t*******y
发帖数: 21396 | 1 上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这
些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP-Link、D-Link、腾达
、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导
致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第
三方平台、广告主的灰色产业链,已经悄然形成。
◆ 密码被盗,谁之过?
用户投诉:上网行为被“绑架”,打开百度却弹出黄色网站。
技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。
“一打开百度、京东就自动变成黄色网站,重启了好几次路由器都没用。到了晚上更加
猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔网线!”用户小勇对记者抱怨道
,按网上的方法重新设置路由器、跟宽带运营商反映后也没有效果,甚至前几天连QQ账
号都被盗了。“网上说是DNS劫持,但我路由器设置的是个数字+字母混合的长密码,怎
么也会被轻易盗取?”
事实上,小勇遇到的这种情况,正是黑客利用路由器的漏洞,进入后台篡改了DNS地址
,把用户要访问的正常页面劫持到自己服务器上,盗取网银、QQ等重要个人信息。
北京知道创宇信息技术有限公司研究部总监余弦告诉记者,目前路由器被劫持的原因主
要有两种,“一种是用户路由器的管理界面密码太过简单,另一种就是厂家路由器的固
件存在后门,黑客可以绕开管理界面的密码验证,直接入侵后台篡改DNS地址。”
由于这两个漏洞的存在,用户面对恶意劫持难以防范:黑客事先在某些网页上植入恶意
代码,当用户访问这个页面,这段代码就已入侵路由器,在后台悄悄篡改了DNS地址。
去年,国家互联网应急中心曾发布公告,称出现针对TP-Link路由器的域名劫持,攻击
方式也如出一辙:使用TP-Link路由器 admin/admin等默认账号/密码的用户,只要浏览
黑客所掌控的网页,其域名解析服务器IP地址就会被黑客篡改,指向境外某个服务器。
即使用户使用了长字符管理密码,也会被黑客轻易攻破:“因为黑客可以绕过验证步骤
,拿到最高管理权限。甚至有部分路由器厂家,默认设置开启远程访问、暴露了路由器
的公共网络IP,也就是说可以远程控制路由器。” 余弦说道。
◆ 黑色产业,谁参与?
广告平台:可定向“绑架”全国任意省份的上网用户,1000个广告弹窗收费50元。
一边是黑客们大肆篡改、劫持用户路由器的DNS地址,另一边广告主、商业网站也在暗
地里推波助澜,一条完整的产业链已经形成。
3月11日,记者以投放广告的名义联系到一家DNS广告平台,其自称不受网站、网址限制
,任何网页均可展示广告,甚至竞争对手网页。广告由DNS直接发送,不会被屏蔽,受
众总量超过8000万,日均活跃用户超过1500万,可定向捆绑全国任意省份的用户。
“劫持广告一千个弹窗45~50元,也就是说有1000个用户打开百度、京东等网站,弹出
来的是你提供的广告或网页。这种业务之前做过很多,像前段时间两家大型网站为了推
它们旗下某个产品,还向我们买过这种劫持广告弹窗,用来提高流量。”该平台董姓负
责人表示,很多商业网站都是他们的大客户,只要是网站有ICP备案,都能投放这种劫
持广告,“一天几千次CPM(千人展示)完全没有问题。”
这种劫持广告甚至能根据用户浏览的页面内容,定向展示关联广告,“比如一位患者在
百度上搜人流、医院这些关键词,在搜索的结果页面中,就能直接弹出指定医院的广告
,链接该院首页。”该负责人称。
记者粗略估算了下,按照日均活跃用户1500万的展示次数,以及1000个广告弹窗50元的
价格,高峰状态下平均每天收入在15000×50=75万元左右。有了这些广告利益的驱动,
路由器劫持已经形成一条从黑客----投放平台----广告主的完整产业链。
“根据安全联盟的数据监测来看,高峰期有1万多家网站,被黑客植入了DNS劫持恶意代
码,近500万用户受影响。同时背后有了广告、钓鱼网站的利益支撑,近年来路由器劫
持变得日益猖獗。” 余弦表示。
◆ 后台缺陷,有意为之?
