新闻链接：988K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3x3e0f1J5y4e0u0Q4x3X3g2Z5N6r3#2D9
新闻时间：2013-10-25
新闻正文:
钟馗之眼(ZoomEye)关于D-Link后门的统计分析报告
pnig0s @ 资讯 2013-10-25 共 2656 人围观，发现 6 个不明物体Favorite收藏该文
背景
安全研究员逆向工程发现嵌入式设备商台湾友讯科技（D-Link）路由器多个型号
使用的固件系统中存在后门。D-Link 的固件由其美国子公司Alpha Networks开发。黑客只需要将浏览器User-Agent标志修改为：xmlset_roodkcableoj28840ybtide，再访问路由器IP地址，即可无需经过验证访问路由器的Web管理界面修改设备设置。
影响型号包括：
DIR-100、
DIR-120、
DI-524、
DI-524UP、
DI-604S、
DI-604UP、
DI-604+、
TM-G5240、
BRL-04R、
BRL-04UR、
BRL-04CW、
BRL-04FWU
其中后门字符串roodkcableoj28840ybtide从后往前读是“Edit by 04882 Joel Backdoor”，其中Joel可能是Alpha Networks的资深技术总监Joel Liu。不知道这是否是故意留的后门，  考虑到这家公司的开发团队是美国的公司，不知道是否与斯诺登事件是否有关联。
ZoomEye.org全球数据统计：
知道创宇安全研究团队，利用大数据扫描分析，绘制了全球范围内D-Link的部署地图。截图如下：

公网上可访问的D-Link设备有 62460个。
受影响的型号分布

根据报道受影响的版本，在公网可访问数量占公网上可访问的全部D-Link数量比例为：

参考：
关于后门的原始分析信息参考：69cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8W2N6Y4c8@1P5i4x3H3i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4x3#2)9J5c8U0p5H3i4K6u0r3M7X3g2$3k6i4u0K6k6g2)9J5k6r3g2F1k6$3W2F1k6h3g2J5K9h3&6Y4i4K6u0V1j5g2)9J5k6r3c8Q4x3X3c8D9K9h3&6C8i4K6u0V1j5X3q4U0K9$3c8G2L8%4u0Q4x3V1k6t1h3g2m8q4f1V1I4u0e0V1E0Q4x3U0k6F1j5Y4y4H3i4K6y4n7  
中文翻译：63bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2B7L8$3u0T1L8$3I4W2i4K6u0W2j5$3!0E0i4K6u0r3y4o6V1&6y4e0W2Q4x3V1j5`.
我是如何反编译D-Link路由器固件程序并发现它的后门的
001K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4N6A6M7X3g2D9k6i4y4K6i4K6u0r3x3e0b7&6y4U0c8Q4x3X3g2Z5N6r3#2D9
如文中未特别声明转载请注明出自：FreebuF.COM

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课