概述
2月27日,因为江苏省公安厅的通报文件在网上公开引而发了海康威视黑天鹅事件,这也将长期一来的弱口令问题和去年的远程代码执行问题再次炒热了。而同样也为安防行业龙头的大华设备的弱口令态势是个什么样?下面将会回答你。
关于扫描识别
大华的大量监控设备(包括大量别的厂商OEM自大华的设备)DVR/DVS/NVR/IP Cameras均支持一种私有协议,用来传输实时视频流和视屏回放文件,包括云台控制等命令等,该协议默认使用37777端口。具体细节可参考官方提供的部分SDK。如下图为实现的基于nmap的弱口令探测脚本和设备识别脚本。
扫描情况简介
我们3月5日首次针对中国的3.3亿ip进行了存活性和弱口令探测,根据特征发现中国共有21万左右的大华DVR/DVS暴露在公网,其中使用admin/admin默认口令的高达17万,弱口令的比率也达到了吓人的80%。在3月11日我们完成了大华监控设备在全网的存活探测性和弱口令探测,发现1007000左右的符合大华私有协议特征的数据,其中弱口令登录成功的高达66万,弱口令的比率也达到了66%。如下图为识别插件输出的全部结果。
大华设备中国各城市弱口令TOP30(2015/3/5)
Guangzhou 43000 Nanjing 18260 Fuzhou 17283 Hebei 8125 Unknown 7234 Chongqing 5868 Jinan 5302 Beijing 4368 Hangzhou 4142 Shenyang 3593 Chengdu 3387 Hefei 3249 Zhengzhou 3117 Shanghai 3110 Changsha 3049 Wuhan 2573 Ningbo 2531 Changchun 2349 Jinhua 2212 Tianjin 2091 Wenzhou 2016 Nanchang 1828 Harbin 1742 Taizhou 1635 Shaoxing 1597 Nanning 1570 Baotou 1545 Kunming 1400 Jiaxing 1318 Taiyuan 1240
Hack For Fun
2015年4月1日更新内容:
我们在3月27日时又再次启动了针对大华监控设备的全网第二次,对监控弱口令和设备串号探测,基本上确定了大华设备接入互联网的数量在100万上下,两次数据误差在1万左右,通过协议探测协议上使用弱口令的数量在66万上下,这也就意味着足不出户就可以观看到全球各地的摄像头直播实况。根据IP和对应国家,我们也使用ECharts绘制了简单的大华设备数量分布地图,比较直观的帮助我们了解设备分布情况。
大华设备公网全球分布数量TOP50(2015/3/28)
中国 172364 巴西 142463 美国 74453 波兰 56277 土耳其 55299 西班牙 40674 印度 35611 泰国 31529 法国 30147 未知 27522 墨西哥 26059 英国 24580 俄罗斯 23137 意大利 21253 罗马尼亚 18634 乌克兰 17936 韩国 15816 哥伦比亚 13966 阿根廷 13119 越南 11760 马来西亚 9417 澳大利亚 8311 智利 8164 加拿大 6539 葡萄牙 6412 荷兰 6189 伊朗 5818 塞尔维亚 5569 匈牙利 5192 以色列 4281 保加利亚 4202 比利时 4109 委内瑞拉 3942 突尼斯 3693 香港 3686 哥斯达黎加 3375 台湾 3321 希腊 3233 爱尔兰 3209 菲律宾 3170 南非 3160 德国 2714 秘鲁 2688 埃及 2649 捷克共和国 2258 立陶宛 1987 新加坡 1903 玻利维亚 1863 摩洛哥 1835 斯洛伐克 1737