发生在现实生活中家庭路由器入侵的真实案例

背景:

今天周末约在朋友家一起吃饭,饭后拿手机上网,心想以后还会常来就,就要一下他们家的无线路由密码吧,被告密码后,发现他们家的无线路由密码很简单,就跟他开玩笑说,你家无线密码这么简单也不怕别人蹭网?他很有自信的跟我说,没事,我都看过路由器了,没有异常客户端连接,不过就是网速很慢,10m/s的带宽下载速度一直都是200kb/s,我说那不正常啊。然后我就说给他看一下,就有下面的经历~

排查问题:

用他的电脑尝试登录路由器,记得tp-link路由的ip是192.168.1.1,在浏览器里打开,连接了半天竟然超时,ipconfig查看一下,网关地址确实是192.168.1.1,尝试telnet 80端口,发现连接失败,到这里
我们猜想一下有这两种可能:
1,WEB管理端口被修改了
2,仅允许白名单中的MAC地址访问WEB管理页面
那么,先来验证一下第一种可能,我手工尝试了8080,81,88等端口,发现都不能访问,无奈就下载了nmap进行端口扫描,扫描结束后,发现路由器只开放了1900端口,
(科普:路由器1900端口,这是路由器的upnp服务,可以使路由器的NAT模块做自动端口映射,将BitComet监听的端口从路由器映射到内网电脑上。主要为一些视频播放器和迅雷等p2p软件提供服务。)
在路由器的这个地方可以看到:
Snip20150628_26
接着说,端口扫描完后,竟然没有发现web管理端口,真是奇了怪了…那说明是第二种情况了,如下图:
Snip20150628_28
他的电脑Mac地址不在白名单,这怎么办啊,他们家一共三个人,都说不知道,没有改过。
我查了一下他们的家的公网ip,然后把ip地址在浏览器里输了一下回车,路由的登录页面竟然呈现在我们眼前,第一反应就是,他们家路由被黑了啊。还被映射到公网上去了。
本以为这样就能登录路由管理页面了,可知试了几个他们的常用密码都不正确,尝试爆破登录也没有成功,真是无(ri)奈(le)啊(gou)~
因为其他人还要上网,也没有其他路由器,只能将路由器reset了,要是我一定保护第一现场环境,把那个人揪出来啊,不知道reset后还有之前的日志吗,宽带账号密码也忘了,打客户电话问~~然后是各种改密码,囧~

事后分析:

1,攻击者可能会是谁?
我们不可能找到具体某个人,但这个人之前连接到过他们的无线局域网环境的可能性比较大,可能是他们家里自己人?可能是访客,也可能是他们家附近的人,通过破解他们的Wi-Fi密码,连接到他们的无线路由。还有一种可能就是利用路由器的csrf漏洞,他们访问了存在CSRF恶意代码的网站,执行了这一系列操作。

2,家庭路由器通过pppoe拨号,每当断开连接或者重启路由,公网的ip就会变,攻击者是怎么得到他的动态公网ip的呢?
这里需要用到tp-link自带的动态dns功能,可以绑定花生壳账号,如下图:
Snip20150628_29

登录成功后会显示你的域名信息,然后通过花生壳客户端进行更新,得到路由器的ip,如下图:

Snip20150628_30或者说直接访问域名就可以解析到无线路由的管理页面,前提都是要启用远程web管理,如下图:
Snip20150628_31
3,控制路由器后,攻击者可以干什么坏事?
最常见的就是路由器DNS劫持,当路由器的dns被修改为攻击者自己搭建的dns后,你的所有经过dns的流量都是不安全的了,劫持到广告页面,劫持到钓鱼页面,这些都很常见,最可怕就是获取的你的账号信息,详情见WiFi流量劫持—— JS脚本缓存投毒

4,如何避免这一悲剧发生呢?
(1)禁用DHCP功能    (2)无线密码加强,字母数字大小写特殊符号10位以上    (3)修改路由管理密码    (4)关闭SSID广播    (5)升级路由器版本

未经允许不得转载:SuperMan's blog » 发生在现实生活中家庭路由器入侵的真实案例

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址