当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023733

漏洞标题:国内知名IDC公司曝安全漏洞,影响重大

相关厂商:息壤

漏洞作者: 科西嘉

提交时间:2013-05-14 18:25

修复时间:2013-06-28 18:26

公开时间:2013-06-28 18:26

漏洞类型:基础设施弱口令

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国内知名IDC公司曝安全漏洞,影响重大,涉及linux的SSH端口和WIN系列的3389登录信息。经测试保守估计数量在上千台。

详细说明:

http://www.xirang.com/ 息壤公司旗下的VPS主机使用统一的装机密码,不管是代理商还是淘宝渠道都存在新开VPS使用统一的装机密码,控制面板系统重装完和新开VPS都一样的装机密码,相当于弱口令,VPS及网站极易被入侵。涉及linux的SSH端口和WIN系列的3389登录信息。经测试保守估计数量在上千台。
目前已知涉及IP段,还有其他很多IP没有继续挖掘

115.47.47.1-115.47.255.255
118.244.239.1-118.244.239.255
118.244.202.1-118.244.202.255
118.244.217.1-118.244.217.255

漏洞证明:

部分政府网站和企业网站被黑挂黑链。
尊敬的用户: 您的云服务器已经开通!
[云服务器基本信息]
IP 地 址:118.244.239.74:7755
登录帐户: xrcloud
登录密码: xirang@123
您可以通过 "远程桌面连接"SSH 登陆您的服务器。
==================
===请您登陆后第一时间修改密码===
[控制面板信息]
管理地址:http://vps.bubeian.com/
登录帐户:您的服务器IP地址
登录密码:xxxxxx
通过控制面板可以对您的服务器进行全面的管理。
==================
系统重装选项:
win2003 重装后账号是 xrcloud 密码是xirang@123,系统默认安装iis asp
CentOS 5.6 重装后账号是 root 密码是xirang@123
win2003环境版 重装后账号是 xrcloud 密码是 xirang@123,系统默认安装iis asp ftp mssql 2005
Xscan扫描SSH端口爆的口令
[115.47.53.64]: 发现SSH弱口令 "root/xirang@123" (115.47.53.64:22)
[115.47.53.64]: "SSH弱口令"扫描完成, 发现 1.
[115.47.51.57]: 发现SSH弱口令 "root/xirang@123" (115.47.51.57:22)
[115.47.51.57]: "SSH弱口令"扫描完成, 发现 1.
[115.47.51.112]: 发现SSH弱口令 "root/xirang@123" (115.47.51.112:22)
[115.47.51.112]: "SSH弱口令"扫描完成, 发现 1.
[115.47.51.179]: 发现SSH弱口令 "root/xirang@123" (115.47.51.179:22)
[115.47.51.179]: "SSH弱口令"扫描完成, 发现 1.
[115.47.51.243]: 发现SSH弱口令 "root/xirang@123" (115.47.51.243:22)
[115.47.51.243]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.1]: 发现SSH弱口令 "root/xirang@123" (115.47.52.1:22)
[115.47.52.1]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.167]: 发现SSH弱口令 "root/xirang@123" (115.47.52.167:22)
[115.47.52.167]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.171]: 发现SSH弱口令 "root/xirang@123" (115.47.52.171:22)
[115.47.52.171]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.186]: 发现SSH弱口令 "root/xirang@123" (115.47.52.186:22)
[115.47.52.186]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.206]: 发现SSH弱口令 "root/xirang@123" (115.47.52.206:22)
[115.47.52.206]: "SSH弱口令"扫描完成, 发现 1.
[115.47.52.250]: 发现SSH弱口令 "root/xirang@123" (115.47.52.250:22)
[115.47.52.250]: "SSH弱口令"扫描完成, 发现 1.
[115.47.45.59]: 发现SSH弱口令 "root/xirang@123" (115.47.45.59:22)
[115.47.45.59]: "SSH弱口令"扫描完成, 发现 1.
[115.47.45.63]: 发现SSH弱口令 "root/xirang@123" (115.47.45.63:22)
[115.47.45.63]: "SSH弱口令"扫描完成, 发现 1.
[115.47.45.135]: 发现SSH弱口令 "root/xirang@123" (115.47.45.135:22)
[115.47.45.135]: "SSH弱口令"扫描完成, 发现 1.
[115.47.46.48]: 发现SSH弱口令 "root/xirang@123" (115.47.46.48:22)
[115.47.46.48]: "SSH弱口令"扫描完成, 发现 1.
[115.47.46.84]: 发现SSH弱口令 "root/xirang@123" (115.47.46.84:22)
[115.47.46.84]: "SSH弱口令"扫描完成, 发现 1.
[115.47.46.136]: 发现SSH弱口令 "root/xirang@123" (115.47.46.136:22)
[115.47.46.136]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.53]: 发现SSH弱口令 "root/xirang@123" (115.47.48.53:22)
[115.47.48.53]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.93]: 发现SSH弱口令 "root/xirang@123" (115.47.48.93:22)
[115.47.48.93]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.230]: 发现SSH弱口令 "root/xirang@123" (115.47.48.230:22)
[115.47.48.230]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.237]: 发现SSH弱口令 "root/xirang@123" (115.47.48.237:22)
[115.47.48.237]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.240]: 发现SSH弱口令 "root/xirang@123" (115.47.48.240:22)
[115.47.48.240]: "SSH弱口令"扫描完成, 发现 1.
[115.47.48.249]: 发现SSH弱口令 "root/xirang@123" (115.47.48.249:22)
[115.47.48.249]: "SSH弱口令"扫描完成, 发现 1.
[115.47.59.66]: 发现SSH弱口令 "root/xirang@123" (115.47.59.66:22)
[115.47.59.66]: "SSH弱口令"扫描完成, 发现 1.
