我们有一位客户正在运行他在家中访问的办公室闭路电视系统。该系统在 NAT 防火墙后面的嵌入式 Linux 机器上运行,转发到端口 8080 以进行 Web 浏览器访问和 37777 端口以进行专有软件访问。
所有这一切都突然停止工作,一项小小的调查表明,发送到他的 IP 地址(在任一端口上)的 TCP SYN 数据包立即被包含“走开,我们不在家”消息的 RST 数据包终止。谷歌搜索这条消息会得到很多关于 Storm Botnet 的信息,这显然就是这样做的。
所以问题是,Storm Botnet 到底是如何劫持嵌入式 Linux 机器的。还是我完全错过了其他东西?