我非常精通计算机(虽然不太精通网络),虽然我可能仍然错了,但我认为我的家庭网络可能以某种方式受到损害。我想知道是否有人可能劫持了我的网络与 Google.com 和其他热门网站的连接。
更新:该问题似乎影响到所有热门网站。我可以毫无问题地连接到小型(非热门)网站,但我的家庭网络上的任何设备都无法访问 Facebook、Google、Yahoo 和 Bing。
在我使用家庭网络的所有设备上,我都会看到
http://www.google.com 警告!Internet Explorer 目前已过时。请更新以继续。
或类似情况(取决于浏览器),当我尝试连接到 google.com 时。
如果只是笔记本电脑出现这种情况,我一点也不会感到惊讶。但事实上,这种情况发生在我网络上的所有设备上,这让我很困惑。
这是我的 iPhone 和平板电脑的屏幕截图,供参考。
我的家庭网络会受到攻击吗?这是怎么发生的?连接设备上的病毒是否会侵入路由器并进行更改?
这种事情怎么会以同样的方式在所有平台上、所有设备上发生?我无法想象网络上的每个设备/平台都会感染相同的病毒。
我是否应该认为我的网络的安全性已完全受到损害?
更新:我的家庭网络上的所有移动设备和笔记本电脑在尝试连接到 google.com 时都会收到相同的警报。
笔记: 请记住这与问题的解决方案无关。我会打电话给网络专业人士来处理这个问题。我对问题的起因、来源和方法更感兴趣。我希望以一种可能让我在将来预防它的方式了解这个问题。
答案1
症状
在使用我的家庭网络的所有设备上,当我尝试连接到 google.com 时,都会显示
http://www.google.com WARNING! Internet Explorer is currently out of date. Please update to continue.或类似内容(取决于浏览器)。
这是一个非常典型的广告,可能是为了诱使您安装恶意软件。
如果只是笔记本电脑出现这种情况,我一点也不会感到惊讶。但事实上,这种情况发生在我网络上的所有设备上,这让我很困惑。
我的家庭网络会受到威胁吗?
绝对地。
技术说明
这是怎么发生的?连接设备上的病毒会侵入路由器并进行更改吗?
路由器漏洞
检查路由器是否有密码,以及是否设置为无线配置和/或从 WAN 端(LAN 外)配置。大多数路由器都带有默认密码(可以轻松查找)或根本没有密码。更糟糕的是,一些路由器预设为可以通过无线和/或 WAN 配置。这使得简单的网络探测扫描很容易找到易受攻击的路由器。
伪代码攻击示例
例如,伪代码可能包括:
for (IP=0.0.0.0 to 255.255.255.255) do { //scan through all possible IPs
if (canConnect(IP)) { //test for connection
if (login(IP, "admin", "")) { //try logging in as admin with blank password
doBadThings(); //hack router
}
else { //router has a password, try defaults
foreach (knownpasswords) { //try each known password
if (login(IP, "admin", pass) { //try logging in with a default password
doBadThings(); //hack router
}
}
}
}
}
当然,真正的代码会有所不同(不是单独测试空白密码,而是简单测试已知密码数据库中的第一个密码,数据库将包含默认登录名和密码,因为它们不会总是如此admin,IP 范围可能会有所不同,会有优化,等等),但这就是总体要点。
路由器入侵
一旦恶意软件找到可以登录的路由器,它就可以“攻击”该路由器,进而攻击整个局域网以及连接到它的设备。
DNS 欺骗和缓存中毒
我家网络上的所有移动设备和笔记本电脑在尝试连接到 google.com 时都会收到相同的警报。这种情况怎么会以同样的方式在所有设备上的所有平台上发生?我无法想象网络上的每个设备/平台都会感染相同的病毒。
就你的情况而言,可能发生的是一个简单的DNS 重定向攻击其中路由器上的 DNS 服务器被设置为受感染的 DNS 服务器。
当您访问网页时,计算机会联系 DNS 服务器以查找网站的 IP 地址。通过 DNS 欺骗,受感染的 DNS 服务器会向其他网站(可能托管恶意软件)或看起来像真实网站的钓鱼网站(同样可能托管恶意软件)返回虚假的 IP 地址,或者在执行其他一些坏事(记录您的信息、尝试安装驱动型恶意软件、窃取密码/cookie/等等)。
诊断和维修注意事项
我是否应该认为我的网络的安全性已完全受到损害?
