Tencent Cloud DNSPOD 公式アカウントからのメッセージによると、最近、DNSPOD は多数の家庭用ルーターの DNS 解析設定が改ざんされ、それによってウェブサイトやアプリの正常なアクセスに影響が出ていることがわかりました。
この状況は、2024 年 5 月から現れ始め、8 月 5 日に集中的に発生し、ピークに達しました。8 月 7 日までのテストにより、今回の障害が発生したドメインは異常な DNS サーバー上で回復していることが確認されましたが、TTL とクライアントのキャッシュの影響を受けて、クライアントの回復には一定の遅延があります。
ルーターがハッカーによって制御され、悪意のある DNS サーバーに変更されました:
ルーターの乗っ取り活動はよく見られます。この攻撃は通常、インターネット上で露出しているルーターをスキャンし、デフォルトのパスワード、ルーターファームウェアの脆弱性、または一般的なパスワードを使用して管理権限を取得します。
管理権限を取得した後、ハッカーはルーターのデフォルト DNS サーバーを悪意のあるサーバーに変更することができます。悪意のあるサーバーは、ユーザーがアクセスする際にフィッシングサイト、偽のサイト、または違法なサイトにリダイレクトします。
DNSPOD が発見した悪意のある DNS アドレスは次のとおりです:
122.9.187.125
8.140.21.95
101.37.71.80
47.102.126.197
118.31.55.110
47.109.22.11
47.113.115.236
47.109.47.151
47.108.228.50
39.106.3.116
47.103.220.247
139.196.219.223
121.43.166.60
106.15.3.137
ユーザーはルーターの管理ページにログインし、DNS サーバーの設定を確認し、上記の IP アドレスがあるかどうかをチェックすることができます。もし存在する場合、ルーターが侵害されている可能性がありますので、直接リセットしてアカウントのパスワードを変更してセキュリティを確保することをお勧めします。
もしルーターの DNS アドレスが上記の IP リストに含まれていない場合、以下の方法でチェックすることができます:
- ドメイン解決レコードの TTL が 86400 秒に変更されている、つまりドメイン解決レコードが 1 日キャッシュされる
Mac または Linux システムでターミナルを開き、dig @122.9.187.125 dnspod.cn と入力します。
ここで @122.9.187.125 はサンプルの DNS サーバー IP です。ご自身のルーターの DNS IP アドレスを確認し、上記のコマンドに置き換えて実行した後、情報に 86400 が含まれている場合、侵害されている可能性があります。
- 間欠的に多数のドメインが正常に解決されない状況が存在し、NXDOMAIN + エラーの SOA レコードが返されるが、正常な A レコードや CNAME レコードが返されない
dig @ルーターの DNS IP アドレス test.ip.dnspod.net と入力します。
もしレコードに SOA レコードが含まれている場合、ルーターが侵害されている可能性があります。つまり、ルーター上の DNS IP アドレスが一般的なパブリック DNS サーバーではなく、悪意のあるアドレスであることを意味します。
- DNS のバージョンが unbound 1.16.2 である
dig @ルーターの DNS IP version.bind chaos txt と入力します。
もし情報に以下の文字列が含まれている場合、侵害されている可能性があります:
unbound 1.16.2
sh-dsh-01
hz-ds-z11-10