教你如何清除蠕蟲(chóng)病毒
在本文中,筆者將分析容易受這種特定蠕蟲(chóng)攻擊的路由器類(lèi)型,然后討論如何防止這類(lèi)和其它類(lèi)型的路由器蠕蟲(chóng)的感染。最后,我們將探討如何清除感染路由器的蠕蟲(chóng)。
蠕蟲(chóng)是怎樣進(jìn)入路由器的
路由器蠕蟲(chóng)是通過(guò)用于遠(yuǎn)程管理路由器的端口進(jìn)入路由器的。不過(guò),路由器在默認(rèn)情況下并沒(méi)有打開(kāi)這些端口。必須在路由器Web界面的配置程序上手動(dòng)啟用之。如下圖1所示:
此外,更大的漏洞在于弱口令。換句話(huà)說(shuō),如果采取了防御措施,遠(yuǎn)程管理就是安全的。
根據(jù)有關(guān)媒體的研究,這種最新的蠕蟲(chóng)攻擊的基本上需要滿(mǎn)足下面的標(biāo)準(zhǔn):
1.這些設(shè)備一般都是使用MIPS處理器的設(shè)備,這種處理器運(yùn)行簡(jiǎn)版Endian模式(mipsel)運(yùn)行。這包括大約30種Linksys設(shè)備,十種Netgear 型號(hào)的設(shè)備,還有其它許多種設(shè)備。此外,加載其它固件代替品的路由器,如DD-WRT和OpenWRT也易于受到攻擊。
2.啟用了某種類(lèi)型遠(yuǎn)程管理的設(shè)備,如啟用了telnet、SSH,或是基于Web的訪問(wèn),要知道,僅提供本地的訪問(wèn)并不容易受到攻擊。
3.遠(yuǎn)程管理訪問(wèn)的用戶(hù)名和口令的組合不夠強(qiáng)健,易被解除?;蛘呤瞧涔碳菀妆宦┒蠢贸绦蛩?。
既然路由器蠕蟲(chóng)是通過(guò)遠(yuǎn)程管理端口侵入的,保障這些端口的安全就成為了防止感染的關(guān)鍵所在。此外,不啟用遠(yuǎn)程管理并關(guān)閉這些端口就是最佳方案,因?yàn)槿湎x(chóng)無(wú)路可進(jìn)。不過(guò),如果需要遠(yuǎn)程訪問(wèn),遵循下面的指南可以防止蠕蟲(chóng)的入侵:
1.使用強(qiáng)健而安全的口令
要知道,路由器蠕蟲(chóng)依賴(lài)于強(qiáng)力字典攻擊(不斷地努力猜測(cè)口令),所以我們應(yīng)當(dāng)使用不易被猜測(cè)的口令。不要使用什么“admin”、“router”、“12345”等作為路由器的口令,而要使用一種混合性的組合,如rDF4m9Es0yQ3ha等。其中至少要包括大小寫(xiě)字母,并利用數(shù)字和字母。雖然這種口令不易記憶,但我們可以將其存放于可以某個(gè)文件(如文本文件)中,再用TrueCrypt、Cryptainer LE等軟件為各種保存密碼的文件加密。
2.保障遠(yuǎn)程連接的加密
例如,盡量不要使用HTTP方式傳送,因?yàn)樗褂玫氖敲魑膫魉?,而可考慮使用HTTPS來(lái)傳送基于Web的訪問(wèn)??梢源蜷_(kāi)路由器配置程序的遠(yuǎn)程訪問(wèn)設(shè)置,選擇“https”選項(xiàng)。如果需要命令行才能訪問(wèn)路由器,可使用SSH。因?yàn)镾SH是一個(gè)加密的協(xié)議。使用加密的連接并不是防止路由器蠕蟲(chóng)的必須措施,但它可以加強(qiáng)路由器的總體安全性。
3.改變默認(rèn)端口
蠕蟲(chóng)僵尸可通過(guò)這些遠(yuǎn)程連接的默認(rèn)端口侵入,如通過(guò)HTTP Web 訪問(wèn)的80或8080端口、加密Web訪問(wèn)的443端口、SSH的22號(hào)端口等。因此,一臺(tái)在非默認(rèn)端口上接收連接的路由器更為安全。很多路由器在緊挨著遠(yuǎn)程連接設(shè)置功能的位置有一個(gè)端口(Port)字段,在此輸入想要使用的端口號(hào)碼。例如,鍵入路由器所在位置的面向互聯(lián)網(wǎng)的IP地址,加上一個(gè)冒號(hào),然后是端口號(hào)。如果是通過(guò)SSH進(jìn)行連接,你需要在SSH客戶(hù)端程序的連接設(shè)置中指定端口號(hào)。
4.使用入站過(guò)濾器
其實(shí)我們可以對(duì)有些路由器進(jìn)行配置,使其過(guò)濾哪些IP地址或范圍準(zhǔn)許使用進(jìn)入的連接,如此便可以阻止不在列表中的任何IP地址的蠕蟲(chóng)。為此,首先,可以看一下是否可以在路由器的遠(yuǎn)程管理設(shè)置中定義IP地址或IP地址范圍。然后,檢查路由器是否可以設(shè)置入站的連接設(shè)置。
保障路由器的固件最新
前面我們提到,路由器固件所所使用的軟件也使路由器易于受到蠕蟲(chóng)攻擊,因此保持路由器總是加載最新的固件版本可有助于防止這種漏洞。路由器的制造商們和固件替換項(xiàng)目會(huì)定期發(fā)布這些固件的更新,用以修補(bǔ)已知的安全漏洞。
要更新路由器的固件,應(yīng)從廠商的網(wǎng)站下載新的鏡像。然后登錄進(jìn)入路由器的配置程序,打開(kāi)“Admin”/“Misc”或“System”部分,選擇最新的固件,并加載它即可。
清除蠕蟲(chóng):還路由器的清潔之軀
我們前面所討論的預(yù)防性措施可防止路由器受到蠕蟲(chóng)的攻擊和危害。記住,如果你不需要遠(yuǎn)程訪問(wèn)就不要啟用它。如果有必要采用此功能,我建議你把用戶(hù)名和口令復(fù)雜一些,多用一些大小寫(xiě)、數(shù)字等混合的口令,并要通過(guò)SSH或HTTPS傳輸,還要考慮使用非默認(rèn)端口,并盡量采用任何的入站過(guò)濾器。
如果路由器已經(jīng)受到感染,肯定會(huì)發(fā)生一些不可思議的事情。例如,據(jù)報(bào)告,Psyb0t會(huì)阻止22號(hào)端口、23號(hào)端口、80號(hào)端口的通信。
要清除蠕蟲(chóng),最徹底的解決方法是將路由器恢復(fù)到出廠默認(rèn)值,這樣做可以保證清除蠕蟲(chóng)。按下路由器背面的復(fù)位按鈕,并且過(guò)上幾秒鐘(不同的廠商要求不一樣,如筆者的路由器要求按下30秒鐘以上才可以),就可以恢復(fù)到出廠狀態(tài)。一旦清除了蠕蟲(chóng),一定要記得采用本文所介紹的方法喲。