百度服务器被黑客植入篡改路由器DNS的恶意脚本

心灵徘徊

今天上网时弹出一个路由器的登录框，很明显是最近比较流行的路由器DNS劫持攻击，抽时间分析下结果被惊到了，包含恶意脚本的url竟然在百度服务器上。看来是百度服务器有漏洞被攻击者利用了。

事态紧急，估计不少网站已经感染了恶意脚本，在乌云提交漏洞又要审核一段时间，先发出来提醒大家注意，路由器千万不要用默认密码！！转帖请注明作者：Pentest.mobi@wooyun

下面是详细分析：
打开这个网址http://limit.bbyyt.com/center.html，页面弹出路由器登录框。


输入路由器管理用户名和密码后路由器DHCP的主DNS和备用DNS均被篡改。



于是打开firebug查看网络请求过程，果然发现两条利用路由器漏洞篡改路由器设置的网络请求，


为了搞清楚原因，揪出是哪个网站被挂马了，向上追溯发现包含恶意脚本的url竟然在百度的服务器上，


打开http://cb.baidu.com/ecom?di=xxxxxx&fn=BAIDU_CLB_SETJSONADSLOT&tpl=BAIDU_CLB_SETJSONADSLOT&asp_refer=页面内容如下：


页面为一段加密的js脚本，解密后还原恶意脚本的真实行为：篡改路由器DHCP服务的DNS和篡改路由器管理密码。


再来看看路由器的DNS被篡改后，上网会有哪些影响，打开多玩英雄联盟果然弹出很多广告和欺诈信息，应该就是最近流行的dns劫持常干的勾当。

gwsbhqt

了解，感谢第一时间分享...改密码去了...

dcfan

我草，cb.baidu.com是百度联盟广告的服务器，看来是黑客通过广告形式把恶意脚本提交给百度，百度审核不严，把带毒广告又推送给百度联盟网站，一下子就是成千上万的网站通过百度联盟广告挂马啊

管保振

。。。。。cb.baidu.com是干啥的？怎么会被攻破的？

wwwscan

其实在9月份爆出云储存服务器存在漏洞,被黑客利用,提权,各大公司就应该注意了。。。。。
每一次出现漏洞，只要不发生自己身上，就不动，发身到自己身上就开始推托。。。。。。

XywCloud

我的路由器一开始做的第一件事就是改管理密码…

恋爱的夏娜

XywCloud 发表于 2013-11-23 00:04
我的路由器一开始做的第一件事就是改管理密码…

宿舍那几个同学不愿意改密码，我倒是早就想改了。

li13911

@百度杀毒国内版 请通知相关部门，劳烦了

dongyishaonv

我怀疑：这个也属于百度广告的一种……

东夷少女

我怀疑：这个也属于百度广告的一种……