上周末开始出现一种来自韩国的针对路由器的攻击行为,被入侵后只修改网关设备的DHCP服务器中的2个DNS服务器为115.144.122.193和115.144.122.194,

导致用户上网异常;明显的表现为:网页打不开,但QQ/微信还能使用(因为访问网页/邮件需要DNS解析,而QQ/微信不用DNS解析的还能使用)。



入侵路由流程:

1-扫描公网IP段,并登记对应IP开放的端口

2-测试开放端口的WEBClient是否有回应

3-暴力破解密码

4-用正确密码登入路由,修改DNS服务器

5-当用户访问银行网站,请求会发到假的DNS服务器,假的服务器可能会把钓鱼银行网站发给用户,从而获取用户的账号密码,导致财务损失。

注意,目前黑客还只到第四步,因为测试假的DNS服务器一直未工作。



应对策略:

1-检查DHCP服务器中的DNS设置是否正确

2-修改admin的密码,至少8位以上,英文+大小写+数字+符号,部分型号密码最长=15位

3-关闭远程管理,需要再开,用完即关。

4-养成习惯,定期检查设备日志,发现攻击及时调整策略。


众至防火墙/UTM支持信息通知功能,请设置发件资料,绑定微信,并激活相关报警,以便及时掌握预警。


技术支持:

电话:0755-82813866

QQ :394132594


******************************************************************************************************

新鲜出炉的路由攻击预警,如果路由密码是adminadmin,赶紧修改!!!

来源:www.nasi.cn  加入时间:2018-8-6 点击:81960