用磊科236W有奇怪进程占用100% CPU

john***

今天远程登录自己的236W一看CPU 100%
开始以为是BUG引起的CPU占用率不准


然后开TELNET登录TOP


发现POKE.SH占用了将近100%的CPU

而且令我奇怪的这个进程居然是在TMP文件下的命令

难不成是给黑客入侵了?

磊科默认的是5357端口

密码和用户名我还是修改过的,

这样也能够黑进我的路由来吗?

john***

TMP下的文件

3798***

看样子路由页上的CPU占用了是多少呢？

S沁雨***

看下那个脚本是干什么的不就知道了

邪恶***

S沁雨寒S_风雪 发表于 2015-8-20 17:55
看下那个脚本是干什么的不就知道了

我也是这个想法,看看里面的内容就知道是干啥的了...

chao***

人家想黑你的话，只要联网的设备都可能被黑，不过得看水平。

我好像记得磊科之前的固件WAN口好像是不禁ping的

john***

chaohua27 发表于 2015-8-21 00:06
人家想黑你的话，只要联网的设备都可能被黑，不过得看水平。

我好像记得磊科之前的固件WAN口好像是不 ...

问题我改了WEB的登录端口

用户名和密码也改了

TELNET的端口也不是23

这东西还有什么地方能够黑的进的去的?

就算能够PING的到对于黑客讲这东西也象是在防火墙之内的设备,这样还被人黑掉.

chao***

john2218 发表于 2015-8-21 07:58
问题我改了WEB的登录端口

用户名和密码也改了

如果允许WAN口telnet的话，你竟然不造随你改什么端口，用端口扫描器很快就给你扫出来了？

john***

chaohua27 发表于 2015-8-23 20:39
如果允许WAN口telnet的话，你竟然不造随你改什么端口，用端口扫描器很快就给你扫出来了？

http://weibo.com/p/1001603792736 ... f=www.google.com.hk

今天终于给我找到问题了.

laom***

看看poke。sh是个啥玩意  

zen***

安全公告 ——关于部分路由器IGDMPTD接口被攻击的问题
日期：2015年1月1日 11:51
近期有用户反馈磊科部分路由器IDGMPTD接口有被黑客利用进行攻击的风险。特此申明：
1、IDGMPTD(Internet Gateway Device Manufacture Process Test daemon)原为产线批量测试的程序接口，仅提供有限的功能服务于生产制造，而非产品后门。
2、从2014年08月发现此问题，开始对涉及产品进行固件版本升级。用户可以在磊科官网（WWW.NETCORETEC.COM）下载最新的固件版本，在路由器WEB页面升级。最新固件版本无IDGMPTD问题。
3、 磊科最新生产的路由器无IDGMPTD问题，用户可以放心购买和使用！
非常感谢用户测试和发现产品问题，帮助磊科公司改善产品。为了更好的使用产品，请升级最新的固件版本。任何问题可以随时联系。谢谢！

zen***

在虚拟服务里面将TCP5357和UDP53413转发到内网IP即可，顺便更改一下路由器默认密码。

modi***

最后是啥原因呢？卤煮

skyf***

TMP下还有个look.sh看着也挺可疑。