国家互联网应急中心通报称部分路由器被劫持到黄赌网站
国家互联网应急中心2月19日监测发现境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉毒网站。
经国家互联网应急中心研判这是典型的互联网地下黑色产业斗争引发的网络安全事件,具体的情况通过如下:
基本情况说明:
我中心监测发现发生域名劫持的家用路由器DNS服务器地址被黑客恶意篡改为江苏省镇江市以及扬州市地址。
充当恶意DNS服务器的境内IP地址包括:103.85.84.0/24、103.85.85.0/24以及 45.113.201.0/24 等多个IP。
这些IP地址提供DNS解析服务并将部分涉黄涉赌类网站域名解析劫持到浙江省103.85.84.0/24 地址段部分IP。
最终将用户访问跳转到博彩网站,经我中心抽样检测发现此事件影响了遍布境内全部省份的400万个 IP 地址。
被劫持的涉黄涉赌类域名合计达190余个, 暂时尚未发现合法的知名商业网站以及政府类网站域名被劫持情况。
示意图,图文无关
针对此事件的处置建议:
1.建议用户检查家用路由器DNS 服务器地址是否被篡改,如有发现被篡改可修改为运营商提供的默认服务器。
2.建议用户及时修改家用路由器的出厂密码且不要设置简单密码并定期更新, 避免被黑客入侵路由器进行劫持。
国家互联网应急中心后续将密切监测关注相关情况, 请用户和相关单位做好排查,如需支持请联系应急中心。
相关内容:
此前腾讯旗下DNS提供商 DNSPOD 发布安全预警称检测到国内大量家用路由器被引导到江苏部分地区的IP。
经 DNSPOD 与合作单位排查发现这是地下黑产团队所为,黑产团队入侵家用无线路由器篡改默认DNS地址。
按国家互联网应急中心的通报这次问题是地下黑产之间的斗争,不同黑产团队互相攻击和劫持对方非法网站。
为防止路由器遭到入侵并被篡改建议用户立即检查路由器设置并修改管理密码,必要时建议完全重置路由器。