据媒体“Panabit ”报道，10月10日，又有省级运营商被最新的机顶盒蠕虫袭击！

根据其最近协助处理的几个重大事件，可以判断出现了专门针对机顶盒的新型蠕虫。

据其透露的信息，此蠕虫病毒的感染目标是机顶盒/OTT类的Linux为基础系统的嵌入式设备。

目前广电绝大部分机顶盒都是Linux系统，数量在1.5亿台以上，可以说全部是潜在攻击目标。而电信前期发放的非智能IPTV机顶盒也是Linux系统，保有量规模也在数千万台。

此蠕虫的特性概括如下，提醒各级网管引起足够重视：

1） 感染目标是机顶盒/OTT类的Linux为基础系统的嵌入式设备，其管理IP暴露于内网可以访问；

2） 利用的是存在admin/admin、root/root等默认弱密码的telnet/ssh服务；

3） 感染后会向盒子上传攻击代码，对远程目标IP发起DDoS进攻，进攻种类以未知UDP流量和SYN_ACK类的连接数攻击为主，攻击目标多为国外游戏类网站IP，目标经常变换，部分蠕虫会发起DNS递归攻击，由于域名的前缀不断变化，导致DNS不断递归查询，导致运营商主DNS挂死；

4） 内网之间会有传染特性，一个存在漏洞的设备被攻破，同网段内有类似漏洞的盒子将不可幸免；

5） 连接数攻击强度较大，一个设备会带来数万会话，造成网络出口NAT、IPS等会话敏感设备CPU飙升，甚至连接中断，存在众多半开连接，溯源困难。

在如此敏感时刻，而且已经有省级运营商被袭击，广电和电信运营商做安全保障的兄弟们，担子确实有点重！不说已经预料之中的加班加点安全保障，相关排障预警工作量还得加大。

广电总局十九大安播电视电话会

不过针对此蠕虫病毒，相关专业机构也提醒大家做好以下工作，静待安全公司跟进分析结果：

1） 对内网telnet/ssh服务进行弱密码扫描，存在类似问题的抓紧修改密码（密码安全性低，甚至使用默认密码的要上点心啦）；

2） 部分机顶盒厂家已经获知此项漏洞，并推出升级包，请联系他们获取升级包，主动进行全网升级（因为shijiuda，现在运营商基本采取了物理封网方式，这个升级看起来是不是有点难以进行？）；

3） 有条件的网络，可以先在内网暂时过滤TCP 22/23端口服务，直到安全公司提醒攻击停止（是否有效，安全工程师可以判断）；

4） 如遇网络异常变慢掉线，请联系出口设备厂家排查（不能掉以轻心）。