欢迎光临
我们一直在努力

腾讯云DNSPOD发现大量家用路由器遭到劫持 DNS被篡改为恶意服务器

据腾讯云 DNSPOD 公众号发布的消息,近期 DNSPOD 发现大量家用路由器的 DNS 解析配置被篡改,从而影响网站或 App 的正常访问。

这种情况最早从 2024 年 5 月开始出现,到 8 月 5 日集中爆发并达到峰值,截止至 8 月 7 日经过测试确认,导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复,但受 TTL 及客户端缓存影响,客户端的恢复时间有一定的滞后性。

腾讯云DNSPOD发现大量家用路由器遭到劫持 DNS被篡改为恶意服务器

路由器被黑客控制并修改为恶意 DNS 服务器:

针对路由器的劫持活动屡见不鲜,这种攻击通常是在互联网上扫描暴露的路由器,然后通过默认密码、路由器固件漏洞或常用密码进行爆破取得路由器的管理权限。

获得管理权限后黑客就可以将路由器的默认 DNS 服务器修改为恶意服务器,恶意服务器在用户访问时会返回钓鱼网站、虚假网站或跳转到非法网站等。

DNSPOD 发现的恶意 DNS 地址包括:

  • 122.9.187.125
  • 8.140.21.95
  • 101.37.71.80
  • 47.102.126.197
  • 118.31.55.110
  • 47.109.22.11
  • 47.113.115.236
  • 47.109.47.151
  • 47.108.228.50
  • 39.106.3.116
  • 47.103.220.247
  • 139.196.219.223
  • 121.43.166.60
  • 106.15.3.137

用户可以登录路由器管理页面找到 DNS 服务器的配置,检查 DNS 服务器是否有上面的 IP 地址,如果有则说明路由器已经遭到入侵,建议直接重置然后重新更换账号密码确保安全性。

如果路由器 DNS 地址不在上面的 IP 列表中,则可以通过如下方法进行检查:

1. 域名解析记录 TTL 被修改为 86400 秒,即域名解析记录会被缓存 1 天

可以在 Mac 或 Linux 系统中打开命令提示符输入 dig @122.9.187.125 dnspod.cn

其中 @122.9.187.125 为示例 DNS 服务器 IP,请检查你的路由器查看 DNS IP 地址,将其替换到上面的命令中,如果执行命令后返回的信息包含 86400 则可能代表被黑。

2. 存在间歇性大量域名无法正常解析的情况,返回 NXDOMAIN + 错误的 SOA 记录,而不是正常访问 A 记录或 CNAME 记录

执行命令 dig @路由器 DNS IP 地址 test.ip.dnspod.net

若返回记录里包含 SOA 记录可能也意味着路由器遭到入侵,即路由器上的 DNS IP 地址属于恶意地址,并非常用公共 DNS 服务器。

3.DNS 版本显示为 unbound 1.16.2

通过命令 dig @路由器 DNS IP version.bind chaos txt

若返回的信息里包含以下字符串则也意味着遭到入侵:

  • unbound 1.16.2
  • sh-dsh-01
  • hz-ds-z11-10
赞(0)
文章名称:《腾讯云DNSPOD发现大量家用路由器遭到劫持 DNS被篡改为恶意服务器》
文章链接:https://nadian4.com/article/11395
本站内容来源于互联网搬运,仅限于小范围内传播学习和文献参考,如有侵权请联系我们删除。

相关推荐

评论 抢沙发

登录

找回密码

注册