我的家庭网络使用 ZTE (F670L) 路由器。过去几天以来,我一直观察到 SSL 证书错误 (NET::ERR_CERT_AUTHORITY_INVALID),发生的频率突然比以前更高。这种情况最初发生在 Firefox(版本 112.0.2)上,所有无法使用 Firefox 打开的网站都可以使用 chrome(版本 112.0.5615)正常打开。但几天后,chrome 和 Edge 浏览器也开始出现这种情况!现在,除了维基百科或www.google.com也许吧。此外,这种情况发生在我的所有设备上,例如笔记本电脑、平板电脑和手机,以及 Windows 和 Ubuntu。
有趣的是,如果我当时切换到不同的网络(例如,我的手机上的数据网络或通过移动数据热点的 WiFi),所有网站似乎都可以正常打开。我注意到的另一件重要的事情是,通常当出现 SSL 证书错误时,会有一个“高级”按钮选项,用户将“自行承担风险”进入网站!但是,如果我尝试在当前问题的情况下强行进入任何网站,就会打开很多随机页面(例如,我通常会进入一些随机投注或其他广告网页!),而不是所需的页面。此外,如果我尝试从谷歌搜索结果页面打开网站几次(通常说尝试超过 9-10 次后,返回并再次单击网站链接),就会向我提供正确的网站(所有安全证书都具有正确的有效性!)。最后一个要点是,现在我无法使用非常旧的普通 html 页面(非 HTTPS)!
几个月前,我试图将我的路由器暴露给攻击(端口 22 和 23),以便在我的其中一台机器上建立蜜罐(典型的 Cowrie 实现,使用我的一台虚拟机作为蜜罐,另一台虚拟机作为代理后端……没什么特别的!)。自从我进行蜜罐实验以来,这种情况已经持续了很长时间(可能 3 个月)。我附上了两张针对我国(印度)著名新闻网站之一的证书错误的屏幕截图。我没有在路由器中发现任何额外的 IP 地址。路由器固件似乎是专有的,由 TR 069 协议管理。有趣的是,在攻击我的蜜罐的全球 IP 地址中,我发现一些 IP 地址来自我正在使用的同一 ISP!我想知道是否有一种可靠的方法可以确定问题是否与我的路由器可能被入侵有关,还是其他原因?我希望我提供了所有必需的信息!
答案1
肯定有人劫持了您的连接并插入所有这些投注弹出窗口和广告。
TLS 正在执行其工作并告诉您您的连接已受到威胁(TLS 真棒)。不要访问任何您已登录的网站(如果您已登录 Google,则包括 Google),因为攻击者可能会劫持您的登录会话。
可能是你的路由器。我同意你对路由器的怀疑。很多家用路由器确实存在安全问题,这似乎是攻击者可以用家用路由器做的事情。或者,可能是你的 ISP 的路由器,但可能性较小。
它大概与您的蜜罐项目没有任何关系 - 尽管如果攻击者能够逃脱蜜罐,那么蜜罐就有可能被用来从内部攻击路由器。
我敢打赌,如果你用新的路由器替换你的家用路由器,你的连接就会恢复正常。如果你告诉他们发生了什么,你的 ISP 可能会给你寄一个新的。我不确定如何防止除了购买没有安全漏洞的其他路由器之外,还可以采取其他方法防止这种情况发生 - 但在路由器被黑客入侵之前,不可能知道路由器是否存在安全漏洞。
其中一个原因可能是你的路由器密码太容易猜到。如果你知道密码,有些路由器可以通过互联网配置,这样就很容易了。非常对攻击者来说很容易。如果攻击者能够逃离蜜罐,他们也可以从您的网络访问路由器的配置页面。