记一次联通路由器劫持的分析过程
这里说一个比较奇怪的PC故障,一朋友电脑可以正常登陆QQ但是打开网页无论是什么页面都会自动跳转到一个网页,这个地方联通宽带的页面上,这里说一下朋友的网络是电信跳转到联通相关页面肯定不正常,跟很多人一样我想到的也是系统中毒,因为只有这样才能够解释。
既然QQ能登陆也就代表本地已经拨出去了外网实际是没问题的顶多只是DNS的故障,但是页面“被”跳转就不属于这类问题了。所以我怀疑中毒了而且是IE劫持。
在此顺便给大家普及下计算机中“劫持”这词,劫持可以分为分很多种,有大家常常听见的那些广泛的也有较为狭窄较为针对性的,比如大家常说的映象劫持它其实也可以叫做进程劫持,如果它是通过DLL注入映象或者注入内存的话也可以叫做DLL劫持。
还有一种常见的“网络劫持”,它其实也有着更加广泛的名词,比如修改HOSTS文件植入X.acme代码屏蔽站点或跳转指定页面,这种较为针对性可以称为HOSTS劫持,用类似ettercap这样的工具做中间人毒化网关通过本地脚本来完成数据重定向这种叫做ARP劫持或路由器劫持,利用路由的JS或http(数据)这些有重定向和编辑功能的来植入数据或转发数据可以针对性的叫做“JS劫持”、“页面劫持”或“路由器劫持”。这是一个无底洞有着许许多多的说法但大伙都习惯了用大众化的名词来称呼这些劫持事件,比如一个监听和劫持注册表的事件直接称为系统劫持,一个LSP协议劫持称为网络劫持。的这里说的IE劫持是指针对本地IE组件的一种非法删改或利用其它进程监听页面请求数据来达成跳转的一种目的。
首先检查了下IE中的插件和设置都没有异常,查看了hosts文件无异常,同时打开一个QQ会话窗口点击QQ秀发现面板里跳转的还是联通宽带的页面,排查了很多表明IE是没问题的不存在组件被劫持,那么下面只能排查网络了也许是DNS劫持,我追踪了下路由跃点。
数据流向都没问题其中一个100.64.0.1是电信NAT都很正常,又试了下清理缓存和手动配置DNS。
一切都OK,电脑没有中毒网络流向也很正常不存在ARP和DNS劫持那么是什么让我的http数据被劫持跳转到了其他页面呢?
困惑了很久我想到页面,排查了一圈这个网站从页面元素到检查代码和抓包分析都表明这个页面是一个正常页面不存在恶意行为,那到底是哪方面疏忽了呢?剩下的只有一个了那就是路由器本身,说也奇怪朋友的路由器是联通的但是宽带却是电信AD,原本路由器是很早前办理宽带联通送的一个非常简单连端口映射和DHCP分配列表这些基本东西都没有,甚至固件版本和内部信息都无法查看,由于无法查看到它内部定位不到固件文件但不管怎么说我都确定是它的问题,能做这种事的简直是无耻加恶心之前遇到过营运商对路由器的DNS劫持也只是小面积的事件比如对指定页面引入的jQuery植入特定参数,和小部分URL数据跳转但这次它居然无耻到了全局劫持,简直无耻到极点!
后面我重刷了一遍路由固件果不其然问题马上解决了。。
记一次联通路由器劫持的分析过程相关推荐
- 记一次粗浅的钓鱼样本分析过程
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞.技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬 ...
- 疑似天津联通hei产:记一次被流量劫持薅羊毛
不得不说,做开发这么多年,流量劫持这个东西,大都只是:"听说过,没见过,两万五千里~".这次结结实实被坑了一把,还是头一回.出来混,该经历的逃不过. 说来你不信 话说我们团队(坐标 ...
- 疑似天津联通黑产:记一次被流量劫持薅羊毛
不得不说,做开发这么多年,流量劫持这个东西,大都只是:"听说过,没见过,两万五千里~".这次结结实实被坑了一把,还是头一回.出来混,该经历的逃不过. 说来你不信 话说我们团队(坐标 ...
- 斐讯路由器劫持贴吧无法打开分析
斐讯路由器劫持贴吧无法打开分析 k2路由器 软件版本号:22.6.534.263 解决办法 在hosts文件中插入127.0.0.1 t.wsgblw.com即可临时解决. 想长期解决建议更换路由器. ...
- 网络工程师学习参考资料路由器配置案例分析
网络工程师学习参考资料路由器配置案例分析 2006-08-30 23:01:00 标签:配置 路由器 案例 网络工程师 [推送到技术圈] INTERNET共享资源的方式越来越多,就大多数而言,DDN专 ...
- 针对校园 移动 联通 路由器安装方法
Linux协会针对校园 移动 联通 路由器安装方法 准备材料: 路由器两个 Tip:记为路由器A B(路由器A可以使用任何一种路由器 路由器B需要支持L2TP功能 ) L2tp功能的路由器上淘宝输入 ...
- linux 环境变量文件_应急响应系列之Linux库文件劫持技术分析,有点硬核哟
0×01 菜逼阶段 Linux库文件劫持这种案例在今年的9月份遇到过相应的案例,当时的情况是有台服务器不断向个可疑IP发包,尝试建立连接,后续使用杀软杀出木马,重启后该服务器还是不断的发包,使用net ...
- Zoom 5.1.2及旧版本在 Win7 上的 DLL 劫持漏洞分析
聚焦源代码安全,网罗国内外最新资讯! 一 漏洞原因 Zoom 5.1.2及之前版本尝试加载了一个名为 shcore.dll 的系统库文件来辅助设置显示 Dpi,但是这个库文件在 Win7 Syste ...
- 记一次 JAVA 的内存泄露分析
记一次 JAVA 的内存泄露分析 摘要:本文属于原创,欢迎转载,转载请保留出处:https://github.com/jasonGeng88/blog 当前环境 jdk == 1.8 httpasyn ...
最新文章
- 广联达2018模板算量步骤_工程人必须掌握:这9份软件算量教程+24份算量计算表,无偿分享...
- 没想到,Git居然有3种“后悔药”!
- linux与mysql_Linux与MySQL
- 这6个动作,据说只有20%的人能做到!| 今日最佳
- c 语言读取注册表信息,C++读取注册表的实现方法
- 【声传播】——角谱理论、模式理论及三维傅里叶变换
- ACM PKU 1251 Jungle Roads http://poj.org/problem?id=1251
- [OT]“蓝帽”会议
- 淘宝无货源自动群控软件一键铺货接口对接说明
- 记号, 函数空间及不等式
- 通过有线网卡共享无线网络
- 2021年疫情再度爆发,面对停课教培机构该如何应对?
- # 3 网页实现吃豆子动画
- 火箭发射:点击率预估界的“神算子”是如何炼成的?...
- GPU Counter功能更新|支持Adreno、PowerVR芯片
- 网络工程师学习笔记——RIP路由汇总实验配置精讲
- 用python从Oracle中读数据
- 【nodejs】mocha+chai+nyc基础
- h5移动端调试工具vConsole
- win10一键卸载所有自带应用