找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888
查看: 14724|回复: 41

软路由被植入后门,求助

[复制链接]
发表于 2021-9-15 14:17 | 显示全部楼层 |阅读模式
打开Clash后,把日志等级改成Info,可以看到大量的不明请求,基本上都是访问境外网站。

试过OpenClash、Clash都是如此。

netstat -ant,可以看到大量访问443端口的连接。

将Clash关闭后,这些连接全部变成TIME_WAIT。

固件是自己在Ubuntu下编译的。

cat feeds.conf.default

下有这些

src-git packages https://github.com/coolsnowwolf/packages
src-git luci https://github.com/coolsnowwolf/luci
src-git routing https://git.openwrt.org/feed/routing.git
src-git telephony https://git.openwrt.org/feed/telephony.git
#src-git video https://github.com/openwrt/video.git
#src-git targets https://github.com/openwrt/targets.git
#src-git oldpackages http://git.openwrt.org/packages.git
#src-link custom /usr/src/openwrt/custom-feed
src-git openwrtpackages https://github.com/kenzok8/openwrt-packages.git
src-git small https://github.com/kenzok8/small.git


OpenClash试过不同版本,包括从Github上直接下载ipk文件安装,都是一样的情况。

排查很久不知道什么原因,固件也重新编译过很多遍,甚至去掉大部分功能,只保留出国海淘,依旧如此。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2021-9-15 14:19 | 显示全部楼层
系统时间可能需要改到半夜才会出现,同时还会访问一些比特币相关的网站。

通过智能插座,可以发现软路由的功耗从23:55分到7:30分暴涨。

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2021-9-15 14:22 | 显示全部楼层
还有个情况是昨天23点多,收到VPS服务商发来的邮件,说服务器被用于发送垃圾邮件,给暂停了。

推测原因是软路由的后门在发送邮件时走了代理,导致服务器被封。

点评

按理说不应该,开源的东西,我们看不懂源码,但是能看懂的大有人在,不可能这么明目张胆的的加后门呀。443和22都是比较容易受网络攻击的端口,可以在op上安装个fail2ban拦截443端口的攻击,看看都是哪里的ip  详情 回复 发表于 2022-7-13 09:45
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 14:28 | 显示全部楼层
你自己编译的还有后门啊,那我们这些用现成的都是被后门的了

点评

怀疑是某些app有问题,但没有头绪。 请教下有没有大佬知道如何排查。  详情 回复 发表于 2021-9-15 14:31
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2021-9-15 14:31 | 显示全部楼层
2063952 发表于 2021-9-15 14:28
你自己编译的还有后门啊,那我们这些用现成的都是被后门的了

怀疑是某些app有问题,但没有头绪。

请教下有没有大佬知道如何排查。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 14:44 | 显示全部楼层
我c,ao,这都可以,自己编的都有问题???!!!
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 14:49 | 显示全部楼层
没有内网发起的设备IP吗
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 14:50 | 显示全部楼层
这个有点吓人,自己编译都有后门,我们用现成的那岂不是更可怕了
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 14:57 | 显示全部楼层
怎样查看被植入后门。。。。。在线等。。。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 15:04 | 显示全部楼层
排除了下联设备的可能性了嘛,如果电脑手机之类一些疯狂请求走代理应该也会导致软路由功耗上升吧。另外换一个插件试试?也许问题就出在clash上面
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 15:25 | 显示全部楼层
我觉得要一步一步排查,今晚先将所有AP、电脑网线都拔了到明早观察。先确定范围。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2021-9-15 15:28 | 显示全部楼层
统一说下怎么发现的吧。

最早在2020年出开始用的OpenWrt,一开始也是自己编译的固件,用违禁软件 plus,没什么问题,后来安装openclash也没什么问题。

openclash某个版本增加ruby的依赖以后,我编译的固件不知道什么原因装不上。

所以用了Youtube某个UP主编译的固件,哪个人就不说了,因为我也不能确定是固件的问题。

然后就开始出一些奇怪的问题,大概情况是一段时间就后,CPU占用率就是50%,如果不重启OpenClash,再隔一段时间CPU占有率会变成100%。

那时候就有点怀疑,9月除才开始下决心自己再编译固件。

编译配置跟主楼说的差不多,不过没有彻底重做整个虚拟机,而是直接不保留配置刷新的固件。

然后CPU占用率高的情况下再次出现,并且这次更严重,每次都是直接97%-99%,网时不时就有点卡。

昨天晚上11点左右,受到VPS的邮件,说我的服务器因为滥发邮件被暂停了,这个问题引起了我的重视。

查看clash的内核日志,发现大量频繁的请求,大概每秒几十次,这已经超出正常使用的范围,怀疑被当成了DDOS的肉鸡。

重做整个虚拟机后,情况依旧。

排查很久,基本上就是Clash关闭情况就消失,打开就开始疯狂请求各种国外网站。

现在没什么头绪。

点评

那就别用OpenClash了,用plus吧  详情 回复 发表于 2021-9-15 16:42
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 15:36 | 显示全部楼层
尴尬了,

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 15:37 | 显示全部楼层
先搞清楚是你的op有问题,还是局域网设备有问题
既然你都可以重装了,直接把编译环境全部重来一遍,如果虚拟机编译,直接重做linux,重新下源码,至少我用lean和官方op的源码自己编译没有发现任何功耗和后台木马问题
没用过clash,不知道日志有没有记录发起设备的IP功能,如果有就可以缩小范围。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-9-15 15:38 来自手机 | 显示全部楼层
只用openwrt官方固件的飘过。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-3-29 03:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表