警惕!爱快软路由”开心版”藏后门 卖家可远程控制你的路由器
作者:Nyarime | V2EX
近日,有安全研究人员对网络上流行的爱快(iKuai)软路由”开心版”固件进行了逆向分析,发现这些所谓”破解版”固件中隐藏着严重的木马后门。
爱快是一款流行的软路由系统。网络上有人出售所谓的”开心版”,声称可以绕过官方授权,还能解锁Docker等企业版功能,价格只要几百块。这些卖家同时运营多个闲鱼账号,包括”公路暴走的豹子”、”伦敦天猫座海牛”等,历史上还用过”金陵巨蝎座佩奇”这个ID。
研究人员通过提取固件并使用Nyarc工具解密后,发现了几个关键问题。
隐藏的SSH后门:固件中内置了一个名为iksshd的账户,拥有最高root权限(UID=0),密码hash已泄露。这意味着任何人只要用这个账户和已知密码,就能远程登录你的路由器并获得完全控制权。
Telnet后门:在/etc/setup/rc文件中配置了隐藏的Telnet服务,监听端口65500。这是一个极其危险的行为,因为Telnet传输是明文的,密码容易被窃取。
远程控制木马:固件中包含一个名为replace_files的可执行文件(42KB ELF程序),经过逆向分析发现,它会伪装成系统内核线程kworker/u8:1-ev运行,定期连接远程服务器(伪装成iKuai官方域名patch.ikuai8.cn和www.ikuai8.cn),下载并执行新的指令。解密后的脚本会通过DNS TXT记录获取真实的C2服务器地址,并从阿里云OSS下载加密的插件包。
持久化控制:木马会无限循环运行,每15秒检查一次网络,每隔一段时间从远程服务器获取最新版本的插件包并强制加载。即使用户重启路由器,后门依然会重新激活。
简单来说,你花几百块买的”破解版”路由器,实际上买了一个定时炸弹。卖家可以随时远程登录你的路由器、窃取网络流量、下载任意程序,完全控制你的网络。
安全建议:避免使用来源不明的破解固件。如果正在使用,尽快重装官方正式版。检查路由器上是否有异常账户(如iksshd)。