腾讯云DNSPOD发现很多家用路由器遭到绑架 DNS被篡改为歹意服务器

据腾讯云 DNSPOD 大众号发布的音讯，近期 DNSPOD 发现很多家用路由器的 DNS 解析装备被篡改，然后影响网站或 App 的正常拜访。

这种状况最早从 2024 年 5 月开端呈现，到 8 月 5 日会集迸发并到达峰值，截止至 8 月 7 日经过测验承认，导致本次毛病大规模迸发的域名在反常 DNS 服务器上现已康复，但受 TTL 及客户端缓存影响，客户端的康复时间有必定的滞后性。

路由器被黑客操控并修正为歹意 DNS 服务器：

针对路由器的绑架活动层出不穷，这种进犯通常是在互联网上扫描露出的路由器，然后经过默许暗码、路由器固件缝隙或常用暗码进行爆炸取得路由器的办理权限。

取得办理权限后黑客就能够将路由器的默许 DNS 服务器修正为歹意服务器，歹意服务器在用户拜访时会回来垂钓网站、虚伪网站或跳转到不合法网站等。

DNSPOD 发现的歹意 DNS 地址包括：

• 122.9.187.125
• 8.140.21.95
• 101.37.71.80
• 47.102.126.197
• 118.31.55.110
• 47.109.22.11
• 47.113.115.236
• 47.109.47.151
• 47.108.228.50
• 39.106.3.116
• 47.103.220.247
• 139.196.219.223
• 121.43.166.60
• 106.15.3.137

用户能够登录路由器办理页面找到 DNS 服务器的装备，检查 DNS 服务器是否有上面的 IP 地址，假如有则阐明路由器现已遭到侵略，主张直接重置然后从头替换账号暗码保证安全性。

假如路由器 DNS 地址不在上面的 IP 列表中，则能够经过如下办法进行检查：

1. 域名解析记载 TTL 被修正为 86400 秒，即域名解析记载会被缓存 1 天

能够在 Mac 或 Linux 体系中翻开指令提示符输入 dig @122.9.187.125 dnspod.cn

其间 @122.9.187.125 为示例 DNS 服务器 IP，请检查你的路由器检查 DNS IP 地址，将其替换到上面的指令中，假如执行指令后回来的信息包括 86400 则或许代表被黑。

2. 存在间歇性很多域名无法正常解析的状况，回来 NXDOMAIN + 过错的 SOA 记载，而不是正常拜访 A 记载或 CNAME 记载

执行指令 dig @路由器 DNS IP 地址 test.ip.dnspod.net

若回来记载里包括 SOA 记载或许也意味着路由器遭到侵略，即路由器上的 DNS IP 地址归于歹意地址，并非常用公共 DNS 服务器。

3.DNS 版别显现为 unbound 1.16.2

经过指令 dig @路由器 DNS IP version.bind chaos txt

若回来的信息里包括以下字符串则也意味着遭到侵略：

• unbound 1.16.2
• sh-dsh-01
• hz-ds-z11-10