防御“挖矿”攻击的安防系统路由配置

刘伟

近年来，平安城市建设中构建了大量大型的安防系统，最常见的是遍布十字路口和商铺门口的网络摄像头。使用者不需任何专业软件，只需普通的网络浏览器即可监视其影像，但在方便的同时也留下了网络安全漏洞，下面针对常见的RCE Day漏洞分析防御“挖矿”类攻击的处理思路，给出路由器配置方案，对网络安全防范工作提供一定的指导意义。

一、安全防范系统的基本要求和网络安全现状分析

根据公安部在安全防范工程技术规范，关于“满足系统的安全性、电磁兼容性要求”中规定，网络摄像头需要具备防御网络黑客的攻击功能。但是，近年来天网工程和智慧城市工程采购的网络摄像头，管理员大多没有经过网络安全岗位培训，实际工作中也忽略了路由设置的安全防范工作，另外路由器使用默认密码较多，只要点击浏览器或手机的APP即可实现连接。

二、路由隐患分析

弱口令漏洞。默认密码为：user，admin，123456或111111等属于弱口令漏洞，用ScanPort等工具进行端口、协议扫描，查找摄像头厂家的特征码，对有特征码反馈的，利用对应的IP地址和端口号使用弱口令碰撞进行访问，很容易就能掌控该路由，从而操纵其主机形成攻击。

RCE Day漏洞。笔者处理过一个案例，黑客是9岁的小学生，他通过ping的命令成功连接上家长单位的D-Link网络摄像头，随意删改数据，造成了攻击事实。事后经过调查市面的GoAhead服务器，发现大约80 %的设备均受这种漏洞影响。

數据传输未加密、APP未安全加固。以Windows XP为例，右击“我的电脑”选择“管理”展开“服务和应用程序”，从服务的清单中选择“SNMP服务”，停止该服务。然后打开“服务”的属性对话框，将启动类型改为禁用，操作完成。

再例如，封锁ICMP（控制消息协议）的ping请求，避免远程用户接收ping请求的应答，操作过程是右击本机的IP安全策略，选择管理IP过滤器，在列表中建立一个新的过滤规则 ICMP_ANY_IN，源地址选任意IP，目标地址选本机，协议类型是ICMP，切换到管理过滤器操作，增加一个名为DENY的操作（类型为“阻止”block），这样就有了一个关注所有进入ICMP保护的过滤策略和丢弃所有报文的过滤操作了。如果这些数据传输加密工作在基层的安防系统建设中没有被足够重视，就会留下安全隐患。

四、修复挖矿漏洞的方法

测试挖矿类黑客攻击的方法有3步：

1.下载工具，测试确认漏洞存在（可以从Github上下载相关程序）；

2.从MOS上下载weblogic，用“C：＼Python27＼”修改系统环境变量，输入命令print Hello World！完成配置，修复漏洞；

3.搜索关键字“CVE-2017-10271”再次测试漏洞是否存在，查看README的内容weblogic_wls_wsat_rce和Weblogic wls-wsat组件反序列化漏洞（CVE-2017-10271）利用脚本，上传shell，在linux下weblogic 10.3.6.0测试OK。启动一个weblogic域，测试RCE漏洞F：＼weblogic_wls_wsat_rce-master>python weblogic_wls_wsat_exp.py-t 10.6.3.226：70

06 -c ls

[-]FAIL：404 no output

从测试返回结果“FAIL：404 no output”来看，显然漏洞已经修复。