最近自己的IP在狂发垃圾邮件spam,一些网站也开始跳验证码,检查发现路由器被当肉鸡了。

过程曲折,首先开始怀疑自己PC中毒,Tcpview查看PC网络流量是正常的。然后想到我的路由器是华硕自制系统,可安装软件,难道是路由器木马?htop观察了好久也没发现可疑程序,郁闷了,难道是其他家庭智能设备比如摄像头被肉鸡了?

鉴于问题应该先从最简单的地方开始找,就nmap扫了一遍自己的端口,发现开着3333端口😓。netstat -anp看了下是路由器某个透明代理程序的进程,检查了下它自动生成的配置文件,确认会无脑监听0.0.0.0的3333端口,原本有电信光猫保护,但桥接后就直接暴露给了互联网,然后这个透明代理直接就转发任意发过来的流量了,漏洞啊这是,为啥需要监听0.0.0.0?监听localhost不好么?是因为透明代理转发的关系?不明。

看上去像新型的专门针对此透明代理的攻击?网络上搜了圈还没有同类情况,在此记录下。