У нас есть клиент, использующий офисную систему видеонаблюдения, к которой он получает доступ из дома. Система работает на встроенном Linux-сервере за брандмауэром NAT, перенаправляющим на порты 8080 для доступа через веб-браузер и 37777 для доступа к проприетарному программному обеспечению.
Все это внезапно перестало работать, и небольшое расследование показывает, что пакеты TCP SYN, отправленные на его IP-адрес (на любой порт), немедленно завершаются пакетами RST, содержащими сообщение «Уходи, мы не дома». Погуглите это сообщение, и вы получите много информации о ботнете Storm, который, по-видимому, делает именно это.
Итак, вопрос в том, как ботнет Storm может захватить встроенный Linux. Или мне совсем не хватает чего-то другого?
Этот межсетевой экран NAT - что это за аппаратное и программное обеспечение? Необязательно, чтобы компьютер с Linux был угнан.
Я ответил на этот вопрос на тот случай, если кому-то еще не повезет поступить таким путем в будущем.
Я спросил, может быть, мне совсем не хватает чего-то другого. Оказывается, был. Проблема была в нашем своя маршрутизатор и имел три очевидных симптома.
Хотя это похоже на эксплойт прошивки, это не соответствует симптомам psyb0t.
Рассматриваемый маршрутизатор был (довольно старым) 2Wire Intelligent Gateway 1800 и был заменен!