嗯,还好……

被黑?

路由器——前面改路由器设置的时候,顺便看了一眼 DHCP 租约列表,然后发现冒出来个没见过的设备 IP 是 192.168.0.210。

因为常用的电脑和设备我都有手动指定 192.168.0.200 以下的 IP 地址。DHCP 服务器设置的 DHCP IP 地址范围是 0.200 到 0.220,通常临时接入的设备才会被自动分配到这个范围的 IP,所以突然冒出来个末尾是 200 多的,甚是惹眼。

这个设备的 MAC 地址开头是 94:53:30,查下来是 Hon Hai (鸿海,也就是 Foxconn)。Host name 是 android-xxxxxxxxxxxx。很典型的 Android 设备的特征。不过身边的 Android 手机、平板没有这个 MAC 的。

排查

SSH 进去 路由器查了下 Log,这个 IP 还是从 WLAN 进来的。不过手边唯一和 Foxconn 有关的是一块主板,而且作有线路由器在用。而且板载网卡的 MAC 也不是这个开头。

查了下最近的 Log 还真是每天都有——难道路由器被破了?我 WLAN 设定的是 WPA2 而且密码也是 20 多位的复杂密码,应该不至于吧。不过这种感觉真是不好,感觉好像被人偷窥了一样,看美剧 CM 或者 POI 里面黑入这个黑入那个的时候倒是很爽,但是轮到自己疑似被黑,感觉就没有那么好了。

过了下今年的 Log 文件,几乎每天都有,而且一天好几次。这黑客是在附近扎根了?不过日志里看到 DHCP 请求租约的时间全天都有,白天晚上凌晨都不固定——这家伙是修仙了吗?

线索

又把 Log 看一遍,看的时候注意到,每次来自这个 MAC 的 DHCP 请求出现的前后,都有 MAC 10:4f:a8 开头,来自我的 SONY Android 电视机的 DHCP 请求。这台电视机买来后一开始用的是 WLAN 联网,后来我觉得信号不好,当天就把 WLAN 关闭后用网线直接连接了。之前是有遇到过偶尔 WLAN 自己打开的情况,难道这次也是这个原因?

打开电视机,进入网络状态查看——咦,只有 LAN 的信息。大概是插着网线的关系,把网线拔掉后,就可以看到 WLAN MAC 地址了——还真的就是它!

最后

有时候的确不能完全靠 MAC 地址来判断。就和我的笔记本一样,LAN 是品牌机厂家的 MAC 地址,而 WLAN 就是 Intel 的 MAC 地址。因为这台电视机的 WLAN 就用过那么一小会儿,所以我也对 WLAN 的 MAC 地址没有印象。前面看到个陌生的设备还以为网络被黑了,虽然怀疑过电视机,但是先入为主的认为 WLAN 的 MAC 也应该是 SONY 的——然而并不是。这么说来这台电视机很可能是 Foxconn 代工的咯?

话说回来,这电视机的 WLAN 怎么会自动打开呢?我觉得可能性有几点:
1、安装的某些 APP 自动开启了 WLAN (因为这台电视机权限设置里有很多选项,但是唯独没有 “开启 WLAN” 相关权限的设置)。
2、LAN 的连通性原因导致电视机自动切换到 WLAN。

反正我找出了问题后就到电视机设定里,把之前保存的 WLAN 网络删了,这样就算再出现这种情况也不会在路由器里再冒出来一个莫名其妙的 DHCP 客户端了。

我去,搞了半天还好是虚惊一场,算是万幸。

Wanna Cry?

Last weekend was definitely not a normal weekend. The flare out of the computer worm virus WannyCry[1] screwed lot of people’s weekend. It’s been quite long since last mass computer virus outbreak which I can remember was the Blast worm virus[2] back in 2003.

The virus takes advantage of the exploit MS17-010[3] in Windows’ SMB server, it use port 445 to get control of an unpatched computer, and then use this computer to infect more computers on the network. This time, the exploit affects almost every PC running Windows.

Especially for the PC still running outdated version like Windows XP which is widely used in my local banks, companies, stores, gov departments …, etc. Microsoft released a patch[4] for these end-of-life OSes on May 12th, which is very unusual. Continue reading Wanna Cry?

中国电信宽带下载被劫持至缓存服务器

好久没po文(对,就是懒),这回又被中国电信炸出来了……

长话短说,前面在 www.rarlab.com 官网下载新版 WinRAR,结果duang——Firefox冒出来个警告(图1)。

20161119-ctc-1(图1)

肿么了?是川普大大拿俄国企业开刀了?(划掉)

Continue reading 中国电信宽带下载被劫持至缓存服务器

metanet买了个域名

“赵钱孙”因为洒家的姓氏拼音是Li正好和列支顿士敦的国家域名一样,于是之前就有考虑去弄个姓名全拼域名。然而 .li 域名奇货可居,有出售这个域名的代理商本来就不多,而且价格往往不便宜(和 .com 相比的话贵了不少)。比如name.com上,.li域名要价$15.99USD,而便宜又大碗的namesilo上又没有.li卖。

好吧,要找东西当然就要放狗,搜了半天,找到metanet.ch这家瑞士网站有注册.li域名,10.75CHF一年(其实最后发现这个是含税价格,扣去税款后为9.95CHF),比Name.com便宜不少。因为.ch/.li这两个ccTLD本来就是瑞士注册局SWITCH管的,所以瑞士的公司应该也是近水楼台。 Continue reading metanet买了个域名

刚才HE IPv6 Tunnelbroker的LAX服务器貌似又抽风了

20160428 1950 GMT+8 连接不能

出问题的是 66.220.18.42 这个Tunnelbroker的IPv4 Endpoint server,位于LAX。
之前几周有过间歇性故障,当时以为是路由器设置问题——因为故障短暂,通常重启路由器后就恢复了。今天下午出现过间歇性中断问题。前面晚上大概从19点50分开始就ping不通了。

66.220.18.42

以为是伟大的长城终于对HE出手了,不过试了下ping.chinaz.com上的海外节点ping这个服务器,大部分都超时(下图点击可放大)。

ping.chinaz.com.66.220.18.42

在自己的VPS上测试了下也超时。

$ ping 66.220.18.42
PING 66.220.18.42 (66.220.18.42) 56(84) bytes of data.
^C
--- 66.220.18.42 ping statistics ---
85 packets transmitted, 0 received, 100% packet loss, time 83999ms

暂时切换到了FMT服务器(72.52.104.74),目前一切正常。

72.52.104.74


20160428 2005 GMT+8 恢复

文章还没写完,试了一下,已经恢复了。

66.220.18.42_OK

来得快去得也快。不过这几天暂时还是先用FMT服务器。
其实本来首选LAX服务器的原因是比FMT的Ping稍微低一些,而且hop数少。(大约今年早些时候我的ISP有所调整,现在2个机房从我这里Trace过去就差一个hop,以前要差3个hop。Ping值一般FMT比LAX多10-30ms,不过非高峰时段2个机房的Ping可以十分接近,甚至有时候倒过来——大概LAX国内用的人比较多?)
但是间歇性抽受不了啊,暂时先换回FMT的服务器了。