查看: 7658|回复: 22
收起左侧

[讨论] 百度服务器被黑客植入篡改路由器DNS的恶意脚本

[复制链接]
心灵徘徊
发表于 2013-11-22 23:10:52 | 显示全部楼层 |阅读模式
今天上网时弹出一个路由器的登录框,很明显是最近比较流行的路由器DNS劫持攻击,抽时间分析下结果被惊到了,包含恶意脚本的url竟然在百度服务器上。看来是百度服务器有漏洞被攻击者利用了。

事态紧急,估计不少网站已经感染了恶意脚本,在乌云提交漏洞又要审核一段时间,先发出来提醒大家注意,路由器千万不要用默认密码!!转帖请注明作者:Pentest.mobi@wooyun

下面是详细分析:
打开这个网址http://limit.bbyyt.com/center.html,页面弹出路由器登录框。


输入路由器管理用户名和密码后路由器DHCP的主DNS和备用DNS均被篡改。



于是打开firebug查看网络请求过程,果然发现两条利用路由器漏洞篡改路由器设置的网络请求,


为了搞清楚原因,揪出是哪个网站被挂马了,向上追溯发现包含恶意脚本的url竟然在百度的服务器上,


打开http://cb.baidu.com/ecom?di=xxxxxx&fn=BAIDU_CLB_SETJSONADSLOT&tpl=BAIDU_CLB_SETJSONADSLOT&asp_refer=页面内容如下:


页面为一段加密的js脚本,解密后还原恶意脚本的真实行为:篡改路由器DHCP服务的DNS和篡改路由器管理密码。


再来看看路由器的DNS被篡改后,上网会有哪些影响,打开多玩英雄联盟果然弹出很多广告和欺诈信息,应该就是最近流行的dns劫持常干的勾当。

gwsbhqt
头像被屏蔽
发表于 2013-11-22 23:15:29 | 显示全部楼层
了解,感谢第一时间分享...改密码去了...
dcfan
发表于 2013-11-22 23:15:56 | 显示全部楼层
我草,cb.baidu.com是百度联盟广告的服务器,看来是黑客通过广告形式把恶意脚本提交给百度,百度审核不严,把带毒广告又推送给百度联盟网站,一下子就是成千上万的网站通过百度联盟广告挂马啊
管保振
发表于 2013-11-22 23:16:45 | 显示全部楼层
。。。。。cb.baidu.com是干啥的?怎么会被攻破的?
wwwscan
发表于 2013-11-22 23:39:33 | 显示全部楼层
其实在9月份爆出云储存服务器存在漏洞,被黑客利用,提权,各大公司就应该注意了。。。。。
每一次出现漏洞,只要不发生自己身上,就不动,发身到自己身上就开始推托。。。。。。
XywCloud
发表于 2013-11-23 00:04:27 | 显示全部楼层
我的路由器一开始做的第一件事就是改管理密码…
恋爱的夏娜
头像被屏蔽
发表于 2013-11-23 00:33:41 | 显示全部楼层
XywCloud 发表于 2013-11-23 00:04
我的路由器一开始做的第一件事就是改管理密码…

宿舍那几个同学不愿意改密码,我倒是早就想改了。
li13911
发表于 2013-11-23 04:19:39 | 显示全部楼层
@百度杀毒国内版 请通知相关部门,劳烦了
dongyishaonv
头像被屏蔽
发表于 2013-11-23 06:13:01 | 显示全部楼层
我怀疑:这个也属于百度广告的一种……
东夷少女
头像被屏蔽
发表于 2013-11-23 06:13:35 | 显示全部楼层
我怀疑:这个也属于百度广告的一种……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 03:46 , Processed in 0.125553 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表