QQtom

QQtom

博文(部分为摘录)

腾讯云DNSPOD發現大量家用路由器遭到劫持 DNS被篡改為惡意伺服器

根據腾訊雲 DNSPOD 公眾號發布的消息,近期 DNSPOD 發現大量家用路由器的 DNS 解析配置被篡改,從而影響網站或 App 的正常訪問。

這種情況最早從 2024 年 5 月開始出現,到 8 月 5 日集中爆發並達到峰值,截止至 8 月 7 日經過測試確認,導致本次故障大規模爆發的域名在異常 DNS 伺服器上已經恢復,但受 TTL 及客戶端緩存影響,客戶端的恢復時間有一定的滯後性。
路由器被黑客控制並修改為惡意 DNS 伺服器:

針對路由器的劫持活動屢見不鮮,這種攻擊通常是在互聯網上掃描暴露的路由器,然後通過默認密碼、路由器固件漏洞或常用密碼進行爆破取得路由器的管理權限。

獲得管理權限後黑客就可以將路由器的默認 DNS 伺服器修改為惡意伺服器,惡意伺服器在用戶訪問時會返回釣魚網站、虛假網站或跳轉到非法網站等。

DNSPOD 發現的惡意 DNS 地址包括:

122.9.187.125
8.140.21.95
101.37.71.80
47.102.126.197
118.31.55.110
47.109.22.11
47.113.115.236
47.109.47.151
47.108.228.50
39.106.3.116
47.103.220.247
139.196.219.223
121.43.166.60
106.15.3.137
用戶可以登錄路由器管理頁面找到 DNS 伺服器的配置,檢查 DNS 伺服器是否有上面的 IP 地址,如果有則說明路由器已經遭到入侵,建議直接重置然後重新更換帳號密碼確保安全性。

如果路由器 DNS 地址不在上面的 IP 列表中,則可以通過如下方法進行檢查:

  1. 域名解析記錄 TTL 被修改為 86400 秒,即域名解析記錄會被緩存 1 天

可以在 Mac 或 Linux 系統中打開命令提示符輸入 dig @122.9.187.125 dnspod.cn

其中 @122.9.187.125 為示例 DNS 伺服器 IP,請檢查你的路由器查看 DNS IP 地址,將其替換到上面的命令中,如果執行命令後返回的信息包含 86400 則可能代表被黑。

  1. 存在間歇性大量域名無法正常解析的情況,返回 NXDOMAIN + 錯誤的 SOA 記錄,而不是正常訪問 A 記錄或 CNAME 記錄

執行命令 dig @路由器 DNS IP 地址 test.ip.dnspod.net

若返回記錄裡包含 SOA 記錄可能也意味著路由器遭到入侵,即路由器上的 DNS IP 地址屬於惡意地址,並非常用公共 DNS 伺服器。

3.DNS 版本顯示為 unbound 1.16.2

通過命令 dig @路由器 DNS IP version.bind chaos txt

若返回的信息裡包含以下字符串則也意味著遭到入侵:

unbound 1.16.2
sh-dsh-01
hz-ds-z11-10

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。