国家互联网应急中心(CNCERT)从通报成员单位报送信息获知,近期出现了针对TP-LINK路由器的域名劫持攻击。黑客利用宽带路由器的缺陷对用户上网所使用的域名解析服务器IP地址进行篡改,导致大量用户被钓鱼欺骗。现将有关情况通报如下:
使用TP-LINK路由器admin/admin等默认帐号/密码的用户只要浏览黑客所掌控的WEB页面,其宽带路由器的域名解析服务器IP地址就会被黑客篡改。该WEB页面嵌入的恶意程序很简洁,可以成功躲过安全软件检测。攻击的具体步骤为:1、黑客诱骗受害者通过浏览器访问一个嵌入了恶意程序的页面;2、受害者访问后,页面的恶意程序开始执行;3、遍历默认账户密码列表,用默认账户密码登录默认路由器IP地址(如用admin/admin登录http://192.168.1.1);4、目标路由器将一个合法的Cookie植入到受害者浏览器端;5、浏览器带上合法Cookie,将路由器设置的域名解析服务器IP修改为黑客指定的服务器IP;6、受害者的域名请求将发送到黑客指定的域名解析服务器,从而遭到域名劫持。
据CNCERT分析,TP-LINK路由器被篡改的域名服务器指向IP位于境外,该地址开放真实域名解析服务并开放递归服务。
TP-LINK路由器在个人和家庭上网中使用广泛,根据CNCERT的监测,自5月4日以来,我国受该事件影响的用户数量达数十万,规模较大,且部分访问量较大的网站都遭受到了劫持。
建议用户检查使用的TP-LINK路由器设置的域名解析服务器IP地址,如发现可疑的不明地址,应立即复位路由器的出厂设置,并更改默认帐号密码;未发现可疑地址的用户,也应及时修改默认的帐号密码,避免遭受攻击。