首頁 > 安全研究 > 安全通報 > 安全通告

關于境內大量家用路由器DNS被篡改情況通報

發布時間 2019-02-21

2月19日,CNCERT監測發現,境內部分用戶通過家用路由器訪問部分網站時被劫持到涉黃涉賭網站。經研判,這是一起典型的由互聯網地下黑色產業爭斗引發的網絡安全事件。具體情況通報如下:


基本情況


我中心監測發現,發生域名劫持的家用路由器DNS地址被黑客惡意篡改為江蘇省鎮江市103.85.84.0/24、103.85.85.0/24及揚州市45.113.201.0/24等地址段的多個IP地址。這些IP地址提供DNS解析服務,并將部分涉黃涉賭類網站域名解析劫持到江蘇省鎮江市103.85.84.0/24地址段的部分IP地址,最終將用戶訪問跳轉至一博彩類網站“www.mg437700.vip:8888”。經我中心抽樣監測發現,此次事件影響了遍布我國境內全部省份的IP地址400萬余個,被劫持的涉黃涉賭類域名190余個,暫未發現合法的知名商業網站、政府類網站域名被劫持的情況。


處置建議


1. 建議用戶檢查家用路由器DNS地址是否被惡意篡改,并及時修正。建議DNS地址更改為所使用運營商提供的DNS服務器地址或114.114.114.114等地址。


2. 用戶及時修改家用路由器的出廠密碼,且不要設置簡單密碼并定期更新,避免黑客可輕易訪問路由器并進行惡意操作。

CNCERT后續將密切監測和關注相關情況。請國內用戶、相關單位做好排查工作,如需技術支援,請聯系 CNCERT。電子郵箱:cncert@cert.org.cn。


威脅情報


IOC

惡意DNS服務器IP

103.85.84.201

103.85.84.248

103.85.84.240

103.85.84.241

103.85.84.234

103.85.84.239

103.85.84.40

103.85.84.193

103.85.84.246

103.85.84.191

103.85.84.190

103.85.84.236

103.85.84.202

103.85.84.242

103.85.84.195

103.85.84.175

103.85.84.237

103.85.84.238

103.85.84.198

103.85.84.235

103.85.85.207

103.85.85.211

103.85.85.227

103.85.85.228

103.85.85.69

103.85.85.218

103.85.85.210

103.85.85.188

103.85.85.229

103.85.85.242

103.85.85.243

103.85.85.215

103.85.85.209

103.85.85.216

103.85.85.239

103.85.85.237

103.85.85.220

103.85.85.222

103.85.85.236

103.85.85.224

45.113.201.45

45.113.201.53

45.113.201.49

45.113.201.52

45.113.201.59

45.113.201.58

45.113.201.37

45.113.201.38

45.113.201.46

45.113.201.54

45.113.201.43

45.113.201.48

45.113.201.39

45.113.201.36

45.113.201.35

45.113.201.55

45.113.201.47

45.113.201.56

45.113.201.50

45.113.201.51

域名

www.mg437700.vip:8888

上一篇 下一篇