作者chris0325 (Tangerine Dream)
看板AntiVirus
标题[求救] 分享器中木马?
时间Fri Nov 17 08:25:00 2017
1. 叙述问题:
家中有两台WIFI分享器,分别连至中华的小乌龟
前天其中一台出现异状,手机连上都会出现"网路需要登录"之类的讯息
但点下去只会跳出一个全灰底的页面显示
"为了更好体验浏览效果,请更新到最新chrome版本"
另外开Youtube缩图无法显示,点进影片可以播但下半部(直立时)会显示没有网路连线
後来用笔电+网路线直接连那台分享器测试
用chrome开GOOGLE首页一样会跳出"为了......请更新到最新chrome版本"的讯息视窗
且只有确定和X可以点,此时chrome下方的状态列会显示"等候count28.51yes.com..."
然後不管是点确定或关闭都会自动下载一个chrome.apk的档案
此外其他google服务都打不开,但部分网站如mobile01、气象局又连的上
以上所有的异常只要连线到另一台分享器或用行动网路就都正常了
试过将分享器重开、更新韧体都无法解决
搜寻51yes.com发现许多有关木马的情报
因此怀疑是分享器被植入木马了,也担心手机和笔电会不会也因此被感染
或是分享器的木马根本就是从手机或电脑来的....@@
想请教版上的前辈们接下来应该怎麽处理? 谢谢!
2. 系统资料:
笔电: WIN10+内建防毒防火墙
手机: Android 7.1.1,无防毒软体
分享器: Sapido,WIFI和系统管理皆非预设密码
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.217.201.97
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1510878303.A.4BE.html
1F:推 limingtsai: 有试过reset分享器吗?我记得有reset的小洞 11/17 08:44
2F:推 DINJIAPC: 你乌龟有重开过吗 11/17 09:52
3F:推 skycat2216: reset後更新韧体 11/17 10:11
4F:→ smiling: 设备连另一台分享器都能正常显示,基本上与业者线路、数 11/17 12:34
5F:→ smiling: 据机无关;先将分享器reset 还原重设看看吧。 11/17 12:35
6F:→ chris0325: 分享器的DNS被窜改?回家试试看reset回原厂看看,Thx! 11/17 12:45
7F:推 weichen5566: 我最近也遇到一台是DIR-101,DNS设定被指向某IP,就 11/17 12:50
8F:→ weichen5566: 会出现版本过旧什麽之类的,然後会下载chrome.apk 11/17 12:51
9F:→ weichen5566: 後来重置後隔天一样被入侵修改,密码有改过,判断是 11/17 12:52
10F:→ weichen5566: 韧体有漏洞导致,换了ASUS RT-N12目前是正常了 11/17 12:53
11F:→ weichen5566: 另外DNS被改之後局部热门首页网站都会进不去 11/17 12:54
刚第一步先拔外网线,再检查DNS设定真的变手动了,指向202.239.38.232&235
回复原厂後恢复自动DNS,关掉远端管理,重设SSID、WIFI与管理者密码
目前看来是都正常了
12F:推 wenjie0810: 最近处理的三台分享器被窜改都是Sapido 的,有没有这 11/17 15:21
13F:→ wenjie0810: 麽巧合? 11/17 15:21
14F:→ sigurose: 可能是分享器有安全性漏洞,导致攻击者可以获得路由器的 11/17 17:02
15F:→ sigurose: 管理者权限,从而修改路由器设定&运行恶意程式码&上层DN 11/17 17:02
16F:→ sigurose: S伺服器设定,可以尝试重置分享器&变更管理者密码&关闭 11/17 17:03
17F:→ sigurose: 远端管理&更新韧体 11/17 17:03
18F:→ DINJIAPC: 如果是入门到一般用图约1000_4000只推荐华硕分享器 11/17 17:19
19F:→ DINJIAPC: 只能先建议直接用pppoe先拨号然後再把分享器先停用掉问 11/17 17:21
20F:→ DINJIAPC: 原厂认体方案。没下文就直接换牌了 11/17 17:21
已更新到最新版韧体了,先用一阵子看看,再被窜改真的就拒绝往来了
21F:推 APM99: 华硕还是买主机版吧 分享器就算了请考虑别牌 11/17 18:21
22F:推 waterblue85: 在台湾就华硕分享器价格和保固比较正常 11/17 19:13
23F:推 DINJIAPC: 说真的1000元下的分享器都不太能用 11/17 19:39
24F:→ DINJIAPC: 华硕则是特定价位与型号能用比如may,n18u,ac66 11/17 19:40
25F:→ DINJIAPC: n16 11/17 19:40
※ 编辑: chris0325 (218.173.174.19), 11/17/2017 23:59:52
26F:推 waterblue85: 那你的登入帐密都有改掉吗?不是预设的? 11/18 00:57
27F:→ waterblue85: 现在反而是华硕韧体不用太担心他不更新吧 11/18 00:59
28F:→ waterblue85: 之前才被美国当韧体疏失没有积极改善 11/18 00:59
29F:→ waterblue85: 现在被处罚一定要维护韧体的漏洞 11/18 00:59
30F:推 waterblue85: 再来华硕算是第三方韧体支援的机种很多了 11/18 01:11
31F:推 ming1225: 我也是跟你遇到相同问题 路由器也是sapido的 後来按res 11/18 10:04
32F:→ ming1225: et重新设定之後就正常了 供你参考 11/18 10:04
33F:推 ilanese: 到Broad_Band板找标题为「後门」的文章,就知道一堆路由 11/18 13:37
34F:→ ilanese: 器都有後门。 11/18 13:38
35F:→ ilanese: 基本上,中国品牌就别说了,其他在中国设厂的品牌也有可 11/18 13:39
36F:→ ilanese: 能在制造过程中被加了恶意程式。 11/18 13:39
37F:→ APM99: 宁可用中国恶意程式至少有人抓得出来 11/18 15:32
38F:→ APM99: 美国的技术 想抓到? 十年二十年後吧 呵呵 11/18 15:32
39F:→ wenjie0810: ming1225大大,你的型号是不是 GR297n ? 11/19 22:27
40F:推 loxyz: 最近Sapido RB1802也被偷改DNS设定 11/20 20:47
41F:推 IOU9527: 怎麽会有人想买傻多...... 11/23 12:37
42F:推 yohoboy: 傻多有我需要的功能呀.小巧,多连线方式(gsm,wan,ap) 11/24 23:36
43F:→ DINJIAPC: 华电的数据机就有分享器功能 很多还一装设就开了 11/29 22:22
44F:推 c3632571: 买2801+2950取代 结案(大误 12/06 20:16