技术专家:厂商自己留有后门程序,以便日后检测、调试需要,但是管理权限易被黑客
劫持。
今年2月份,国家互联网应急中心(CNCERT)最新发布的一份漏洞报告称,Cisco、
Linksys、Netgear、Tenda、D- link等主流网络设备生产厂商的多款路由器产品,均存
在远程命令执行、超级用户权限等预置后门漏洞,黑客可借此取得路由器的远程控制权
,进而发起DNS 劫持、窃取信息等攻击。
“去年有不少家庭用户使用的TP-Link网关存在漏洞,DNS地址被人为篡改,打开正常网
页时会访问或者弹出某几个固定页面。”一位省级运营商技术负责人告诉记者,发现这
一情况后,他们在骨干网上将这些被劫持的用户流量,引导到安全页面进行提示,并且
在后台对于钓鱼网站做了拦截处理。
在他看来,用户没有及时更改路由器的初始密码固然有责任,但路由器厂商也有着无法
推卸的责任:“厂商应该在产品出厂时给路由器分配一个随机密码,而不是简单的设成
12345这样的弱口令。”
但更让人担忧的则是产品本身。极路由创始人王楚云告诉记者, 目前路由器厂家的主
流产品,均留有一个超级管理权限,在安全防范措施较弱的情况下,这恰恰为黑客劫持
路由器提供了最大便利。
“很多传统厂商在产品的开发过程中,一般都会为了日后检测、调试的需求,预留这个
权限。但这跟安卓系统类似的是,一旦黑客利用漏洞拿到这个管理员权限,所有的防护
措施都如同虚设。”
知名厂商D-link在其多款主流路由器产品中,就留下了这样一个严重的后门。“我们检
测出的漏洞是,用一个 roodkcableo28840ybtide的关键密匙,就能通过远程登录,轻
松拿到大多数D-link路由器的管理权限。”余弦告诉记者,Dlink 的固件是由其美国子
公司AlphaNetworks提供的,该公司的研发技术总监叫做Joel,而这个字符串颠倒后恰
好也是edit by 04482 joel backdoor(Joel编辑的后门)。
“这种厂家自己留的后门程序,居然是按照研发人员姓名来设置,太过明显了,完全有
可能是厂家有意为之。”
而一份来自ZoomEye数据显示,全球范围使用这种有缺陷的D-Link用户在63000名左右,
遍布中国、美国、加拿大、巴西等地。而在国内,有约十万台TP-Link路由器存在后门
缺陷,受影响用户达到百万级别。
◆ 相关阅读
一套路由器授权费仅几分钱
“路由器劫持这个事年年都有,但各大厂家往往是等漏洞被曝出来,才去修复,平时也
不会主动去请技术人员来检测产品固件是否有漏洞,业内的安全防范意识不够。” 一
位路由器厂家的资深人士说道。
记者了解到,目前在各大厂家更加注重的是企业级高端设备的安全防范,对出货量巨大
的家用网关市场,往往掉以轻心:“但黑客从去年开始偏偏就盯上了这个小众系统,这
是各大厂商此前从未想到的。”
路由器固件作为一种嵌入式的操作系统,在家庭网关等民用设备上很少受到重视,各大
路由器厂家都是在朝上游芯片厂商、第三方软件公司采购来成熟方案,在此基础上进行
二次开发:“像TP-Link、腾达等知名厂商,基本是从第三方公司买来的固件,在芯片
厂商提供的系统上做了二次开发。博通(29.94, -0.22, -0.73%)、MTK等芯片厂商在提
供产品时,本身也会集成一个较为初级的底层操作系统,目的是为了把芯片的所有功能
完整地演示一遍,让各家厂商拿回去自己做开发。但很多厂商为了省事,直接买回来一
套系统,稍作适配修改后就推向市场。”某路由器厂商人士透露。
据该人士透露,这种路由器操作系统的成本价格较低,按照授权收费来算,每台设备的
系统成本在几角钱以内,出货量巨大的厂家甚至可以谈到按分计费,“这个反倒成了问
题的根源。因为大家用的都是那几家公司的固件方案,一旦出了漏洞谁都跑不掉。” |
d*b
发帖数: 21830 | 2 国内的瑞星防火墙也这样,本来还好好的玩意,这么大的公司现在搞DNS劫持,以后谁
还会用这种刁毛玩意。
门。
【在 t*******y 的大作中提到】
: 上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这
: 些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP-Link、D-Link、腾达
: 、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导
: 致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第
: 三方平台、广告主的灰色产业链,已经悄然形成。
: ◆ 密码被盗,谁之过?
: 用户投诉:上网行为被“绑架”,打开百度却弹出黄色网站。
: 技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。
: “一打开百度、京东就自动变成黄色网站,重启了好几次路由器都没用。到了晚上更加
: 猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔网线!”用户小勇对记者抱怨道
|
f*******t
发帖数: 7549 | 3 国内主要是isp在劫持http,这篇是360的软文
门。
【在 t*******y 的大作中提到】
: 上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这
: 些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP-Link、D-Link、腾达
: 、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导
: 致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第
: 三方平台、广告主的灰色产业链,已经悄然形成。
: ◆ 密码被盗,谁之过?
