预警：51万台服务器、路由器和物联网设备的Telnet账号密码泄露，物联网DDOS攻击可能会重演

最近，某论坛里发出来的，51万互联网服务器，交换机，路由器和物联网等设备的账号密码泄露了，下载压缩包，打开文件夹后，一共16个txt文件，14.5兆，近期已有一些黑客组织疑似在利用这些数据，需引起注意。

这个是某厂商的交换机、路由器。

这个应该是个嵌入式的设备，还busybox呢。

这个图就不打码了，ip是国外的，是荷兰的，是个linux系统，常见的弱口令可以进入。

       这个是日本的飞思卡尔半导体嵌入式设备。再往后就没有截图了，都差不多了，就这么多类型，路由器，交换机，防火墙，嵌入式设备，linux服务器，ONU，还有物联网设备等。

       每个设备的命令都不一样，尝试输入几个命令后，路由表在上图中清晰可见，看到路由表后，知道子网掩码后，后面能做什么，对于黑客来说很容易了。      

这个是大连本地暴露的设备的情况，操作系统类型，单位名称等，还有一些数据没有跑出来，还在完善中。

年前尝试telnet登录一些ip，随机尝试几个都成功了，说明数据可信度还是很高的，密码还没有改，也说明没有引起足够重视。这两天手工尝试登录一下文件里给出的大连本地的账号密码，很多都进不去。进不去可能存在几种可能性，一，数据问题。二，账号密码被黑客更改了。三，自己发现更改了。但是即便是数据不准，各地也应该关心txt中出现的ip，至少这些文件里的端口都是23，说明开放了telnet。

这个隐患还是很大的，进去之后可以直接控制设备了。即便是不太懂的人，现学一些命令也是可以做到的。

      这次泄露的数据中，一共51万6千多条数据中，实际去重后共计10万条左右数据，有的一个ip有几个账号密码，算上这些数据20多万，其实真正应该关心去重后的IP就可以了。只要txt中出现的ip，就应该引起重视，至少他是被探测扫描过的，是暴露在互联网上的，存在一定的风险。中国的ip占据了34939个，是泄露数量最多的国家，其他国家的数据也不少，让人意外的是巴基斯坦也有近万条数据。

       从图中就可以看出来，一共97731条，做了排序，但是美国的数据不全，美国的真实数据是4753个。ip到地市一级，地市一级的IP最多的就是浙江省宁波市，实际上全国排名最高的是浙江省。

       放出一部分国外美国和印度的IP，这里很多都可以连接上，有兴趣可以尝试一下。

 51万个ip统计起来真的挺费劲，还好有江苏的牛博士发了个python脚本给我，里面有ip库，但是ip具体是不是十分准确就不敢确定了，绝大部分应该是准确的，实际应该以当地运营商的数据为准。

这个账号密码泄露危害极高，需要引起注意，这些账号和密码泄露，等于设备是人家的了，如果通过命令把这些设备重启，关闭，初始化，或者内网ip映射公网，或者更改参数，后果会很严重。或者利用一些命令发起ddos攻击，十万台设备发起ddos攻击还是很可怕的，去年美国遭到历史上最大规模的ddos攻击就是控制了物联网设备，利用物联网设备发起的攻击，瘫痪了半个美国。

黑客是怎么拿下来这么多账号密码的？估计是脚本扫的全球的23端口，弱口令爆破的，因为txt文件中大部分都是弱口令。你家的设备，或者你单位的设备，账号密码泄露了吗？如果泄露了尽快修改，如果没有，时间长了建议也修改一下。这些设备有的服务器可能会被植入后门程序，可以搞破坏，轻者关机，断网，严重者传输数据被窃取，服务器文件丢失。

很多账号和密码登录不上，有可能数据本身就是错误的，也有可能是一些单位已经修改了。

警告：最近已经有一些黑客组织开始利用这些数据了，要引起重视，尽快开展自查，不要因为一些小的不起眼的设备不好查找就不管了，后果可能更严重。

1. 如果可以的话，关闭telent服务，禁止telnet登录。

2. 建议设备厂商初始账户密码不要用admin/admin，root/root，root:klv123，root:12345，root:1234567890，user/user，test/test等，这些弱口令是在文件中发现的，因为大部分用户是不会改的，或者忘记改的。

3. 自查是否其他账户存在弱口令，如果有尽快修改。

4. 查看登录日志，是否有异常登录行为或攻击行为。

5. 主动查杀后门程序。

51万设备账号密码泄露，这个隐患是年前就爆出来的，但是现在还没有得到足够重视，这个隐患要远高于近期的摄像头漏洞和钓鱼文件攻击。

往期有你想看的精彩 

预警：土耳其图兰军明日下午三点集中攻击中国站点那个借新型肺炎对我国发起攻击的黑客组织叫印度“白象”疑似台湾绿斑黑客团伙的虚假“疫情统计表格”和“药方”