2018年11月29日，一个假名@TheHackerGiraffe的Twitter用户“黑客”了50,000多名网络打印机和印刷传单，敦促他们订阅某个PewDiePie YouTube频道。 他说，他想以此方式提高偶像的知名度，而后者在YouTube订阅人数方面正在争夺第一名。

黑客能够轻松访问50,000台打印机的有趣之处在这里。 在Reddit上的AMA问答环节中，一名黑客透露了此黑客的详细信息。 事实证明，其中没有什么复杂的。 此外，可以在Web上免费获得利用旧打印机固件中的许多漏洞的软件工具。 不幸的是，实际上任何人都可以重复此技巧。

插图：在原始端口9100上打印

ZDNet 写道 ，数千种打印机上的消息引起了轰动，就像它们出现在不同公司的许多设备上一样：从大型公司中的高质量多功能打印机到加油站和饭店中的小型便携式收据打印机。


2018年11月29日，全球有50,000多台打印机打印了此消息。 这张照片是由受影响的英国布莱顿IT管理员在Twitter上发布的 。 Twitter上许多类似的照片之一

此促销活动是PewDiePie粉丝发起的大型运动的一部分。 他们现在正在社交网络上为瑞典博主开展艰苦的活动，以保持订户数量的领先地位：他目前拥有7260万订户，而竞争对手T系列频道拥有7250万订户。

打印机仅显示一条文本消息，要求他们订阅该频道。

类似的黑客

当前有50,000台打印机被黑客入侵并非唯一。 这种情况屡屡发生。 例如，黑客weev （本名安德鲁·奥伊海默）在2016年3月24日做了类似的事情，他在数千台网络打印机上显示了种族主义和反犹太主义消息 。 有趣的是，Auerheimer加入了“白人运动”的监狱，在那里他因先前的计算机黑客犯罪而被判刑41个月。

2017年2月，另一位黑客Stackoverflowin重复了这一技巧，他在超过15万台打印机上打印了愚蠢的图纸 。


发布Stackoverflowin

技术细节

正如我们已经说过的，黑客的技术方面并不是特别困难。 @TheHackerGiraffe 说他是无聊的：“在玩《命运2》四个小时后，我感到无聊，所以我决定要砍死一个人。”


为了搜索易受攻击的设备，传统上使用Shodan搜索引擎。 它允许您指定端口号和协议-并获取具有IP地址的Internet上可以免费打开该端口的网络设备的列表。

最后一次攻击是针对具有开放IPP（Internet打印协议），LPD（行式打印机守护程序）端口和端口9100的打印机的。然后，编写脚本以将PostScript文件发送到接收到的IP地址和指定的端口，该端口立即被接受以进行打印。


打开端口的打印机数量为9100。Shodan搜索引擎的屏幕截图（2018年12月2日）

在Reddit AMA中，黑客@TheHackerGiraffe表示，他只向5万台打印机发送了邮件，尽管他本可以使用更多：搜索引擎返回了超过800,000台未打补丁的打印机，这些打印机都在Internet上设置了IPP，LPD和JetDirect协议。 但是黑客只选择了50,000台具有9100个开放端口的打印机。

可以从Shodan下载易受攻击的打印机列表。 然后，黑客获取了打印机利用工具包（PRET），该工具包的源代码在Internet上免费发布，并用于将其连接到打印机。 顺便说一句，PRET不仅使您可以打印消息，还可以访问内部网络，文件，甚至损坏打印机。


打印机利用工具包体系结构（PRET）

2017年1月，该程序由一组研究人员上传，并就网络打印机的灾难性安全性进行了科学研究。 在工作中，他们详细描述了20多种使用旧固件的网络打印机型号中的六个漏洞。 该工具旨在测试网络并搜索漏洞。

@TheHackerGiraffe启动了这样的bash脚本 。 该脚本获取带有Shodan的打印机列表（ potential_bros.txt ），并使用commands.txt中指定的commands.txt循环遍历每个PRET IP地址：

 #!/bin/bash while read -r line; do ip="$line" torify ./PRET/pret.py $ip pjl -q -i ./commands.txt done < "./potential_bros.txt" 

commands.txt的内容：

 print ./message.pdf display HACKED quit 

由于IP地址数量众多，因此最好在服务器上的某个位置运行脚本。


实际攻击，来自服务器的屏幕截图。 照片： @TheHackerGiraffe

@TheHackerGiraffe并不认为其行为是非法的，因为打印机是通过Internet自由开放以进行控制的：“想象一下Internet上的一个大“ Print”按钮， ”他说 。

无论黑客攻击和愚蠢的使用目标如何，当前事件都说明了很多有关保护网络设备的问题（更确切地说，是缺乏这种保护）。 如您所见，大量用户没有考虑更新固件，也没有关注补丁的发布。 但是，这早已为人所知，现在仅清楚地表明了可能的结果。

@TheHackerGiraffe写道：“人们低估了攻击者利用此漏洞造成严重混乱的可能性。他们可以窃取文件，安装恶意软件，对打印机进行物理损坏，甚至将打印机用作内部网络上进一步攻击的桥头堡。” ”。

但是，打印机不是最有趣的目标。 例如，Shodan找到了大约190,000个打开的FTP服务器...

---