大量家用路由器被入侵并DNS劫持 附排查方法
近期 DNSPOD 发现大量家用路由器的 DNS 解析配置被篡改,从而影响网站或 App 的正常访问。
这种情况最早从 2024 年 5 月开始出现,到 8 月 5 日集中爆发并达到峰值,截止至 8 月 7 日经过测试确认,导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复,但受 TTL 及客户端缓存影响,客户端的恢复时间有一定的滞后性。
路由器被黑客控制并修改为恶意 DNS 服务器:
针对路由器的劫持活动屡见不鲜,这种攻击通常是在互联网上扫描暴露的路由器,然后通过默认密码、路由器固件漏洞或常用密码进行爆破取得路由器的管理权限。
获得管理权限后黑客就可以将路由器的默认 DNS 服务器修改为恶意服务器,恶意服务器在用户访问时会返回钓鱼网站、虚假网站或跳转到非法网站等。
122.9.187.125 8.140.21.95 101.37.71.80 47.102.126.197 118.31.55.110 47.109.22.11 47.113.115.236 47.109.47.151 47.108.228.50 39.106.3.116 47.103.220.247 139.196.219.223 121.43.166.60 106.15.3.137
如果路由器 DNS 地址不在上面的 IP 列表中,则可以通过如下方法进行检查:
1. 域名解析记录 TTL 被修改为 86400 秒,即域名解析记录会被缓存 1 天
可以在 Mac 或 Linux 系统中打开命令提示符输入 dig @122.9.187.125 dnspod.cn
其中 @122.9.187.125 为示例 DNS 服务器 IP,请检查你的路由器查看 DNS IP 地址,将其替换到上面的命令中,如果执行命令后返回的信息包含 86400 则可能代表被黑。
2. 存在间歇性大量域名无法正常解析的情况,返回 NXDOMAIN + 错误的 SOA 记录,而不是正常访问 A 记录或 CNAME 记录
执行命令 dig @路由器 DNS IP 地址 test.ip.dnspod.net
若返回记录里包含 SOA 记录可能也意味着路由器遭到入侵,即路由器上的 DNS IP 地址属于恶意地址,并非常用公共 DNS 服务器。
3.DNS 版本显示为 unbound 1.16.2
通过命令 dig @路由器 DNS IP version.bind chaos txt
若返回的信息里包含以下字符串则也意味着遭到入侵:
unbound 1.16.2
sh-dsh-01
hz-ds-z11-10
微信扫码关注该文公众号作者