Shodan Tìm Thấy Modem Của Bạn — Hướng Dẫn Kiểm Tra & Ẩn Thiết Bị Khỏi Công Cụ Tìm Kiếm Hacker - Blog Technology

Tin mới

Blog Technology

Blog công nghệ VNPT - Hướng dẫn firmware, thủ thuật mạng, AI và công nghệ mới nhất tại Việt Nam.

Post Top Ad

Post Top Ad

Thứ Năm, 7 tháng 5, 2026

Trang chủ Bảo mật Hướng dẫn Thủ thuật - Tiện ích Shodan Tìm Thấy Modem Của Bạn — Hướng Dẫn Kiểm Tra & Ẩn Thiết Bị Khỏi Công Cụ Tìm Kiếm Hacker

Shodan Tìm Thấy Modem Của Bạn — Hướng Dẫn Kiểm Tra & Ẩn Thiết Bị Khỏi Công Cụ Tìm Kiếm Hacker

Shodan tìm thấy modem của bạn - kiểm tra và ẩn thiết bị khỏi hacker

Modem/router tại nhà bạn đang là mục tiêu số 1 của hacker năm 2026 — không phải máy tính, không phải điện thoại. Hàng chục nghìn thiết bị mạng tại Việt Nam đã bị lộ thông tin trên Shodan mà chủ nhà hoàn toàn không hay biết.

Khi modem bị chiếm quyền kiểm soát, hacker có thể đọc toàn bộ dữ liệu bạn gửi/nhận (kể cả mật khẩu ngân hàng), chuyển hướng trang web sang trang lừa đảo, biến thiết bị thành zombie tấn công DDoS — trong khi bạn hoàn toàn không biết. Bài viết này cung cấp hướng dẫn kiểm tra và 5 bước ẩn modem khỏi Shodan, áp dụng được cho mọi modem VNPT, TP-Link, Zyxel, D-Link đang dùng tại Việt Nam.

Từ khóa: shodan modem việt nam, kiểm tra modem bị lộ internet, ẩn router khỏi shodan, router bị shodan scan, bảo mật modem vnpt, cổng 23 7547 nguy hiểm.

📋 Mục lục bài viết
  1. Shodan là gì và tại sao hacker dùng nó?
  2. Hướng dẫn tra IP WAN trên internetdb.shodan.io
  3. Các cổng nguy hiểm: 23, 7547, 80 và ý nghĩa thực tế
  4. Checklist 5 bước ẩn modem khỏi bản đồ Shodan
  5. Câu hỏi thường gặp (FAQ)
  6. Kết luận
2M+
Thiết bị VN trên Shodan
7547
Cổng bị khai thác nhiều nhất
1×/tuần
InternetDB cập nhật dữ liệu

1Shodan là gì và tại sao hacker dùng nó?

Shodan là công cụ tìm kiếm đặc biệt — không tìm kiếm website như Google, mà tìm kiếm thiết bị kết nối internet: modem, router, camera IP, server, tủ lạnh thông minh, thậm chí hệ thống điều khiển công nghiệp. Được tạo năm 2009 bởi John Matherly, Shodan thường được gọi là "Google dành cho hacker".

Cách Shodan hoạt động

Shodan liên tục gửi gói tin đến hàng tỷ địa chỉ IP toàn cầu. Khi một thiết bị phản hồi — ví dụ modem nhà bạn trả lời qua cổng 80 — Shodan ghi lại: địa chỉ IP, cổng đang mở, firmware đang chạy, tên nhà sản xuất và các lỗ hổng CVE đã biết. Lưu ý quan trọng: công cụ tra cứu miễn phí InternetDB (dùng trong bài này) được cập nhật 1 lần/tuần — Shodan API trả phí mới là dữ liệu real-time. Điều này có nghĩa là sau khi bạn bảo mật modem, phải chờ tối đa 7–10 ngày mới thấy kết quả thay đổi trên InternetDB.

⚠️
Nguy hiểm thực tế

Hacker chỉ cần gõ country:VN port:7547 vào Shodan để nhận danh sách hàng chục nghìn modem Việt Nam đang mở cổng TR-069 — cổng vốn dùng cho ISP quản lý từ xa nhưng thường bị khai thác để chiếm quyền điều khiển toàn bộ thiết bị.

