D*******l
发帖数: 5462 | 1 好几个案例,现在开始攻击了,而且成功了。
http://benincampus.blogspot.com/2011/07/attack-initiated-from-a
首先,我估计,攻击者猜测密码,telnet进入dd-wrt路由器,在Additional DNSMasq
Options里加入一句:
address=/#/119.226.118.217
论坛里有人报告路由器被修改了启动代码,用很复杂的方式修改dns。
总之,路由器被攻击之后,局域网内的所有internet访问都被解释到119.226.118.217
,一台位于印度的服务器,然后被转向到 http://update.windows.com/.kb910 页面,假装是微软的官方通知,要求访问者紧急下载kb91021753.exe补丁。注意,这时候update.windows.com也是被DNS解释成119.226.118.217。
此时,本局域网内的三台电脑安装着不同品牌的杀毒软件,均没有报警。
因此,我以为微软发生安全大漏洞,才用这种非常规方式(所有internet访问都出现微
软网站报警)来通知所有人安装补丁,因此执行了该kb91021753.exe,到此,病毒软件
入侵成功,安装了keylogger和远程控制模块,并修改了dns设 置,电脑才能绕过已被
改造的路由器,正常访问互联网。
能够访问互联网之后,我才可以查询到微软并没有大崩溃。这时我的三台电脑都已经安
装了该“补丁”,幸好还有一台还是正常的,专门显示update.windows.com,我才可以
从它查询到dns被修改了,因此dd-wrt论坛找到另一个投诉的案例,才肯定下来被黑了。
经过精细对比,从dd-wrt路由器上确认了Additional DNSMasq Options被修改。改正后
重启路由器,干净电脑的访问正常了。修改访问权限,只有局域网内才能telnet进来,
拒绝远程登陆。
关于已经安装了“补丁”的电脑,我提交了相关信息给赛门铁克,两小时后被确认是新
的恶意文件,发布了相关补丁,只要更新特征码(Live Update)之后,杀毒软件就可以
查杀了。 |
d********g
发帖数: 10550 | 2 居然有不改密码的?居然有不关telnet不用ssh的?居然有不禁止root从ssh登录的?居
然有不用fail2ban的?
这些都是常识问题
http://library.linode.com/security
217
【在 D*******l 的大作中提到】
: 好几个案例,现在开始攻击了,而且成功了。
: http://benincampus.blogspot.com/2011/07/attack-initiated-from-a
: 首先,我估计,攻击者猜测密码,telnet进入dd-wrt路由器,在Additional DNSMasq
: Options里加入一句:
: address=/#/119.226.118.217
: 论坛里有人报告路由器被修改了启动代码,用很复杂的方式修改dns。
: 总之,路由器被攻击之后,局域网内的所有internet访问都被解释到119.226.118.217
: ,一台位于印度的服务器,然后被转向到 http://update.windows.com/.kb910 页面,假装是微软的官方通知,要求访问者紧急下载kb91021753.exe补丁。注意,这时候update.windows.com也是被DNS解释成119.226.118.217。
: 此时,本局域网内的三台电脑安装着不同品牌的杀毒软件,均没有报警。
: 因此,我以为微软发生安全大漏洞,才用这种非常规方式(所有internet访问都出现微
|
p*********w
发帖数: 23432 | 3 黑
217
【在 D*******l 的大作中提到】
: 好几个案例,现在开始攻击了,而且成功了。
: http://benincampus.blogspot.com/2011/07/attack-initiated-from-a
: 首先,我估计,攻击者猜测密码,telnet进入dd-wrt路由器,在Additional DNSMasq
: Options里加入一句:
: address=/#/119.226.118.217
: 论坛里有人报告路由器被修改了启动代码,用很复杂的方式修改dns。
: 总之,路由器被攻击之后,局域网内的所有internet访问都被解释到119.226.118.217
: ,一台位于印度的服务器,然后被转向到 http://update.windows.com/.kb910 页面,假装是微软的官方通知,要求访问者紧急下载kb91021753.exe补丁。注意,这时候update.windows.com也是被DNS解释成119.226.118.217。
: 此时,本局域网内的三台电脑安装着不同品牌的杀毒软件,均没有报警。
: 因此,我以为微软发生安全大漏洞,才用这种非常规方式(所有internet访问都出现微
|
D*******l
发帖数: 5462 | 4 很多人都是拿来用的,谁管这么多啊。
【在 d********g 的大作中提到】
: 居然有不改密码的?居然有不关telnet不用ssh的?居然有不禁止root从ssh登录的?居
: 然有不用fail2ban的?
: 这些都是常识问题
: http://library.linode.com/security
:
: 217
|
a9
发帖数: 21638 | 5 关键是从wan上,怎么能telnet/ssh的?
DNSMasq
现微
【在 d********g 的大作中提到】
: 居然有不改密码的?居然有不关telnet不用ssh的?居然有不禁止root从ssh登录的?居
: 然有不用fail2ban的?
