最新消息:如果微饭的文章帮助了您那就为微饭点个赞吧!丨微Fan'交流群: [ 79453197] 分享好玩的~丨个人作品集 / 网址导航 / 好压

关于近期出现的针对TP-LINK路由器的域名劫持攻击的情况通报

1395℃
.
tp-link
国家互联网应急中心(CNCERT)从通报成员单位报送信息获知,近期出现了针对TP-LINK路由器域名劫持攻击。黑客利用宽带路由器的缺陷对用户上网所使用的域名解析服务器IP地址进行篡改,导致大量用户被钓鱼欺骗。现将有关情况通报如下:
        一、    事件分析
        使用TP-LINK路由器admin/admin等默认帐号/密码的用户只要浏览黑客所掌控的WEB页面,其宽带路由器的域名解析服务器IP地址就会被黑客篡改。该WEB页面嵌入的恶意程序很简洁,可以成功躲过安全软件检测。攻击的具体步骤为:
1、黑客诱骗受害者通过浏览器访问一个嵌入了恶意程序的页面;
2、受害者访问后,页面的恶意程序开始执行;
3、遍历默认账户密码列表,用默认账户密码登录默认路由器IP地址(如用admin/admin登录http://192.168.1.1);
4、目标路由器将一个合法的Cookie植入到受害者浏览器端;
5、浏览器带上合法Cookie,将路由器设置的域名解析服务器IP修改为黑客指定的服务器IP;
6、受害者的域名请求将发送到黑客指定的域名解析服务器,从而遭到域名劫持。
        据CNCERT分析,TP-LINK路由器被篡改的域名服务器指向IP位于境外,该地址开放真实域名解析服务并开放递归服务。
        二、    影响范围
        TP-LINK路由器在个人和家庭上网中使用广泛,根据CNCERT的监测,自5月4日以来,我国受该事件影响的用户数量达数十万,规模较大,且部分访问量较大的网站都遭受到了劫持。
        三、    处置建议
        建议用户检查使用的TP-LINK路由器设置的域名解析服务器IP地址,如发现可疑的不明地址,应立即复位路由器的出厂设置,并更改默认帐号密码;未发现可疑地址的用户,也应及时修改默认的帐号密码,避免遭受攻击。
本站部分内容来自网络,如有侵权,请联系我们进行处理,转载本站文章请注明出处!
发表我的评论
取消评论
表情 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址