Tại sao modem Việt Nam đặc biệt dễ bị tổn thương?

Hầu hết modem từ VNPT, Viettel, FPT đều được cài đặt với mật khẩu mặc định (admin/admin hoặc admin/1234) và nhiều cổng quản lý mở sẵn để nhân viên kỹ thuật truy cập từ xa. Vấn đề là các cổng này thường không được đóng lại sau khi cài đặt, tạo lỗ hổng cho bất kỳ ai tìm thấy qua Shodan.

2Hướng dẫn tra IP WAN trên internetdb.shodan.io

Trước khi phòng thủ, bạn cần biết modem mình trông như thế nào từ phía internet. InternetDB của Shodan cho phép tra cứu miễn phí, không cần đăng ký tài khoản.

Bước 1 — Tìm địa chỉ IP WAN của bạn

  • Truy cập whatismyip.com hoặc gõ "IP của tôi" vào Google — kết quả chính là IP WAN
  • Đăng nhập trang quản trị modem (192.168.1.1) → vào mục WAN Status hoặc Network → WAN
  • Gọi tổng đài nhà mạng hỏi IP WAN hiện tại của tài khoản
💡
Lưu ý về CG-NAT

Nếu IP WAN của bạn bắt đầu bằng 100.x.x.x hoặc 10.x.x.x, bạn đang dùng CG-NAT. Modem không có IP public trực tiếp, rủi ro từ Shodan thấp hơn — nhưng vẫn nên kiểm tra để chắc chắn.

Bước 2 — Tra cứu trên InternetDB Shodan

Sau khi có IP WAN, truy cập URL sau (thay YOUR_IP bằng IP thực của bạn):

URL tra cứu
https://internetdb.shodan.io/YOUR_IP # Ví dụ: https://internetdb.shodan.io/203.113.xxx.xxx

Đọc kết quả JSON trả về

Ví dụ kết quả — Modem Huawei HG532 đang bị lộ
{ "ip": "203.113.xxx.xxx", "ports": [23, 80, 7547], "hostnames": ["static.vnpt.vn"], "tags": ["isp"], "vulns": ["CVE-2017-17215"], "cpes": ["cpe:/h:huawei:hg532"], "country_code": "VN" }
🚨
Kết quả nguy hiểm — Cần xử lý ngay!

Nếu trường "ports" chứa 23, 7547 hoặc 80, và trường "vulns" không rỗng — modem của bạn đang bị lộ với lỗ hổng đã được hacker biết đến. Đọc tiếp phần 3 và 4 để xử lý ngay.

3Các cổng nguy hiểm: 23, 7547, 80 và ý nghĩa thực tế

Không phải mọi cổng mở đều nguy hiểm như nhau. Bảng dưới đây đánh giá chi tiết các cổng phổ biến nhất trên modem gia đình Việt Nam:

Cổng Giao thức Mức độ rủi ro Hacker có thể làm gì?
23 Telnet ● Cực kỳ nguy hiểm Đăng nhập không mã hóa, brute-force mật khẩu, chiếm quyền root modem trong vài giây
7547 TR-069/CWMP ● Nguy hiểm cao* Khai thác lỗ hổng Mirai botnet (CVE-2017-17215), thực thi lệnh từ xa, biến modem thành bot DDoS. *Chỉ nguy hiểm với thiết bị có triển khai TR-064 lỗi — không phải mọi modem có cổng 7547 mở đều bị lỗ hổng
80 HTTP Admin ● Nguy hiểm cao Truy cập trang quản trị, thay đổi DNS sang DNS độc hại, theo dõi toàn bộ traffic
8080 HTTP Alternate ● Nguy hiểm cao Proxy hoặc panel quản trị thay thế, khai thác tương tự cổng 80
443 HTTPS Admin ● Trung bình An toàn hơn cổng 80 nhưng vẫn nên đóng nếu không cần truy cập từ xa
21 FTP ● Trung bình Truy cập USB/ổ cứng gắn vào modem, đọc/ghi file, leo thang đặc quyền
🛡️
Sự thật về cổng 7547 — Quan trọng cần hiểu đúng

