料，或挪用你的装置及网络资源发动 DDoS 攻击，或作其他非法活动。

IoT 产品包罗万有，别对非路由器产品掉以轻心，其他产品亦要做好安全防护。

物联网装置攻击已愈趋普遍，去年法国网站代管供应商 OVH 遭到由 14.5 万部摄影机所组成的僵尸网络攻击，巅峰攻击流量高达 1Tbps；美国一所大学亦遭 DDoS 攻击，在追查下竟发现攻击来自校内约 5,000 台物联网装置，包括连网的路灯、自动贩卖机等。

而在今次公开密码名单的事件中，GDI Foundation 的义工已尝试联络受影响用户之网络供应商，看看有没有途径能通知他们加强安全防护，或令装置暂时离线，避开骇客入侵。不过最重要的是，大家要提高网络安全防护意识，而厂商亦可在每部机都预设不同的随机密码，屏弃常见的“Admin、Admin”预设组合，毕竟许多人仍是“方便”行先，懒得做任何安全措施。

Source：ARS Technica