大量用户系统损坏
近期,有不少使用爱快社区版的用户反馈,系统在晚间特定时间段遭到破坏。经推测,可能是某云通过预留的 IPsec 隧道后门,远程执行了删除 GRUB 引导文件并重启系统的操作,并将用户的 GWID 列入黑名单。
解决方法
通过抓包分析发现,WAN口频繁解析域名 as1.ikuai8.com 和 as2.ikuai8.com,并频繁建立 TCP 连接。为避免潜在的后门隧道建立,可采取以下措施:
如果上级设备具备防火墙功能
可在防火墙中劫持*.ikuai8.com的解析,将其重定向到127.0.0.1
,从而阻断后门隧道的建立。如果设备不具备防火墙功能
在 ACL 策略中直接阻断上述两个域名的所有解析记录,以彻底切断相关连接。
通过以上配置,可以有效避免后门隧道建立。
评论区