TR-069 (CWMP) là giao thức hợp lệ để nhà mạng quản lý modem từ xa. Thấy cổng 7547 mở không tự động có nghĩa là modem bị lỗ hổng. Vụ botnet Mirai 2016 thực ra khai thác lỗi triển khai TR-064 (không xác thực HTTP) trên một số router cụ thể — không phải TR-069. CVE-2017-17215 ảnh hưởng Huawei HG532; CVE-2018-10561 ảnh hưởng Dasan GPON. Kiểm tra trường "vulns" trong kết quả InternetDB — nếu không có CVE nào → cổng 7547 mở nhưng chưa có lỗ hổng được biết đến.

4Checklist 5 Bước Ẩn Modem Khỏi Bản Đồ Shodan

Không thể xóa modem khỏi Shodan ngay lập tức — dữ liệu cũ vẫn còn trong cache. Nhưng bạn hoàn toàn có thể khiến modem ngừng phản hồi các yêu cầu quét từ bên ngoài, khiến Shodan không còn thấy gì trong lần quét tiếp theo.

1
Đổi mật khẩu admin ngay lập tức

Đăng nhập vào trang quản trị modem (192.168.1.1 hoặc 192.168.0.1), tìm mục System → Account Management hoặc Administration → Password. Thay mật khẩu mặc định admin/admin bằng mật khẩu mạnh ít nhất 12 ký tự, bao gồm chữ hoa, số và ký tự đặc biệt. Đây là bước cấp thiết nhất — mật khẩu mặc định là lý do số 1 modem bị chiếm quyền.

⚡ Ưu tiên cao nhất
2
Tắt Telnet và SSH từ phía WAN

Vào mục Security → Remote Management hoặc Advanced → Remote Access. Tắt toàn bộ quyền truy cập Telnet (cổng 23) và SSH (cổng 22) từ phía WAN (internet). Nếu modem không có tùy chọn này, hãy liên hệ nhà mạng yêu cầu vô hiệu hóa. Đây là cách hiệu quả nhất để ẩn khỏi Shodan vì scanner sẽ không nhận được phản hồi.

🔒 Bảo mật cốt lõi
3
Xử lý cổng 7547 (TR-069) — Đọc kỹ trước khi làm

⚠️ Cảnh báo quan trọng: Cổng 7547 là giao thức TR-069 mà nhà mạng (VNPT, Viettel, FPT…) dùng để quản lý và cập nhật modem từ xa. Tự ý chặn hoàn toàn cổng này có thể làm mất kết nối quản trị của nhà mạng, gây lỗi dịch vụ hoặc mất khả năng cập nhật firmware tự động. Cách xử lý đúng: Gọi tổng đài kỹ thuật nhà mạng và yêu cầu họ giới hạn truy cập cổng 7547 chỉ từ dải IP ACS server của họ, không mở cho toàn internet. Đây là cấu hình phía nhà mạng, không phải phía người dùng. Chỉ tự chặn nếu bạn hiểu rõ và chấp nhận mất tính năng quản lý từ xa của ISP.

🛡️ Phòng botnet Mirai — Nhờ nhà mạng xử lý
4
Tắt HTTP/HTTPS Remote Admin

Tắt hoàn toàn khả năng đăng nhập vào trang quản trị modem qua internet. Tìm tùy chọn Remote Management, WAN Management hoặc Allow WAN access to admin interface — đặt về Disabled. Bạn vẫn quản lý modem từ mạng LAN bình thường. Bước này loại bỏ hoàn toàn khả năng Shodan index trang quản trị của bạn.

🌐 Đóng cửa sổ quản trị
5
Cập nhật firmware và bật firewall SPI

Kiểm tra firmware modem đang chạy so với phiên bản mới nhất từ nhà mạng. Firmware cũ thường chứa lỗ hổng CVE mà Shodan liệt kê công khai. Đồng thời bật Stateful Packet Inspection (SPI) Firewall trong phần Security để lọc các gói tin bất thường. Xem tổng hợp firmware VNPT mới nhất tại Blog Technology để biết phiên bản phù hợp.

