最近觉得家里的电脑太混乱了,装了几十个功能重叠而且各种广告弹窗的软件,比如PPLive的PPAD进程,弹广告居然抢占了Play的端口。想着家里人都是直接下一步下一步的,各种流氓软件捆绑软件满天飞,所以专门花了一个中午的时间重装系统,再打上个WIN7 64位的冰点还原。装好了常用软件同时开启开机还原后,我以为这样就百毒不侵了。没想到才过两三天,新系统的Chrome里就广告满天飞,点都点不掉。
在新系统上使用Chrome访问我的博客还有一些非著名网站都会被插入几层隐藏的全屏div,最可恶的是这些广告层不仅强迫点击弹窗,而且自身带有很淫荡的声音效果。第一次访问别的网站被插入广告,我还以为是那个网站自身的广告。要知道现在的网站为了点点广告费不择手段投放广告,诱导或强制点击。在别的网站出现这些广告还能理解,但当我访问自己的网站也被插播广告的时候我就知道有人在坑爹了。到底谁那么没节操劫持会话,不顾网民感受,强制篡改计算机数据以盈利。因为很久之前研究过电信网络插播广告的技术,而这种行为跟它非常像,所以第一时间怀疑是不是电信某个旁路广告设备出现了故障。电信网络即使插播广告也没有现在这么频繁,基本达到每两次请求插播一次;同时我也相信电信不会投放那么不正经的广告。要不是家里没有电信固话,我老早就想打电话投诉了。
今天实在受不了这些乱七八糟的广告,决定亲自动手定位故障点。暂且叫它故障点吧,还不知道是故障还是人为原因。分析第一个现象,Chrome出现广告的概率很大,而IE和手机没见过广告。可见这个广告推送是有针对性的。因此我怀疑Chrome是不是被感染了。Chrome是有腾讯软件管家安装的,所以为了保险起见,专门跑去Google官网下载离线版Chrome。正当准备重装Chrome,恍惚之间在网上搜到很多人也被插入了p1.0817tt.com打头的广告。网上骂声一片却没有所谓了“相关机构”出来声明,也没有XX高手指出是某个地区的广告投放。网上骂战激烈,而这广告却不懂得低调和收敛,所以可以断定一定不是官方行为。官方投放的广告只能默默承受,而其他行为造成的广告插入完全可以追踪。
百度百不出有效的解决方案,只有个域名屏蔽的方法。看到路由器界面,突然想起前段时间网上流传的路由器弱口令导致DNS被恶意更改。我记得当时我还特意检查一遍家里路由器有没被更改。而现在登入检查却发现默认DNS真的被更改成106.186.31.42和114.114.114.114。这下显而易见了,电信DHCP不会分配像114.114.114.114这样的万金油DNS的,一般都会指派区域DNS以加快解析速度。而106.186.31.42这是一个日本的DNS。看到被更改了默认DNS,我默默地捏了一把汗。这个弱口令隐患若被有心人利用,绝不是插播广告那么简单了。比如更改路由器管理密码,提取上网帐号密码,提取无线密码,开放其他权限等。
被入侵的路由器没有绑定动态域名解析,也没有开启远端管理,那么只有“内鬼”能更改DNS设置了。这内鬼可能是电脑上的恶意软件或网页上的脚本,或者手机上的恶意软件。它只要访问网关并尝试以admin:admin登录即可。或许绝大部分家庭用户都不会更改路由器密码,因此这个缺陷才会影响广泛。
之所以会出现广告,是因为使用了恶意DNS服务器,它将网站解析到广告服务器,由广告服务器请求原网站数据,并在返回时插入广告代码。有点像代理技术,只不过它是邪恶的代理。这也就是所谓的DNS劫持。
这件事提醒我们,尽管是家庭网络,终端用户绝对可信,也不能向全网暴露管理能力。不要嫌麻烦,一定要改密码!!!
最后强烈要求GFW屏蔽106.186.31.42以及p1.0817tt.com。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于