[115.47.59.156]: 发现SSH弱口令 "root/xirang@123" (115.47.59.156:22)
[115.47.59.156]: "SSH弱口令"扫描完成, 发现 1.
[115.47.59.173]: 发现SSH弱口令 "root/xirang@123" (115.47.59.173:22)
[115.47.59.173]: "SSH弱口令"扫描完成, 发现 1.
[115.47.59.248]: 发现SSH弱口令 "root/xirang@123" (115.47.59.248:22)
[115.47.59.248]: "SSH弱口令"扫描完成, 发现 1.
[115.47.59.250]: 发现SSH弱口令 "root/xirang@123" (115.47.59.250:22)
[115.47.59.250]: "SSH弱口令"扫描完成, 发现 1.
[115.47.54.71]: 发现SSH弱口令 "root/xirang@123" (115.47.54.71:22)
[115.47.54.71]: "SSH弱口令"扫描完成, 发现 1.
[115.47.54.135]: 发现SSH弱口令 "root/xirang@123" (115.47.54.135:22)
[115.47.54.135]: "SSH弱口令"扫描完成, 发现 1.
[115.47.54.252]: 发现SSH弱口令 "root/xirang@123" (115.47.54.252:22)
[115.47.54.252]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.16]: 发现SSH弱口令 "root/xirang@123" (115.47.56.16:22)
[115.47.56.16]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.43]: 发现SSH弱口令 "root/xirang@123" (115.47.56.43:22)
[115.47.56.43]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.98]: 发现SSH弱口令 "root/xirang@123" (115.47.56.98:22)
[115.47.56.98]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.101]: 发现SSH弱口令 "root/xirang@123" (115.47.56.101:22)
[115.47.56.101]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.111]: 发现SSH弱口令 "root/xirang@123" (115.47.56.111:22)
[115.47.56.111]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.125]: 发现SSH弱口令 "root/xirang@123" (115.47.56.125:22)
[115.47.56.125]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.133]: 发现SSH弱口令 "root/xirang@123" (115.47.56.133:22)
[115.47.56.133]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.140]: 发现SSH弱口令 "root/xirang@123" (115.47.56.140:22)
[115.47.56.140]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.154]: 发现SSH弱口令 "root/xirang@123" (115.47.56.154:22)
[115.47.56.154]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.170]: 发现SSH弱口令 "root/xirang@123" (115.47.56.170:22)
[115.47.56.170]: "SSH弱口令"扫描完成, 发现 1.
[115.47.56.212]: 发现SSH弱口令 "root/xirang@123" (115.47.56.212:22)
[115.47.56.212]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.11]: 发现SSH弱口令 "root/xirang@123" (115.47.57.11:22)
[115.47.57.11]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.14]: 发现SSH弱口令 "root/xirang@123" (115.47.57.14:22)
[115.47.57.14]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.90]: 发现SSH弱口令 "root/xirang@123" (115.47.57.90:22)
[115.47.57.90]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.98]: 发现SSH弱口令 "root/xirang@123" (115.47.57.98:22)
[115.47.57.98]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.109]: 发现SSH弱口令 "root/xirang@123" (115.47.57.109:22)
[115.47.57.109]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.137]: 发现SSH弱口令 "root/xirang@123" (115.47.57.137:22)
[115.47.57.137]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.155]: 发现SSH弱口令 "root/xirang@123" (115.47.57.155:22)
[115.47.57.155]: "SSH弱口令"扫描完成, 发现 1.
[115.47.57.246]: 发现SSH弱口令 "root/xirang@123" (115.47.57.246:22)
[115.47.57.246]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.23]: 发现SSH弱口令 "root/xirang@123" (115.47.58.23:22)
[115.47.58.23]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.118]: 发现SSH弱口令 "root/xirang@123" (115.47.58.118:22)
[115.47.58.118]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.152]: 发现SSH弱口令 "root/xirang@123" (115.47.58.152:22)
[115.47.58.152]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.170]: 发现SSH弱口令 "root/xirang@123" (115.47.58.170:22)
[115.47.58.170]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.209]: 发现SSH弱口令 "root/xirang@123" (115.47.58.209:22)
[115.47.58.209]: "SSH弱口令"扫描完成, 发现 1.
[115.47.58.224]: 发现SSH弱口令 "root/xirang@123" (115.47.58.224:22)
[115.47.58.224]: "SSH弱口令"扫描完成, 发现 1.