: 用户投诉:上网行为被“绑架”,打开百度却弹出黄色网站。
: 技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。
: “一打开百度、京东就自动变成黄色网站,重启了好几次路由器都没用。到了晚上更加
: 猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔网线!”用户小勇对记者抱怨道
|
a*****g
发帖数: 19398 | 4 我也同感。
【在 f*******t 的大作中提到】
: 国内主要是isp在劫持http,这篇是360的软文
:
: 门。
|
t*******y
发帖数: 21396 | 5 如果我访问了一个带有恶意代码的网站,Router用系统默认密码(admin/password之类
),Router密码有可能给改掉吗?还是必须通过后门才行?
【在 f*******t 的大作中提到】
: 国内主要是isp在劫持http,这篇是360的软文
:
: 门。
|
f*******t
发帖数: 7549 | 6 不太可能。应该主要是通过远程管理界面的漏洞黑进路由
【在 t*******y 的大作中提到】
: 如果我访问了一个带有恶意代码的网站,Router用系统默认密码(admin/password之类
: ),Router密码有可能给改掉吗?还是必须通过后门才行?
|
t*******y
发帖数: 21396 | 7 看来刷DD WRT或者Tomato才是安全王道啊
【在 f*******t 的大作中提到】
: 不太可能。应该主要是通过远程管理界面的漏洞黑进路由
|
f*******5
发帖数: 10321 | 8 里头的采访的人和公司是百度的。。国内ISP劫持http是往里注入http,和文中说的黑
进家用路由dns劫持两码事。
【在 f*******t 的大作中提到】
: 国内主要是isp在劫持http,这篇是360的软文
:
: 门。
|
a*****e
发帖数: 2194 | 9 为啥google roodkcableo28840ybtide 没有别的结果?
还想看看有没有故事
门。
【在 t*******y 的大作中提到】
: 上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这
: 些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP-Link、D-Link、腾达
: 、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导
: 致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第
: 三方平台、广告主的灰色产业链,已经悄然形成。
: ◆ 密码被盗,谁之过?
: 用户投诉:上网行为被“绑架”,打开百度却弹出黄色网站。
: 技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。
: “一打开百度、京东就自动变成黄色网站,重启了好几次路由器都没用。到了晚上更加
: 猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔网线!”用户小勇对记者抱怨道
|
f*******5
发帖数: 10321 | 10 你浏览器运行javascript就改掉了。
【在 t*******y 的大作中提到】
: 如果我访问了一个带有恶意代码的网站,Router用系统默认密码(admin/password之类
: ),Router密码有可能给改掉吗?还是必须通过后门才行?
|
|
|
d******c
发帖数: 2407 | 11 显然是小编写错了几个地方于是你搜不到
换个关键词edit by joel backdoor一下就搜到了,仔细看看小编这个少了个j, 明明说
的是joel的。
另外这个缺省是只对内网访问开放,外网是用不了这个后门的。
http://nakedsecurity.sophos.com/2013/10/15/d-link-router-flaw-l
【在 a*****e 的大作中提到】
: 为啥google roodkcableo28840ybtide 没有别的结果?
: 还想看看有没有故事
:
: 门。
|
d******c
发帖数: 2407 | 12 2010年俄罗斯人就发现这个后门了,最近重新被发现,然后dlink终于改掉
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-ba
目的应该是为了自己的软件修改配置方便
I found several binaries that appear to use xmlsetc to automatically re-
configure the device’s settings (example: dynamic DNS). My guess is that
the developers realized that some programs/services needed to be able to
change the device’s settings automatically; realizing that the web server
already had all the code to change these settings, they decided to just send
requests to the web server whenever they needed to change something. The
only problem was that the web server required a username and password, which
the end user could change.
【在 d******c 的大作中提到】
: 显然是小编写错了几个地方于是你搜不到
: 换个关键词edit by joel backdoor一下就搜到了,仔细看看小编这个少了个j, 明明说
: 的是joel的。
: 另外这个缺省是只对内网访问开放,外网是用不了这个后门的。
: http://nakedsecurity.sophos.com/2013/10/15/d-link-router-flaw-l
|
f*******t
发帖数: 7549 | 13 这是典型的XSS,能过浏览器?
【在 f*******5 的大作中提到】
: 你浏览器运行javascript就改掉了。
|
f*******5
发帖数: 10321 | 14 你这么想的思路就不对了。文章采访余弦是有道理的,他的团队就是攻击web前端,自
称猥琐流。肯定能过,就是招式比较不上台面。
【在 f*******t 的大作中提到】
: 这是典型的XSS,能过浏览器?
|
f*******t
发帖数: 7549 | 15 国内能联网的软件都有后门,直接控制用户电脑就行,犯不着折腾路由。招式上不了台
面指什么…
★ 发自iPhone App: ChineseWeb 8.6
【在 f*******5 的大作中提到】
: 你这么想的思路就不对了。文章采访余弦是有道理的,他的团队就是攻击web前端,自
: 称猥琐流。肯定能过,就是招式比较不上台面。
|
