前言

lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具，可用作访问内网网站、本地支付接口调试、SSH访问、远程桌面等等，而且带Web在线管理面板，添加端口配置十分简单，一旦网内存在lanproxy通信行为，则说明网内有主机已经失陷，网络安全将面临重大威胁。

友创佳业在为客户提供7*24小时的MSS安全运营过中，发现有一些客户处突然爆发异常的lanproxy通信行为，经过安服部门分析确认后，发现此事较为典型，特把此类现象简单汇总成此文以供大家了解知悉。

事件过程

2022-09-12日监测到A单位内网主机访问118.212.238.227

2022-10-18监测到B单位内网主机访问116.196.122.203

2022-11-11监测到C单位内网主机访问116.153.10.58

2022-12-28监测到D单位内网主机访问 114.67.244.204

如上述事件存在多起，有多个可疑互联网IP，此处不再赘述。

从相关的IP的关联情报来看，此类IP没什么恶意情报，均为国内公有云厂商分配的公网IP，如京东云、ucloud、阿里云等。从行为、流量特征上看很可疑，但从经验来看，应该并非黑客或红队针对各个用户发起的攻击。

任一举例：

鉴于lanproxy通信行为实在是太可疑，于是进一步人工分析，发现所有相关的IP上，暴露了N个端口，且特征高度一致，于是任选IP如116.196.122.203、114.67.244.204分析，发现其8090端口部署有MeroConnect服务（MeroConnect基于lanproxy开发）：经过尝试，获得相关系统的管理员账号与密码，登录后发现有数万个客户端连接信息，且实时变动。

114.67.244.204账号admin登录后获取的信息：

116.196.122.203账号admin登录后获取的信息：

有这么多客户端反连过来，此时感觉此现象更加可疑，于是进一步分析：

在多个服务器上简单找了一下线索，线索存在极高共性，过程中发现历史命令中有这么个账号比较有意思：

再简单找到了一下线索，发现如下公钥信息，其中wei*****[email protected]和命令行中的weisong账号对应上了

其使用的相关数据库，如mysql、redis也是京东云提供的服务：

mgtv.com为芒果TV，访问如下：

mgtv.com备案信息如下：

工商信息如下，通俗来说和湖南电视台相关，是湖南广电旗下唯一互联网视频平台：

和其中一个客户交流排查后，发现其内网IP对应的设备为智能电视

结语

简单通过上述因素如：相关服务部署在国内各大公有云上、对应的账号信息、邮箱、域名等线索初步判断，遇到的上述情况的lanproxy通信行为，是智能电视（电视盒子）、pc或移动端相关软件基于某种服务需求去连接了mgtv的某些服务。

相关内网ip存在单一、低频的lanproxy通信行为外，并未发现其他可疑行为，安服同事已经协助客户封锁了可疑的互联网IP与分析查找出的关联域名。

往期回顾