ssh.png

修复方案:

使用高强度的随机装机密码

版权声明:转载请注明来源 科西嘉@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-05-14 18:29 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    雷劈了,mark!

  2. 2013-05-14 18:47 | Nicky ( 普通白帽子 | Rank:477 漏洞数:68 | http://www.droidsec.cn 安卓安全中文站)

    MARK

  3. 2013-05-14 18:51 | saber ( 路人 | Rank:8 漏洞数:1 | 我只是一个人走了太久,久到习惯了一个人。)

    神雷。。。

  4. 2013-05-14 20:42 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:4 )

    马克

  5. 2013-05-15 09:39 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    自己搞几台玩啊!

  6. 2013-05-15 22:08 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:5 | The quieter you become,the more you are ...)

    果断拿下机房自己玩啊,至少要玩几个星期再提交出来啊

  7. 2013-05-15 22:44 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:7 | 极光肖风)

    此漏洞我们已确认,请各位不要恶意测试,近期我们通知各户做好安全防范,将对恶意行为访问者提交公安机关取证

  8. 2013-05-15 23:24 | hijack ( 路人 | Rank:10 漏洞数:1 | 路过,高手多多指教,大牛请勿拍)

    @whirlwind 霸气

  9. 2013-05-16 10:09 | ayys ( 路人 | Rank:2 漏洞数:2 | 欢迎交流,熟悉正方教务系统漏洞。专业挖洞...)

    @whirlwind 威武

  10. 2013-05-16 13:26 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @whirlwind 厂商??

  11. 2013-05-16 13:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @whirlwind 厂商?还是使用了此VPS的白帽?

  12. 2013-05-16 21:10 | 科西嘉 ( 路人 | Rank:0 漏洞数:1 | 入侵渗透测试 服务器压力测试 kexijia@189....)

    @疯狗 他是厂商金牌代理 懂了吧

  13. 2013-05-17 10:30 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @科西嘉 soga...

  14. 2013-05-17 17:26 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:5 | The quieter you become,the more you are ...)

    @whirlwind 厂商的员工么?其实我也想这么吓唬一下其他白帽子的。。。。。

  15. 2013-05-18 14:13 | xcfres54 ( 路人 | Rank:16 漏洞数:3 )

    有点屌的样子

  16. 2013-05-23 00:38 | 射不出来 ( 路人 | Rank:7 漏洞数:4 | 我是来混的...)

    哎…使用了此服务…

  17. 2013-06-28 20:20 | 影刺 ( 实习白帽子 | Rank:67 漏洞数:25 | 关注web安全)

    全中啊 我去

  18. 2013-07-01 00:49 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:7 | 极光肖风)

    @流星warden 哈哈,合作伙伴而已,跟他们内部认识啦

  19. 2013-07-02 09:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    @whirlwind 真的假的啊。先给我们几台玩玩啊

  20. 2013-07-03 22:32 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:7 | 极光肖风)

    @wefgod 前几天统一系统升级,已经修复,并且对默认密码机器通知了,我扫了三个段,三百多台win服务器,所以不要担心,不是人人都是弱智用默认,哈哈,还有某人似乎已经被调查了。。

  21. 2013-07-04 00:56 | xcfres54 ( 路人 | Rank:16 漏洞数:3 )

    @whirlwind 被调查。真相在哪里

  22. 2013-07-04 10:12 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    @whirlwind 求真相