根據腾訊雲 DNSPOD 公眾號發布的消息,近期 DNSPOD 發現大量家用路由器的 DNS 解析配置被篡改,從而影響網站或 App 的正常訪問。
這種情況最早從 2024 年 5 月開始出現,到 8 月 5 日集中爆發並達到峰值,截止至 8 月 7 日經過測試確認,導致本次故障大規模爆發的域名在異常 DNS 伺服器上已經恢復,但受 TTL 及客戶端緩存影響,客戶端的恢復時間有一定的滯後性。
路由器被黑客控制並修改為惡意 DNS 伺服器:
針對路由器的劫持活動屢見不鮮,這種攻擊通常是在互聯網上掃描暴露的路由器,然後通過默認密碼、路由器固件漏洞或常用密碼進行爆破取得路由器的管理權限。
獲得管理權限後黑客就可以將路由器的默認 DNS 伺服器修改為惡意伺服器,惡意伺服器在用戶訪問時會返回釣魚網站、虛假網站或跳轉到非法網站等。
DNSPOD 發現的惡意 DNS 地址包括:
122.9.187.125
8.140.21.95
101.37.71.80
47.102.126.197
118.31.55.110
47.109.22.11
47.113.115.236
47.109.47.151
47.108.228.50
39.106.3.116
47.103.220.247
139.196.219.223
121.43.166.60
106.15.3.137
用戶可以登錄路由器管理頁面找到 DNS 伺服器的配置,檢查 DNS 伺服器是否有上面的 IP 地址,如果有則說明路由器已經遭到入侵,建議直接重置然後重新更換帳號密碼確保安全性。
如果路由器 DNS 地址不在上面的 IP 列表中,則可以通過如下方法進行檢查:
- 域名解析記錄 TTL 被修改為 86400 秒,即域名解析記錄會被緩存 1 天
可以在 Mac 或 Linux 系統中打開命令提示符輸入 dig @122.9.187.125 dnspod.cn
其中 @122.9.187.125 為示例 DNS 伺服器 IP,請檢查你的路由器查看 DNS IP 地址,將其替換到上面的命令中,如果執行命令後返回的信息包含 86400 則可能代表被黑。
- 存在間歇性大量域名無法正常解析的情況,返回 NXDOMAIN + 錯誤的 SOA 記錄,而不是正常訪問 A 記錄或 CNAME 記錄
執行命令 dig @路由器 DNS IP 地址 test.ip.dnspod.net
若返回記錄裡包含 SOA 記錄可能也意味著路由器遭到入侵,即路由器上的 DNS IP 地址屬於惡意地址,並非常用公共 DNS 伺服器。
3.DNS 版本顯示為 unbound 1.16.2
通過命令 dig @路由器 DNS IP version.bind chaos txt
若返回的信息裡包含以下字符串則也意味著遭到入侵:
unbound 1.16.2
sh-dsh-01
hz-ds-z11-10