🔄 Cập nhật định kỳ
Kiểm tra lại sau 7–10 ngày

Sau khi thực hiện 5 bước trên, hãy chờ 7–10 ngày rồi kiểm tra lại tại internetdb.shodan.io. InternetDB được cập nhật 1 lần mỗi tuần nên cần thời gian phản ánh thay đổi — không phải real-time. Nếu kết quả trả về {"detail":"No information available"} hoặc danh sách cổng rỗng — bạn đã ẩn thành công.

5Câu hỏi thường gặp (FAQ)

Shodan có hợp pháp không? Dùng Shodan có bị phạt không?

Shodan hoàn toàn hợp pháp và được sử dụng rộng rãi bởi chuyên gia bảo mật, nhà nghiên cứu và quản trị viên hệ thống để kiểm tra cơ sở hạ tầng của chính họ. Tuy nhiên, dùng Shodan để tấn công hoặc truy cập trái phép vào thiết bị người khác là vi phạm pháp luật tại Việt Nam theo Điều 224 Bộ luật Hình sự.

Shodan có thấy modem sau CG-NAT không?

Nếu IP WAN bắt đầu bằng 100.64.x.x hoặc 10.x.x.x, Shodan thường không quét trực tiếp được thiết bị của bạn. Nhưng nếu bạn có IP public thực, modem hoàn toàn có thể bị phát hiện và index.

Đổi IP có thoát khỏi Shodan không?

Chỉ là giải pháp tạm thời. Shodan quét toàn bộ không gian IPv4 (~4 tỷ địa chỉ) theo chu kỳ đều đặn — IP mới của bạn sẽ được quét trong vòng vài tuần. Giải pháp thực sự là đóng các cổng không cần thiết, không phải đổi IP.

Modem VNPT iGate, SmartBox có bị ảnh hưởng không?

Có. Các dòng iGate GW020, GW040, ZTE ZXHN H108N, SmartBox VNPT đều có lịch sử được ghi nhận trên Shodan với các cổng mở mặc định. Đặc biệt firmware cũ của dòng iGate từng có lỗ hổng Telnet với mật khẩu mặc định được công bố công khai trên các diễn đàn.

6Kết luận

Shodan không phải kẻ xấu — đây là công cụ trung lập giúp cả hacker lẫn chuyên gia bảo mật nhìn thấy internet như nó vốn là. Vấn đề nằm ở chỗ modem của bạn đang quảng bá sự tồn tại của mình ra toàn cầu mà bạn không hay biết.

Chỉ cần 15–30 phút thực hiện đủ 5 bước trong checklist trên, bạn đã loại bỏ phần lớn rủi ro bị hacker tìm thấy qua Shodan. Đây không phải việc của chuyên gia IT — đây là việc của bất kỳ ai sở hữu modem kết nối internet tại Việt Nam.

📌
Tóm tắt nhanh — 5 bước bảo vệ modem

① Đổi mật khẩu admin → ② Tắt Telnet/SSH từ WAN → ③ Liên hệ nhà mạng giới hạn cổng 7547 → ④ Tắt HTTP Remote Admin → ⑤ Cập nhật firmware + bật SPI Firewall. Kiểm tra lại sau 7–10 ngày tại internetdb.shodan.io.

Tags: Bảo mật Modem VNPT Thủ thuật Router Hướng dẫn
📄 Bài viết liên quan
Firmware
[Update] Tổng hợp Firmware iGate | Mesh | ZTE | Dasan | SmartBox VNPT 2026
Hướng dẫn
Hướng Dẫn NAT PORT Modem Gpon GW040 VNPT — Xem Camera Qua Internet
Firmware
Cập nhật Firmware G6.16A.04RTM cho ONT iGATE GW040 — Tối ưu WiFi
Mạng Mesh
Hướng dẫn thiết lập mạng Mesh kết nối qua WiFi cho VNPT SmartBox
Tags
Author Image

About Blog Technology

Posted by: at
Tags: , ,

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

Post Top Ad

Author Details

Blog Technology - Mục đích chia sẻ những bài viết hữu ích, chất lượng, uy tín cho mọi người.