摘要：本案例主要分析终端设备ONU通过某端口被植入恶意程序，导致上网感知慢、测速不达标、被强推广告等的异常上网现象。通过网络报文和设备log打印信息帮助定位故障是目前ONU排查问题的重要手段。通过log可以发现设备的运行情况以及进程是否正常，通过网络报文可以判断网络协议是否运行正常，是否有异常流量。本例中就是通过log打印信息看出ONU被植入恶意程序，从而发现ONU CPU被占用导致无法进行硬件加速，从而出现测速不达标以及网速慢等现象。

关键词：ONU;CPU;测速不达标;TCP

一、案例描述

1、对问题网络拓扑进行查看和简单分析

图1为基本网络拓扑及简单分析

2、原因分析、主要关键行为措施

经对问题ONU进行分析，发现运行进程列表里多了几个可疑程序，分别/bin/init_mon、/bin/protect、 ssk。

这些可疑程序无法kill掉，每次kill掉后它立即被拉起。对系统程序启动脚本inittab进行排查，发现有添加/bin/init_mon启动命令，命令被设置成respawn（::respawn的含意是如果程序关闭，重新拉起)。所以init_mon可能是守护进程，其它进程可以由其拉起。

对问题ONU的防火墙规则进行检查，与正常ONU的规则进行对比，发现问题ONU被添加了特殊的处理规则。

上图红框中的处理规则会把http协议报文劫持到应用层处理。

当用户访问一个正常网页时，上述规则会导致正常上网数据经由可疑程序后台处理，在用户的设备上出现异常的网页跳转。

其次这些规则使http数据不再走ONU设备的硬加速，转由设备的CPU进行处理。当有大量的http数据需要处理时，设备就会出现CPU占用率过高，数据无法及时处理的情况。因此，基于http数据的网页测速不达标。

通过以上的分析，可以确认设备已被植入木马。实地现常挂测问题ONU设备，抓取到入侵过程报文，发现有异常的智能客户端交互数据,这也是用户电脑被强制弹出广告的原因。

2.1入侵过程分析

挂测过程中抓到了入侵报文，远端通过ONU WAN侧的某端口（该端口主要是维护人员使用APP调试ONU使用，此端口在ONU上网链接（internet）为路由模式时会在wan侧打开，桥接模式下则不会打开）完成了入侵。APP调测从LAN侧连接每台ONU需输入唯一的认证信息登陆，而WAN侧没有做这个认证。具体过程如下：

入侵端访问ONU的WAN侧17998端口并与设备的mobileapp进程交互。

在交互报文中嵌入了wget命令下载，欺骗ONU下载可执行程序到ONU的/tmp/m，并赋予m可执行权限。

ONU执行该程序后会从http://1.63.XX.XX:19010/tmp/s/flasher下载另一段可执行程序运行。

2.2 入侵后的后台程序行为分析

ONU被入侵后，原先正常的程序ftp、samba、mobileapp被关闭，然后被植入了init_mon、protect、ssk三个后台程序。

init_mon、protect无法kill，伪装进程SSK与系统SSK进程同名。伪装的SSK进程运行时会与境外的IP地址建立连接，但连接都是加密的无法获取具体的交互的内容。

伪装的SSK进程：

故障ONU启动时向国外的DNS服务器请求地址：

ONU访问github下载并执行恶意程序，从而被完全控制，成为肉鸡，对黑客是美味至极，对自己却是后患无穷。

3.解决方案

（1）在端口处进行封堵TCP17998，阻止恶意程序的进一步扩散以及破坏。

（2） 在条件允许下，可进一步对恶意程序进行溯源，对攻击源头进行定位，才能进一步分析和解决问题。

（3）对于ONU进行安全（防火墙）策略加固。

二、分析总结

起于安全，不止于安全。信息网络发展和应用不断深入，为经济社会带来进步机遇的同时也带来了风险挑战。网络安全威胁日益突出，以隐蔽化、多样化、复杂化的形态挑战着网络空间秩序和公私利益。

当今宽带ONU终端设备（光猫）在运行过程中容易受到网络数据的干扰以及恶意程序的攻击而导致安全问题。为保证业务的正常接入及设备的稳定运行，应关注在网设备相关安全防护参数的设置。分析ONU打印信息和网络报文是帮助定位故障的重要手段之一。通过打印信息可以看出设备存在哪些问题，如业务盘报错、ONU反复注册、数据配置错误以及安全问题漏洞等等。本例中就是通过打印信息和网络报文发现ONU内部木马进程以及网络协议异常，从而发现用户ONU被恶意程序侵入成为肉鸡，导致出现上网异常现象。细思俱恐，网络安全就是国家安全，网络安全为人民。网络安全靠人民！