: 这些都是常识问题
: http://library.linode.com/security
:
: 217
|
d********g
发帖数: 10550 | 6 那也是,我邻居的无线router都是托管给我的,密码我修改了,还无线给刷过firmware
,虽然他完全不知道,也不认识我……还好我只蹭网,不干坏事
【在 D*******l 的大作中提到】
: 很多人都是拿来用的,谁管这么多啊。
|
d********g
发帖数: 10550 | 7 router开了远程访问的话可以连上。ftp/vpn什么的一样能开
【在 a9 的大作中提到】
: 关键是从wan上,怎么能telnet/ssh的?
:
: DNSMasq
: 现微
|
a9
发帖数: 21638 | 8 关键这个默认是关的啊。
【在 d********g 的大作中提到】
: router开了远程访问的话可以连上。ftp/vpn什么的一样能开
|
r****t
发帖数: 10904 | 9 无线刷 firmware?
firmware
【在 d********g 的大作中提到】
: 那也是,我邻居的无线router都是托管给我的,密码我修改了,还无线给刷过firmware
: ,虽然他完全不知道,也不认识我……还好我只蹭网,不干坏事
|
r****t
发帖数: 10904 | 10 那就没啥可说的了。
【在 D*******l 的大作中提到】
: 很多人都是拿来用的,谁管这么多啊。
|
|
|
d********g
发帖数: 10550 | 11 绝对可以,邻居用的是netgear原版,我给无线刷了。我自己无线刷过ASUS 520gU,也
没事
无线刷是最后一步重启有时候不成功,但刷不死
【在 r****t 的大作中提到】
: 无线刷 firmware?
:
: firmware
|
d********g
发帖数: 10550 | 12 有些是先连上router再登陆,就是内网了。好比你附近有个人不设防,你登上去干坏事
【在 a9 的大作中提到】
: 关键是从wan上,怎么能telnet/ssh的?
:
: DNSMasq
: 现微
|
D*******l
发帖数: 5462 | 13 你刷了人家应该知道,原来的设备都连不上去了。
firmware
【在 d********g 的大作中提到】
: 那也是,我邻居的无线router都是托管给我的,密码我修改了,还无线给刷过firmware
: ,虽然他完全不知道,也不认识我……还好我只蹭网,不干坏事
|
r****t
发帖数: 10904 | 14 可以是可以,就是太危险了。
【在 d********g 的大作中提到】
: 绝对可以,邻居用的是netgear原版,我给无线刷了。我自己无线刷过ASUS 520gU,也
: 没事
: 无线刷是最后一步重启有时候不成功,但刷不死
|
d********g
发帖数: 10550 | 15 本身就没设连接密码,我刷了和以前一样的,要不我怎么能刷呢
密码是设的管理界面,本来他们就没用过,改了也不知道
【在 D*******l 的大作中提到】
: 你刷了人家应该知道,原来的设备都连不上去了。
:
: firmware
|
D*******l
发帖数: 5462 | 16 名字变了。
【在 d********g 的大作中提到】
: 本身就没设连接密码,我刷了和以前一样的,要不我怎么能刷呢
: 密码是设的管理界面,本来他们就没用过,改了也不知道
|
e*i
发帖数: 10288 | 17 you can change the ssid.
【在 D*******l 的大作中提到】
: 名字变了。
|
d********g
发帖数: 10550 | 18 名字为何要变?
【在 D*******l 的大作中提到】
: 名字变了。
|
k****t
发帖数: 2288 | 19 呵呵,我上次被人hack了我的asterisk后,将我的nonoh的钱打光了以后,我所有的密码
都是非常复杂,我也不是人记的,我用的是free的工具keepass来记录password,长度都
是10位以上,带特殊字符。我看谁来猜密码。
217
【在 D*******l 的大作中提到】
: 好几个案例,现在开始攻击了,而且成功了。
: http://benincampus.blogspot.com/2011/07/attack-initiated-from-a
: 首先,我估计,攻击者猜测密码,telnet进入dd-wrt路由器,在Additional DNSMasq
: Options里加入一句:
: address=/#/119.226.118.217
: 论坛里有人报告路由器被修改了启动代码,用很复杂的方式修改dns。
: 总之,路由器被攻击之后,局域网内的所有internet访问都被解释到119.226.118.217
: ,一台位于印度的服务器,然后被转向到 http://update.windows.com/.kb910 页面,假装是微软的官方通知,要求访问者紧急下载kb91021753.exe补丁。注意,这时候update.windows.com也是被DNS解释成119.226.118.217。
: 此时,本局域网内的三台电脑安装着不同品牌的杀毒软件,均没有报警。
: 因此,我以为微软发生安全大漏洞,才用这种非常规方式(所有internet访问都出现微
|
k****t
发帖数: 2288 | 20 我家是打开的,这样能远程管理。
【在 a9 的大作中提到】
: 关键这个默认是关的啊。
|