很有可能。在这种情况下,最好断开所有设备与网络的连接,直到问题解决。甚至连接即使您没有登录任何网站,也有可能连接到受感染的网络。简单的连接至少会暴露网络密码,即使没有登录,访问网站也可能会暴露 cookie 之类的信息,或者至少是元数据,例如访问的网站以及时间戳等。应使用没有敏感数据的安全虚拟系统来诊断和修复受感染的路由器。
预防和网络强化
请记住,这与解决问题无关。我会打电话给网络专业人员来处理。我更感兴趣的是问题的起源、来源和方法。我希望以一种可能让我在将来预防它的方式了解这个问题。
为了防止这种情况发生,你必须始终为路由器设置一个好的密码,甚至更好的是,将它们设置为只能通过直接有线连接进行配置(大多数人不需要从外部修改路由器设置,也不需要经常修改,以至于在需要更改时使用电缆会很不方便。这些简单的步骤将急剧地提高您的局域网安全性。
DNS 服务器设置
很明显的注入。我同意 DNS 服务器可能指向受感染或恶意的服务器,或者您的 ISP 试图“提供帮助”。使用 opendns(208.67.222.222 和 208.67.220.220} 或 google dns(8.8.8.8 和 8.8.4.4),在路由器设置中手动分配这些,或将它们分配给一个设备并测试问题是否消失。– Ryan Griggs @RyanGriggs 我从来不需要进入我的路由器设置,我不太明白你的解释。我尝试访问这些 IP 进入,但什么也没得到,所以这一定不是你的意思。然后我尝试了 routerpasswords.com,但这个路由器上完全没有品牌、名称或任何东西。
事实上,你做过需要访问路由器设置。只需添加密码并将其设置为无法从互联网访问(同时,还将其设置为丢弃 WAN 端 ping 以完全隐藏 LAN),即可硬化该系统极大地。
你不会访问Ryan 提到的 IP,你可以设置DNS 服务器路由器上的 OpenDNS 名称服务器(或 Google 或您的 ISP 的名称服务器)的 DNS 解析。这样,您就可以确保从受信任的名称服务器进行正确的 DNS 解析(请确保还清除设备上的 DNS 缓存以避免继续使用任何有毒的 DNS 条目)。
路由器识别
@bkr 它确实是匿名的。没有一丝品牌标识,甚至背面的标签上也没有。
应该还会有某种识别标记。非常少像所有电子产品一样,它应该有一个FCC 识别号可以抬头望去。
此外,正如 Ryan 所说,您可以使用 找到路由器的 IP 地址ipconfig,然后在 Web 浏览器中访问该 IP 地址。即使您不知道路由器的登录详细信息,其 Web 界面也应该有一些一种你可以查找的识别标记。
唔…
@bkr 这是一家本地公司。他们远程连接到路由器,可能是通过这里的一台计算机。
如果是 ISP 的路由器,或者是调制解调器/路由器组合(通常宣传为“增强型家庭 WiFi 网关”),那么他们可能有权远程配置它。在这种情况下,您一定要告诉他们,他们的系统已被入侵,并且不安全。要求他们更好地保护它们,允许您配置路由器,或者至少为您提供基本的调制解调器专用设备,以便您可以获得并使用自己的更优质、更安全的路由器。(您甚至可以得到一点赞誉,作为对他们影响您系统的不安全措施的道歉。)
如果不是 ISP 的路由器,那么可以推测您的路由器没有问题,问题确实出在他们的 DNS 服务器(在 ISP 处被攻陷)上,因为唯一的其他解释是 ISP 入侵了您自己的个人路由器并对其进行了重置。我不确定哪个更令人担忧……
答案2
问题显然是病毒感染,可能出在路由器或 ISP 层面。后者不太可能,因为 ISP 会很快发出信号并修复。因此,很可能是您的路由器被感染了。
所有答案都假设 PC 感染了病毒,进而感染了路由器。但是,路由器也有可能直接从互联网上被感染。如果是这样的话,除非现在采取行动,否则路由器随时可能再次被感染。
例如,请参阅本文: 奇怪的攻击使 Linksys 路由器感染了可自我复制的恶意软件。
我建议采取以下行动:
- 将路由器恢复出厂设置。如果感染消失,则问题根源已得到证实。
- 搜索路由器的最新固件更新
- 更改默认密码
- 如果路由器有 Web 管理选项,请确保已关闭
- 使用多种已知的安全产品对 PC 进行全面的防病毒扫描,尤其是Malwarebytes 反恶意软件。
(如果您给出了路由器的品牌,我可以提供更具体的信息。)