閔行區(qū)監(jiān)控安裝:TP-LINK防范家用路由器DNS被篡改的方法

發(fā)布時間：2020-03-02 21:14:06 作者：上海監(jiān)控安裝公司

近期國家互聯(lián)網(wǎng)應急中心通報了一起網(wǎng)絡(luò)安全事件，家用路由器設(shè)置過于簡單的密碼可能被黑客利用，登錄路由器并修改DNS參數(shù)。事件發(fā)生的原因及后果大致如下：

01
密碼設(shè)置過于簡單

初次設(shè)置路由器時，管理員密碼設(shè)置過于簡單，如有規(guī)律的數(shù)字或字母，特別是以下密碼已被證實極為容易被黑客攻擊：
00000000、admin、123456、12345678、123456789、1234567890、66668888、1111111、88888888、666666、87654321、147258369、987654321、66666666、112233、888888、000000、5201314、789456123、123123、789456123、0123456789、123456789a、11223344、123123123

尤其是由他人代為設(shè)置的路由器，管理員密碼更容易被設(shè)置成簡單密碼而被攻擊。

02
黑客惡意攻擊

黑客將惡意代碼嵌入某些APP或某些網(wǎng)站，當用戶使用該APP或在該網(wǎng)站瀏覽時，在不知情的情況下即可能觸發(fā)惡意代碼。如果用戶安裝了一些非正規(guī)應用市場下載的APP，則更有可能被嵌入惡意代碼，甚至是一個完全虛假的偽裝APP，更容易被攻擊。

03
惡意代碼更改路由器配置

惡意代碼通過猜中的簡單管理員密碼獲取路由器管理權(quán)限，之后可以更改路由器的任何配置，包括更改管理員密碼、DNS服務器地址等。

04
訪問正常網(wǎng)址被指向釣魚網(wǎng)站

DNS服務器地址被篡改后，用戶正常訪問的網(wǎng)址可能會被指向到釣魚網(wǎng)站或其它一些非法網(wǎng)站，黑客由此獲利。

為防患于未然，TP-LINK建議您按如下項目檢查或設(shè)置路由器

進入路由器管理頁面

通過瀏覽器打開tplogin.cn網(wǎng)址，輸入之前設(shè)置的管理員密碼，進入路由器管理界面。
注意：
在確認輸入的管理員密碼正確無誤的情況下，如仍舊提示密碼錯誤無法登錄，則表示路由器可能已被攻擊并被篡改密碼。此時需將路由器恢復出廠設(shè)置，并通過設(shè)置向?qū)е匦屡渲寐酚善鳌?br/>重新配置時，請務必配置復雜度高的管理員密碼，如類似a3#E3m8Y之類的無規(guī)律的大小寫字母、數(shù)字和符號的組合。為防止遺忘，可用書面記錄并粘貼于路由器機身或附近。

檢查DNS服務器地址

進入路由器管理界面后，在“路由設(shè)置>DHCP服務器”頁面中，檢查“首選DNS服務器”和“備用DNS服務器”地址，如已被篡改成103.85.84.x、103.85.85.x或45.113.201.x（x表示任意數(shù)字），則說明已被攻擊，請聯(lián)系電信、移動、聯(lián)通或廣電等寬帶服務提供商獲取正確的DNS服務器地址，將被篡改的DNS服務器地址改為正確的地址并保存。

閔行區(qū)網(wǎng)絡(luò)布線
重新設(shè)置密碼

請在“路由設(shè)置>修改管理員密碼”頁面將路由器管理員密碼修改為如上描述的復雜度高的密碼。

為安全起見，強烈建議管理員密碼和無線密碼不要設(shè)置為相同的密碼，而分別設(shè)置為不同的復雜密碼。

以上如有疑問，請撥打TP-LINK服務熱線400-8863-400。

《關(guān)于境內(nèi)大量家用路由器DNS被篡改情況通報》全文：

關(guān)于境內(nèi)大量家用路由器DNS被篡改情況通報
——國家互聯(lián)網(wǎng)應急中心CNCERT

2月19日，CNCERT監(jiān)測發(fā)現(xiàn)，境內(nèi)部分用戶通過家用路由器訪問部分網(wǎng)站時被劫持到涉黃涉賭網(wǎng)站。經(jīng)研判，這是一起典型的由互聯(lián)網(wǎng)地下黑色產(chǎn)業(yè)爭斗引發(fā)的網(wǎng)絡(luò)安全事件。具體情況通報如下：

基本情況 MONITOR

我中心監(jiān)測發(fā)現(xiàn)，發(fā)生域名劫持的家用路由器DNS地址被黑客惡意篡改為江蘇省鎮(zhèn)江市103.85.84.0/24、103.85.85.0/24及揚州市45.113.201.0/24等地址段的多個IP地址。這些IP地址提供DNS解析服務，并將部分涉黃涉賭類網(wǎng)站域名解析劫持到江蘇省鎮(zhèn)江市103.85.84.0/24地址段的部分IP地址，最終將用戶訪問跳轉(zhuǎn)至一博彩類網(wǎng)站“www.mg437700.vip:8888”。經(jīng)我中心抽樣監(jiān)測發(fā)現(xiàn)，此次事件影響了遍布我國境內(nèi)全部省份的IP地址400萬余個，被劫持的涉黃涉賭類域名190余個，暫未發(fā)現(xiàn)合法的知名商業(yè)網(wǎng)站、政府類網(wǎng)站域名被劫持的情況。

閔行區(qū)網(wǎng)絡(luò)布線公司處置建議 SUGGEST

1、建議用戶檢查家用路由器DNS地址是否被惡意篡改，并及時修正。建議DNS地址更改為所使用運營商提供的DNS服務器地址或114.114.114.114等地址。
2、用戶及時修改家用路由器的出廠密碼，且不要設(shè)置簡單密碼并定期更新，避免黑客可輕易訪問路由器并進行惡意操作。

CNCERT后續(xù)將密切監(jiān)測和關(guān)注相關(guān)情況。請國內(nèi)用戶、相關(guān)單位做好排查工作，如需技術(shù)支援，請聯(lián)系 CNCERT。電子郵箱：cncert@cert.org.cn。