刚发现主DNS服务器和辅助DNS服务器都改成了95.211.156.101& 5.45.75.11。
我进行了以下设置。
- 用于 WiFi 的 MAC 过滤和 WPA2。
- 管理员密码默认保留。(怀疑这是被利用的漏洞。我敢打赌点击劫持?)
- NAT & IPv4
- WAN 端的所有服务都已关闭,包括 ICMP。
- LAN 端只开启了 HTTP 接口。
- 另外两台 Windows 笔记本电脑通过 WiFi 连接到调制解调器。供年长的父母和孩子使用。可能是最简单的目标。扫描病毒/木马。什么都没找到。
了解我应该采取哪些步骤来锁定网络以免再次受到攻击会很有帮助。此外,除了 DNS 名称之外,还可能发生什么样的数据泄露?这些 IP 是否为任何人所知?
编辑 :
调制解调器:DSL-2750U
固件版本:IN_1.10
许多 DSL 调制解调器从 WAN 端打开以供电信公司使用(您可以尝试从 WAN 端远程登录,看看它是否在您的调制解调器上打开,尝试默认用户名/密码 [1]),而它可能是 ISP更改 DNS 服务器似乎不太可能,因为 IP 不在同一范围内。
正如您所说,最有可能的入侵媒介是简单的跨站点脚本攻击。防范 XSS 通常很难,除了保持浏览器更新外,用户通常无能为力。更改密码当然可以抵御大多数此类攻击,但在登录调制解调器时仍然使您容易受到攻击。
最坏的情况(可能(?)可能性很小)将是调制解调器固件的更改,调制解调器重新启动时会出现几分钟的停机时间。任何人都可以猜测,在数据泄漏方面,您会留下什么,但理论上最坏的情况是损害所有未使用端点身份验证(如 SSL)进行端到端加密的网络流量。
DNS 服务器本身的更改会将所有未缓存的域名请求泄露给第三方,DNS 所有者可能会提供错误的 DNS 结果。(例如,当您请求 mybank.com 的 IP 时,提供 fakebank.com 的 IP,或者只是给您一个正确的网站但有额外的广告)。这是一个更有可能的情况。