家用路由器,已遭黑客攻击!

知道创宇安全研究团队联合央视做了关于家用路由器安全的专题“路由器暗埋网络安全地雷”已在CCTV13播出,最新的家用路由器攻击已经开始盯上网银了。而中国电信的安全团队(SOC)在去年也曾携手腾讯、阿里、百度、新浪、奇虎等小伙伴们,针对家庭宽带用户路由器DNS配置被劫持问题发出过预警,下图摘自中国电信2月28日官微。

这些漏洞的攻击方式大概两类: (1)用户上网过程中,访问一个恶意链接,路由器即被黑; (2)路由器公网 IP 暴露,黑客通过远程就能直接黑掉路由器;

我们知道一个攻击要风靡,不仅是在「学院」或「实验室」里进行概念验证,一旦工业化就会流行,今年有个非常重要的趋势:黑产盯上了家庭 / 公司路由器,通过漏洞技巧去篡改这些路由器的 DNS 服务器。这意味这:

用这个路由器上网的一批用户都被「劫持」了;上网流量被劫持,意味着上网隐私没了,密码、证书等都可能泄露;返回的页面可能被篡改植入广告、挂上木马之类的;

下面特别八卦八卦 TP-Link 与 D-Link 这两款国内最普遍的家用路由器。

1. TP-Link 路由器 DNS 劫持事件

这是近一年都在流行的攻击事件,危害很广。百度搜索上线了一个非常重要的策略,如果发现有网站被植入恶意篡改用户路由 DNS 的代码时,就会拦截页面,打出提示。据安全联盟的统计发现过万的网站被黑,植入了路由 DNS 劫持代码,这个数量非常之大。我身边已经有几位同学来和我说自己被劫持了,都只普通的网民。

说明路由 DNS 劫持攻击已经在风靡。

过去一段时间,我们团队就捕获了至少 5 个变种。这类攻击的模式一般是:

攻击者黑下一批网站;

攻击者往这批网站里植入路由 DNS 劫持代码(各种变形);

攻击者传播或坐等目标用户访问这批网站;

用户访问这些网站后,浏览器就会执行「路由 DNS 劫持代码」;

用户的家庭 / 公司路由器如果存在漏洞就会中招;

用户上网流量被「假 DNS 服务器」劫持,并出现奇怪的广告等现象;

虽然这次攻击主要针对 TP-Link 路由器,不过中招的路由不仅 TP-Link。我们捕获的样本还发现其他的。

2. D-Link 路由器后门

除了 TP-Link 被以这样的方式攻击外,D-Link 的攻击一般是 D-Link 后门:只要你的路由器有公网 IP,通过互联网可以访问到,黑客就可以直接进入你的路由器,并完全控制。

关于 D-Link 后门的科普图,大家可以看这里,了解个大概,非常有趣。

ZoomEye 团队前段时间绘制出了全球存在 D-Link 后门的受影响路由分布。如下图:

可以看到,全球的影响面,简直就是:黑遍全球……

注:针对家用路由器的攻击还在不断升级,我随时更新该回答。

针对广大用户,最靠谱的解决方案在这:

(一) 解决方案适合条件: 1. 如下路由器一般情况下都适合: TP-Link、D-Link、Apple的、华为的、中兴的、Tenda、极路由、小米路由、360的、磊科的、Linksys、Netgear、思科的、其它……

2. 如果使用了一些高级的漏洞,我到时候会及时预警,到时候你该换路由器就换个吧。

(二)解决方案:

1. 检查DNS是否正常

拿TP-Link举例,浏览器访问http://192.168.1.1(一般是这个,除非你改了),输入账号密码登录->网络参数->WAN口设置->高级设置->看看里面的DNS的IP是否勾选了“手动设置DNS服务器”。

->如果勾选了,说明你人工设置过。如果你并没人工设置过,那就得警惕是否被黑客篡改了。 ->如果没勾选,一般没事。 ->检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的得警惕,除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常的DNS IP也会有人讨论质疑,这个自己判断下,实在没把握你就设置DNS IP如下:

