关于境内大量家用路由器DNS被篡改情况通报
发布时间 2019-02-212月19日,CNCERT监测发现,境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。经研判,这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。具体情况通报如下:
基本情况
我中心监测发现,发生域名劫持的家用路由器DNS地址被黑客恶意篡改为江苏省镇江市103.85.84.0/24、103.85.85.0/24及扬州市45.113.201.0/24等地址段的多个IP地址。这些IP地址提供DNS解析服务,并将部分涉黄涉赌类网站域名解析劫持到江苏省镇江市103.85.84.0/24地址段的部分IP地址,最终将用户访问跳转至一博彩类网站“www.mg437700.vip:8888”。经我中心抽样监测发现,此次事件影响了遍布我国境内全部省份的IP地址400万余个,被劫持的涉黄涉赌类域名190余个,暂未发现合法的知名商业网站、政府类网站域名被劫持的情况。
处置建议
1. 建议用户检查家用路由器DNS地址是否被恶意篡改,并及时修正。建议DNS地址更改为所使用运营商提供的DNS服务器地址或114.114.114.114等地址。
2. 用户及时修改家用路由器的出厂密码,且不要设置简单密码并定期更新,避免黑客可轻易访问路由器并进行恶意操作。
CNCERT后续将密切监测和关注相关情况。请国内用户、相关单位做好排查工作,如需技术支援,请联系 CNCERT。电子邮箱:cncert@cert.org.cn。
威胁情报
IOC:
恶意DNS服务器IP
103.85.84.201
103.85.84.248
103.85.84.240
103.85.84.241
103.85.84.234
103.85.84.239
103.85.84.40
103.85.84.193
103.85.84.246
103.85.84.191
103.85.84.190
103.85.84.236
103.85.84.202
103.85.84.242
103.85.84.195
103.85.84.175
103.85.84.237
103.85.84.238
103.85.84.198
103.85.84.235
103.85.85.207
103.85.85.211
103.85.85.227
103.85.85.228
103.85.85.69
103.85.85.218
103.85.85.210
103.85.85.188
103.85.85.229
103.85.85.242
103.85.85.243
103.85.85.215
103.85.85.209
103.85.85.216
103.85.85.239
103.85.85.237
103.85.85.220
103.85.85.222
103.85.85.236
103.85.85.224
45.113.201.45
45.113.201.53
45.113.201.49
45.113.201.52
45.113.201.59
45.113.201.58
45.113.201.37
45.113.201.38
45.113.201.46
45.113.201.54
45.113.201.43
45.113.201.48
45.113.201.39
45.113.201.36
45.113.201.35
45.113.201.55
45.113.201.47
45.113.201.56
45.113.201.50
45.113.201.51
域名
www.mg437700.vip:8888
京公网安备11010802024551号