2月19日,CNCERT監(jiān)測(cè)發(fā)現(xiàn),境內(nèi)部分用戶(hù)通過(guò)家用路由器訪問(wèn)部分網(wǎng)站時(shí)被劫持到涉黃涉賭網(wǎng)站����。經(jīng)研判���,這是一起典型的由互聯(lián)網(wǎng)地下黑色產(chǎn)業(yè)爭(zhēng)斗引發(fā)的網(wǎng)絡(luò)安全事件���。具體情況通報(bào)如下:
我中心監(jiān)測(cè)發(fā)現(xiàn)��,發(fā)生域名劫持的家用路由器DNS地址被黑客惡意篡改為江蘇省鎮(zhèn)江市103.85.84.0/24����、103.85.85.0/24及揚(yáng)州市45.113.201.0/24等地址段的多個(gè)IP地址。這些IP地址提供DNS解析服務(wù)�,并將部分涉黃涉賭類(lèi)網(wǎng)站域名解析劫持到江蘇省鎮(zhèn)江市103.85.84.0/24地址段的部分IP地址����,最終將用戶(hù)訪問(wèn)跳轉(zhuǎn)至一博彩類(lèi)網(wǎng)站“www.mg437700.vip:8888”。經(jīng)我中心抽樣監(jiān)測(cè)發(fā)現(xiàn),此次事件影響了遍布我國(guó)境內(nèi)全部省份的IP地址400萬(wàn)余個(gè)�,被劫持的涉黃涉賭類(lèi)域名190余個(gè),暫未發(fā)現(xiàn)合法的知名商業(yè)網(wǎng)站、政府類(lèi)網(wǎng)站域名被劫持的情況。
1���、建議用戶(hù)檢查家用路由器DNS地址是否被惡意篡改,并及時(shí)修正��。建議DNS地址更改為所使用運(yùn)營(yíng)商提供的DNS服務(wù)器地址或114.114.114.114等地址。
2����、用戶(hù)及時(shí)修改家用路由器的出廠密碼����,且不要設(shè)置簡(jiǎn)單密碼并定期更新��,避免黑客可輕易訪問(wèn)路由器并進(jìn)行惡意操作����。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的這則通報(bào)再次讓網(wǎng)絡(luò)安全引起重視��,對(duì)于我們普通的家庭用戶(hù)應(yīng)該怎么做才能安全上網(wǎng)呢����?先說(shuō)說(shuō)一些常見(jiàn)的安全隱患:
第一種最為重要設(shè)置密碼不能過(guò)于簡(jiǎn)單����,簡(jiǎn)單的密碼容易造成以下后果���。
初次設(shè)置路由器時(shí)���,管理員密碼設(shè)置過(guò)于簡(jiǎn)單��,如有規(guī)律的數(shù)字或字母,特別是以下密碼已被證實(shí)極為容易被黑客攻擊:00000000、12345678�、123456789���、1234567890�、66668888、1111111��、88888888���、666666�、87654321�、987654321、66666666、789456123��、789456123��、0123456789���、123456789a、11223344、123123123尤其是由他人代為設(shè)置的路由器��,管理員密碼更容易被設(shè)置成簡(jiǎn)單密碼而被攻擊����。同時(shí)路由器管理員密碼也要復(fù)雜設(shè)置����。
第二種黑客惡意攻擊�。
黑客將惡意代碼嵌入某些APP或某些網(wǎng)站�,當(dāng)用戶(hù)使用該APP或在該網(wǎng)站瀏覽時(shí)���,在不知情的情況下即可能觸發(fā)惡意代碼。如果用戶(hù)安裝了一些非正規(guī)應(yīng)用市場(chǎng)下載的APP���,則更有可能被嵌入惡意代碼���,甚至是一個(gè)完全虛假的偽裝APP����,更容易被攻擊
第三種惡意代碼更改路由器配置
惡意代碼通過(guò)猜中的簡(jiǎn)單管理員密碼獲取路由器管理權(quán)限�,之后可以更改路由器的任何配置,包括更改管理員密碼��、DNS服務(wù)器地址等���。
第四種訪問(wèn)正常網(wǎng)址被指向釣魚(yú)網(wǎng)站
DNS服務(wù)器地址被篡改后,用戶(hù)正常訪問(wèn)的網(wǎng)址可能會(huì)被指向到釣魚(yú)網(wǎng)站或其它一些非法網(wǎng)站�,黑客由此獲利����。
下面就這個(gè)問(wèn)題以大家普遍使用的TP-LINK為例講解下安全設(shè)置及防范����。通過(guò)瀏覽器打開(kāi)tplogin.cn網(wǎng)址���,輸入之前設(shè)置的管理員密碼,進(jìn)入路由器管理界面���。關(guān)注公眾號(hào) 三角架創(chuàng)業(yè)支撐獲取更多資料
注意:在確認(rèn)輸入的管理員密碼正確無(wú)誤的情況下���,如仍舊提示密碼錯(cuò)誤無(wú)法登錄��,則表示路由器可能已被攻擊并被篡改密碼�。此時(shí)需將路由器恢復(fù)出廠設(shè)置����,并通過(guò)設(shè)置向?qū)е匦?span>配置路由器。重新配置時(shí)����,請(qǐng)務(wù)必配置復(fù)雜度高的管理員密碼����,如類(lèi)似a3#E3m8Y之類(lèi)的無(wú)規(guī)律的大小寫(xiě)字母、數(shù)字和符號(hào)的組合��。為防止遺忘���,可用書(shū)面記錄并粘貼于路由器機(jī)身或附近。
檢查DNS服務(wù)器地址
進(jìn)入路由器管理界面后��,在“路由設(shè)置>DHCP服務(wù)器”頁(yè)面中���,檢查“首選DNS服務(wù)器”和“備用DNS服務(wù)器”地址��,如已被篡改成103.85.84.x��、103.85.85.x或45.113.201.x(x表示任意數(shù)字)����,則說(shuō)明已被攻擊����,請(qǐng)聯(lián)系電信���、移動(dòng)�、聯(lián)通或廣電等寬帶服務(wù)提供商獲取正確的DNS服務(wù)器地址,將被篡改的DNS服務(wù)器地址改為正確的地址并保存����。
重新設(shè)置密碼
請(qǐng)?jiān)凇?strong>路由設(shè)置>修改管理員密碼”頁(yè)面將路由器管理員密碼修改為如上描述的復(fù)雜度高的密碼����。
為安全起見(jiàn),強(qiáng)烈建議管理員密碼和無(wú)線(xiàn)密碼不要設(shè)置為相同的密碼�,而分別設(shè)置為不同的復(fù)雜密碼。密碼是第一道門(mén)檻��,請(qǐng)大家不要小視����。