主DNS服务器为:114.114.114.114,备用DNS服务器为:8.8.8.8。

对于TP-Link还有一处设置DNS的地方:DHCP服务器->一般这里显示的是0.0.0.0,如果不是,则按上面方式检查下DNS IP是否正常。

(这里大家注意下:修改DNS请修改DHCP服务器里的,当DHCP没有设置DNS的时候,是继承WAN口的DNS的。如果DHCP设置了DNS,WAN口怎么改都没有用的,改WAN口可能导致别人网络故障,这个我不清楚。感谢@iceyes汪利辉 的提醒。顺便八卦下iceyes的路由安全也是研究很深入的。)

其他品牌的路由器类似这样的方法去做,这个自己摸索啦,很简单的。

如果发现被攻击的痕迹,重置路由器是个好办法,然后再进入下面步骤。

2. 修改路由器Web登陆密码

路由器一般都会有Web管理界面的,这个管理界面的登陆密码一定要记得修改。一般情况下,默认用户名是admin,密码是admin,把密码修改复杂点就行。

还是以TP-Link举例,浏览器访问http://192.168.1.1(一般是这个,除非你改了),输入账号密码登录->系统工具->修改登陆口令->然后你修改吧。

其他路由器类似,自己摸索。

3. 自己电脑配置好DNS

自己的电脑当然可以配置好DNS,这样就可以忽略路由器的各种DNS配置,你的上网请求会优先选择你本机的DNS配置,意味着路由器DNS劫持和你没任何关系。

不过得注意,你的路由器是不是只有你自己的电脑连接,你的手机呢?你的Pad呢?你的家人呢?每个都配置,多麻烦,所以还是照顾好路由器吧。

现在普遍信任的DNS服务器是,国内的114.114.114.114,国外Google的8.8.8.8,但如果这两个受信任的DNS服务器有猫腻的话,比如抓取用户上网隐私,然后牟利分析,那我们一定要曝光并狠狠抗议之- -!!!

完成1、2、3这几步后,就可以对抗近一年流行的路由器DNS劫持攻击了。

我更担忧的是高级攻击的到来,固件安全是个大话题,不仅路由器,还有网络摄像头,还有一些智能家居设备等,我给出的防御方案只是针对某种流行类型的,指不定下次会有新的流行方式出来。

黑客间的对抗一直在激烈进行,持续升温,你攻我防,你再攻我再防,一劳永逸是不可能的,唯有持续跟进。

原文发布于微信公众号 - 大数据文摘(BigDataDigest)

原文发表时间:2014-03-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

域名劫持事件频发 网站安全形势不容忽视

  6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析...

4296
来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

3026
来自专栏安恒信息

[科普]保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

3024
来自专栏FreeBuf

安全从业人员常用工具指引

简介 一直以来嫌麻烦没注册freebuf,总是以游客的身份在看一些东西,今天特此注册了一下,首先要表扬一下freebuf,安全验证比较给力,其次感谢平台收集并整...

5727
来自专栏黑白安全

查询使用CDN的网站的真实IP

1:先查一下分站的IP,许多状况是主站运用了 CDN 而分站没有运用。 相似这么www.xxx.com 运用了CDN ,那么 mail.code521.com ...

2382
来自专栏FreeBuf

从一次攻防平台搭建浅谈企业网络安全建设

本篇文章涉及到的知识点包括:IDS/IPS/防火墙的区别与部署位置;镜像端口、堡垒机的位置和注意细节;ACL访问控制列表和端口安全、VLAN安全,以及靶场以及日...

6063
来自专栏黑白安全

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。

1081
来自专栏FreeBuf

RSA2018 | 通过iOS Trustjacking漏洞远程渗透iPhone

赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接...

1713
来自专栏CIT极客

奇巧淫技丨校园“天翼校园宽带”破解,配置无线路由器上网!

2.3K7
来自专栏hadoop学习

Hadoop新手篇:hadoop入门基础教程

关于hadoop的分享此前一直都是零零散散的想到什么就写什么,整体写的比较乱吧。最近可能还算好的吧,毕竟花了两周的时间详细的写完的了hadoop从规划到环境安装...

1214

扫码关注云+社区

领取腾讯云代金券