大工网安告[2020]005号

一、情况分析

近期，某论坛里发出来的，51万互联网服务器，交换机，路由器和物联网等设备的账号密码泄露了，随机尝试登陆了一下，确实可以登录。

二、影响范围

这次泄露的数据中，一共51万6千多条数据中，中国的ip占据了24.8万个，全国各省排名见下图。

这个危害很大，这些账号和密码泄露，等于设备是人家的了，如果通过命令把这些设备重启，关闭，初始化，或者内网ip映射公网，或者更改参数，后果会很严重。或者利用一些命令发起ddos攻击，几十万台设备发起ddos攻击还是很可怕的，去年美国遭到历史上最大规模的ddos攻击就是控制了物联网设备，利用物联网设备发起的攻击，瘫痪了半个美国。

三、处置建议

警告：各单位尽快开展自查。

1. 如果可以的话，关闭telent服务，禁止telnet登录。

2. 建议设备厂商初始账户密码不要用admin/admin，root/root，root:klv123，root:12345，root:1234567890，user/user，test/test等，这些弱口令是在文件中发现的，因为大部分用户是不会改的，或者忘记改的。

3. 自查是否其他账户存在弱口令，如果有尽快修改。

4. 查看登录日志，是否有异常登录行为或攻击行为。

5. 主动查杀后门程序。