你看看你自己的弱密码，也好意思说自己是黑客？

我们的安全研究员最近发现了一个挺搞笑的事情：就是 Owari 这个利用物联网设备的弱密码来攻击它们的僵尸网络自己的数据库也是用的弱密码。听起来有点绕对不对？且待慢慢道来。

Owari 的 MySQL 数据库

讲 Owari 这个物联网僵尸网络，就得先说说 Mirai 这个物联网僵尸网络的老祖宗。Mirai 的数据库是 MySQL 的，里面有三张表：用户，历史和白名单。好多 Mirai 的后代都开拓了新的方式，不过数据库这块还是用老祖宗的多，Owari 也是这么个好孩纸。

我们的某个蜜罐某天受到一个来自 80(.)211(.)232(.)43 这个 IP 的攻击，命令是 /bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下 post 下载。

出于黑客的直觉我们自然去看了看对方的 IP，然后发现他们开着 3306 口，配置 MySQL 也不改个缺省端口，鄙视一下。

我们就跑去试了一下对方的密码，结果发现：全世界人民都知道啊！

用户名: root

密码: root

数据库里那点事儿

既然门都没关我们就进去瞅了瞅。用户表里面是一帮控制这个僵尸网络的人的用户名和密码。有些应该是作者，还有一些是客户，也叫黑箱用户，就是交钱然后打流量。除了密码还有能用多久，用多少僵尸，如果是 -1 就是全军都能用，以及冷却时间，就是打过以后要休息多久的意思。

我们发现的这个 Owari 的例子里面，我们找到一个用户的时间是 3600 秒也就是一小时而且僵尸总量是 -1，大客户啊。注意这里用户密码也是明文的，再鄙视一次。

在历史记录表里面，我们找到了历史攻击 IP 记录。好多 IP 地址都没啥关联，我们猜测是因为他们在打对手的僵尸网络，黑吃黑的意思。

白名单表居然是空的，说明这个僵尸网络胃口很好逮谁打谁。

而且这个还不是孤例，另外一个 IP (80.211.45.89) 也是一样的 root:root 登录。

商业模式了解一下

Owari 的代码已经在暗网上面泄露了，所以很难找到原作者。不过我们还是找到了一位代号「疤脸」的僵尸网络操控者，让 TA 讲解一下攻击事件，冷却时间和 Owari 网络的使用价格。

一般我每个月收费是 60 美元，提供 600 秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑 1800 秒。我一般不让设备冷却。如果要冷却时间，我一般会设置成最多 60 秒。一个用户每月 60 每月不算多，不过每月有 10 个到 15 个用户的话，我平时的网络费用就够用了。 —疤脸

善后

或许大家以为一旦拿到 MySQL 数据库的改写权限，就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单，因为僵尸网络控制服务器 CnC 的 IP 地址很快就会失效（平均有效期是一周）。僵尸网络的控制者知道自己的 IP 地址很快就会被标记为恶意，因为流量太差了。所以他们经常会主动的改变 IP 来躲开监控。我们文中提到的两个 IP 地址都已经下线了。青天科技 IoT Halo 可以帮助大家挡住 Owari 僵尸网络的进攻。