Hemsida » hur » Så här kontrollerar du routern för skadlig kod

    Så här kontrollerar du routern för skadlig kod

    Konsumentruter säkerhet är ganska dålig. Attackers drar nytta av lackadaisical tillverkare och attackerar stora mängder routrar. Så här kontrollerar du om din router har äventyras.

    Hemmet router marknaden är mycket som Android smartphone marknaden. Tillverkare producerar ett stort antal olika enheter och stör inte uppdateringen och lämnar dem öppna för attack.

    Hur din router kan gå med i den mörka sidan

    Attackers försöker ofta ändra DNS-serverns inställning på din router och pekar på den på en skadlig DNS-server. När du försöker ansluta till en webbplats - till exempel din banks webbplats - anger den skadliga DNS-servern dig att gå till en phishing-plats istället. Det kan fortfarande säga bankofamerica.com i din adressfält, men du kommer att vara på en phishing-webbplats. Den skadliga DNS-servern svarar inte nödvändigtvis på alla frågor. Det kan helt enkelt ta slut på de flesta förfrågningar och sedan omdirigera frågor till din Internetleverantörs standard DNS-server. Ovanligt långsamma DNS-förfrågningar är ett tecken på att du kan få en infektion.

    Skarpa ögon kan märka att en sådan phishing-webbplats inte kommer att ha HTTPS-kryptering, men många skulle inte märka. SSL-strippningsattacker kan till och med ta bort kryptering i transit.

    Attackers kan också bara injicera annonser, omdirigera sökresultat eller försöka installera nedladdningar av drivrutiner. De kan fånga in förfrågningar om Google Analytics eller andra skript nästan varje webbplatsanvändning och omdirigera dem till en server som tillhandahåller ett skript som istället sprutar in annonser. Om du ser pornografiska annonser på en legitim webbplats som How-To Geek eller New York Times, är du nästan säkert infekterad med någonting - antingen på din router eller på datorn själv.

    Många attacker använder sig av angrepp på flera platser (CSRF). En angripare inbjuder till skadlig JavaScript på en webbsida, och att JavaScript försöker ladda routerns webbaserade administrationssida och ändra inställningar. Eftersom JavaScript körs på en enhet i ditt lokala nätverk kan koden få åtkomst till webbgränssnittet som bara är tillgängligt i ditt nätverk.

    Vissa routrar kan ha sina fjärrstyrningsgränssnitt aktiverade tillsammans med standard användarnamn och lösenord - bots kan söka efter sådana routrar på Internet och få tillgång. Andra utnyttjanden kan utnyttja andra routerproblem. UPnP verkar vara sårbar på många routrar, till exempel.

    Hur man kontrollerar

    Det enda meddelande som en router har äventyrat är att DNS-servern har ändrats. Du vill besöka din routers webbaserade gränssnitt och kontrollera dess DNS-serverns inställning.

    Först måste du komma åt din routers webbaserade installationssida. Kontrollera nätverksanslutningens gatewayadress eller konsultera routerns dokumentation för att få reda på hur.

    Logga in med din router användarnamn och lösenord, om det behövs. Leta efter en "DNS" -inställning någonstans, ofta på skärmen WAN eller Internet-anslutning. Om den är inställd på "Automatisk", är det bra - det hämtar det från din Internetleverantör. Om det är inställt på "Manuell" och det finns anpassade DNS-servrar inskrivna där, kan det mycket väl vara ett problem.

    Det är inga problem om du har konfigurerat din router för att använda bra alternativa DNS-servrar - till exempel 8.8.8.8 och 8.8.4.4 för Google DNS eller 208.67.222.222 och 208.67.220.220 för OpenDNS. Men om det finns DNS-servrar där du inte känner igen, det är ett tecken på att skadlig kod har ändrat din router för att använda DNS-servrar. Om du är osäker, utför en webbsökning för DNS-serverns adresser och se om de är legitima eller inte. Något som "0.0.0.0" är bra och betyder ofta att fältet är tomt och routern automatiskt får en DNS-server.

    Experter rekommenderar att du kontrollerar denna inställning ibland för att se om din router har äventyras eller inte.

    Hjälp, det finns en skadlig DNS-server!

    Om det finns en skadlig DNS-server konfigurerad här kan du inaktivera den och berätta för routern att du använder den automatiska DNS-servern från din Internetleverantör eller skriv in adresserna på legitima DNS-servrar som Google DNS eller OpenDNS här.

    Om det finns en skadlig DNS-server som anges här kanske du vill torka bort alla routers inställningar och fabriksåterställa den innan du ställer in den igen, bara för att vara säker. Använd sedan trickarna nedan för att säkra routern mot ytterligare attacker.

    Härdning av din router mot attacker

    Du kan säkert härda din router mot dessa attacker - något. Om routern har säkerhetshål har tillverkaren inte patchat, du kan inte helt säkra den.

    • Installera firmwareuppdateringar: Se till att den senaste firmwareen för routern är installerad. Aktivera automatiska uppdateringar om routern erbjuder det - tyvärr gör de flesta routrar inte. Detta garanterar i alla fall att du är skyddad mot eventuella brister som har blivit patchade.
    • Inaktivera fjärråtkomst: Inaktivera fjärråtkomst till routerns webbaserade administrationssidor.
    • Ändra lösenordet: Ändra lösenordet till routerns webbaserade administrationsgränssnitt så att angripare inte bara kan komma in med standarden.
    • Stäng av UPnP: UPnP har varit särskilt utsatt. Även om UPnP inte är sårbart på din router, kan en del av skadlig programvara som kör någonstans inom ditt lokala nätverk använda UPnP för att ändra din DNS-server. Det är bara hur UPnP fungerar - det litar på alla förfrågningar som kommer från ditt lokala nätverk.


    DNSSEC ska ge ytterligare säkerhet, men det är ingen panacea här. I den verkliga världen litar varje klients operativsystem bara på den konfigurerade DNS-servern. Den skadliga DNS-servern kan hävda att en DNS-post har ingen DNSSEC-information, eller att den har DNSSEC-information och den IP-adress som skickas längs är den riktiga.

    Bildkrediter: nrkbeta på Flickr