我不认识我的 DNS 服务器地址:这是否意味着我被入侵了?

信息安全 linux ubuntu dns 欺骗
2021-09-04 15:45:46

我使用 Ubuntu GNOME Linux 发行版作为我的桌面。最近,我无法用它连接到互联网。当我检查它的网络设置时,我看到 DNS 地址是46.161.40.29.

当我在我的另一个桌面(一台 Windows 7 机器)上搜索这个 IP 地址时,我发现了文章http://anti-hacker-alliance.com/index.php?details=46.161.40.29

在我的 Linux 机器上,我将 DNS 名称服务器设置/etc/resolv.conf8.8.8.88.8.4.4,并且能够访问 Internet。

请注意,每次我重新启动机器时,我都无法连接到 Internet,并且 DNS 文件 ( /etc/resolv.conf) 是空白的。我的有线连接也没有显示在网络管理器中。

我仍然46.161.40.29在我的有线连接设置中看到:

显示 DNS 设置为 46.161.40.29 的网络管理器

我的电脑被入侵了吗?如果是这样,攻击者可以做什么?

注意:我使用的是 D-Link DSL-2520u 家庭调制解调器,固件版本为 v1.08。当我在调制解调器接口 (192.168.1.1) 中检查我的 DNS 设置时,它会将主 DNS 地址指向 188.42.254.137,将辅助 DNS 地址指向 8.8.8.8。

4个回答

您的环境中的某些东西肯定受到了损害。您的路由器似乎更有可能遭到入侵。您没有提供太多信息,所以我将做出一些基本假设:

  • 你在家
  • 您使用 ISP 提供的商用路由器
  • 您没有采取任何措施来保护您的路由器
  • 您的 linux 桌面是路由器的 DHCP 客户端。

这些设备通常具有用户从不更改的默认密码和未修补的关键固件漏洞。作为路由器的 DHCP 客户端,您的 Linux 桌面将提取 DNS 信息作为其 DHCP 请求的一部分,因此将看到您在上面描述的行为。在 resolv.conf 中配置其他 DNS 服务器只是一种解决方法。我强烈建议您尝试登录路由器(根据您的屏幕截图,可能是@192.168.1.1)。我打赌你做不到。您可能必须将其重置为出厂默认设置,然后登录。您需要更好地保护它 - 更新固件,更改默认密码,并希望这就足够了。

要在不登录路由器的情况下进行确认,请检查 Windows 桌面上的 DNS 配置。如果它指向相同的 46.161.40.29,那么它很可能是路由器。

看看这个资源:http :
//thesimlesynthesis.com/post/how-to-set-a-static-ip-and-dns-in-ubuntu-14-04

总之,您可能正在更新 /etc/resolv.conf,但 Ubuntu 正在根据其他预定义设置重写它。您可以将 /etc/resolv.conf 视为系统从各种选项派生的结果条目。

检查 head/base/tail/interfaces 条目引用的位置并查看它们是否已更新(可能会很好地记下权限、所有权和更改日期)。我希望您会发现其中一个或全部具有不需要的名称服务器条目。更新文件并重新生成 resolv.conf 文件(上述条目中的步骤看起来正确,但搜索 Ubuntu KB 以验证您的特定版本 Ubuntu 的正确过程不会有任何影响)。

最后但同样重要的是...... resolv.conf 的更新可能只是对系统的更改之一,其他令人讨厌的项目可能潜伏着。如果是我......一旦我保护了我的网络(正如你通过在路由器上设置好的密码等来查看的那样),我会重新安装。

如果您还不想重新安装,至少要更改系统上的所有密码(所有用户和 root)。如果有人更新了 resolv.conf,他们已经获得了 root 访问权限(除非你有时髦的权限,只有 root 或具有 sudo 访问权限的用户应该能够更新 resolv.conf)并且可以轻松获取你的影子文件并拥有你的密码哈希.

这也可能是自己造成的......想想安装一些提示你提升访问权限(sudo)的东西,你认为它正在做 xyz,而实际上它正在做 XYZ 并且你可能已经对自己做了(有时漏洞是不是犯罪策划者的工作,而是机会黑客的工作)。

祝你好运。

修复了 Dlink DSL 2520U 上的 DNS 劫持问题。进入调制解调器界面。单击高级 - 远程管理。在远程管理设置下,勾选启用远程管理选项。将 Remote Admin Port 保留为默认值 80。为 Remote Admin Inbound Filter 选择 Deny All 选项。下一个选项详细信息自动变为不允许任何人。单击应用设置并重新启动调制解调器。dns 服务器现在永远不会被更改或被劫持。在我启用远程管理之前,dns 服务器会被劫持并每天或有时在几个小时内更改,我的互联网性能和速度会下降,直到我手动更改 dns 服务器。自从我启用了远程管理设置以来,我调制解调器上的 dns 服务器现在已经一个月没有改变了。

我有同样的问题。我在我的 PC 上运行 linux Ubuntu 12.04 / Win Xp(双操作系统),并且我有一个我在印度购买的 DSL 2520U 调制解调器。起初一切都很好。几周后,我注意到这个线程中描述的问题。我怀疑的原因是由于我通常访问的网页加载缓慢,有些页面根本无法加载。我的 ISP 推荐自动获取 DNS 服务器设置(不是手动设置)。发生的情况是有人(黑客或互联网上的某个人更改了调制解调器中的固件代码)进入我的调制解调器,将其更改为手动 dns 设置,并将 31.3.XX.YY 等 2 个地址用于主 DNS 和辅助 DNS。我会重置为自动,它会在 2 小时内变回手动。这很令人沮丧。

我打电话给我的 ISP,他们不明白为什么。访问了 Dlink 支持并重新加载了固件(相同的固件,因为他们没有更新)但问题仍然存在。甚至重新格式化了我的硬盘并重新加载了 Ubuntu,但问题并没有消失。最后觉得调制解调器有固件错误并切换到 TP-LINK 8816 有线 LAN 调制解调器并且问题已经解决(至少现在)。我认为 DLINK 2520u 存在安全问题,被我们不小心访问的某些网站所利用。

我的建议是所有有线局域网调制解调器都很便宜,你应该切换而不是浪费时间。我知道 TP LINK 可以工作,但你可以试试 Net Gear 甚至 Cisco,如果他们在用户级别有的话。

其它你可能感兴趣的问题
上一篇哲学:限制密码空间可提高安全性 下一篇哪些安全要求是金融行业的事实标准?