[求救] 分享器中木馬?

作者chris0325 (Tangerine Dream)

看板AntiVirus

標題[求救] 分享器中木馬?

時間Fri Nov 17 08:25:00 2017

1. 敘述問題：家中有兩台WIFI分享器，分別連至中華的小烏龜前天其中一台出現異狀，手機連上都會出現"網路需要登錄"之類的訊息但點下去只會跳出一個全灰底的頁面顯示 "為了更好體驗瀏覽效果，請更新到最新chrome版本" 另外開Youtube縮圖無法顯示，點進影片可以播但下半部(直立時)會顯示沒有網路連線後來用筆電+網路線直接連那台分享器測試用chrome開GOOGLE首頁一樣會跳出"為了......請更新到最新chrome版本"的訊息視窗且只有確定和X可以點，此時chrome下方的狀態列會顯示"等候count28.51yes.com..." 然後不管是點確定或關閉都會自動下載一個chrome.apk的檔案此外其他google服務都打不開，但部分網站如mobile01、氣象局又連的上以上所有的異常只要連線到另一台分享器或用行動網路就都正常了試過將分享器重開、更新韌體都無法解決搜尋51yes.com發現許多有關木馬的情報因此懷疑是分享器被植入木馬了，也擔心手機和筆電會不會也因此被感染或是分享器的木馬根本就是從手機或電腦來的....@@ 想請教版上的前輩們接下來應該怎麼處理? 謝謝！ 2. 系統資料：筆電: WIN10+內建防毒防火牆手機: Android 7.1.1，無防毒軟體分享器: Sapido，WIFI和系統管理皆非預設密碼 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.201.97 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1510878303.A.4BE.html

推 limingtsai: 有試過reset分享器嗎?我記得有reset的小洞 11/17 08:44

推 DINJIAPC: 你烏龜有重開過嗎 11/17 09:52

推 skycat2216: reset後更新韌體 11/17 10:11

→ smiling: 設備連另一台分享器都能正常顯示，基本上與業者線路、數 11/17 12:34

→ smiling: 據機無關；先將分享器reset 還原重設看看吧。 11/17 12:35

→ chris0325: 分享器的DNS被竄改?回家試試看reset回原廠看看,Thx! 11/17 12:45

推 weichen5566: 我最近也遇到一台是DIR-101，DNS設定被指向某IP，就 11/17 12:50

→ weichen5566: 會出現版本過舊什麼之類的，然後會下載chrome.apk 11/17 12:51

→ weichen5566: 後來重置後隔天一樣被入侵修改，密碼有改過，判斷是 11/17 12:52

→ weichen5566: 韌體有漏洞導致，換了ASUS RT-N12目前是正常了 11/17 12:53

→ weichen5566: 另外DNS被改之後局部熱門首頁網站都會進不去 11/17 12:54

剛第一步先拔外網線，再檢查DNS設定真的變手動了，指向202.239.38.232&235 回復原廠後恢復自動DNS，關掉遠端管理，重設SSID、WIFI與管理者密碼目前看來是都正常了

推 wenjie0810: 最近處理的三台分享器被竄改都是Sapido 的，有沒有這 11/17 15:21

→ wenjie0810: 麼巧合？ 11/17 15:21

→ sigurose: 可能是分享器有安全性漏洞，導致攻擊者可以獲得路由器的 11/17 17:02

→ sigurose: 管理者權限，從而修改路由器設定&運行惡意程式碼&上層DN 11/17 17:02

→ sigurose: S伺服器設定，可以嘗試重置分享器&變更管理者密碼&關閉 11/17 17:03

→ sigurose: 遠端管理&更新韌體 11/17 17:03

→ DINJIAPC: 如果是入門到一般用圖約1000_4000只推薦華碩分享器 11/17 17:19

→ DINJIAPC: 只能先建議直接用pppoe先撥號然後再把分享器先停用掉問 11/17 17:21

→ DINJIAPC: 原廠認體方案。沒下文就直接換牌了 11/17 17:21

已更新到最新版韌體了，先用一陣子看看，再被竄改真的就拒絕往來了

推 APM99: 華碩還是買主機版吧分享器就算了請考慮別牌 11/17 18:21

推 waterblue85: 在台灣就華碩分享器價格和保固比較正常 11/17 19:13

推 DINJIAPC: 說真的1000元下的分享器都不太能用 11/17 19:39

→ DINJIAPC: 華碩則是特定價位與型號能用比如may,n18u,ac66 11/17 19:40

→ DINJIAPC: n16 11/17 19:40

※ 編輯: chris0325 (218.173.174.19), 11/17/2017 23:59:52

推 waterblue85: 那你的登入帳密都有改掉嗎？不是預設的？ 11/18 00:57

→ waterblue85: 現在反而是華碩韌體不用太擔心他不更新吧 11/18 00:59

→ waterblue85: 之前才被美國噹韌體疏失沒有積極改善 11/18 00:59

→ waterblue85: 現在被處罰一定要維護韌體的漏洞 11/18 00:59

推 waterblue85: 再來華碩算是第三方韌體支援的機種很多了 11/18 01:11

推 ming1225: 我也是跟你遇到相同問題路由器也是sapido的後來按res 11/18 10:04

→ ming1225: et重新設定之後就正常了供你參考 11/18 10:04

推 ilanese: 到Broad_Band板找標題為「後門」的文章，就知道一堆路由 11/18 13:37

→ ilanese: 器都有後門。 11/18 13:38

→ ilanese: 基本上，中國品牌就別說了，其他在中國設廠的品牌也有可 11/18 13:39

→ ilanese: 能在製造過程中被加了惡意程式。 11/18 13:39

→ APM99: 寧可用中國惡意程式至少有人抓得出來 11/18 15:32

→ APM99: 美國的技術想抓到? 十年二十年後吧呵呵 11/18 15:32

→ wenjie0810: ming1225大大，你的型號是不是 GR297n ? 11/19 22:27

推 loxyz: 最近Sapido RB1802也被偷改DNS設定 11/20 20:47

推 IOU9527: 怎麼會有人想買傻多...... 11/23 12:37

推 yohoboy: 傻多有我需要的功能呀.小巧，多連線方式(gsm,wan,ap) 11/24 23:36

→ DINJIAPC: 華電的數據機就有分享器功能很多還一裝設就開了 11/29 22:22

推 c3632571: 買2801+2950取代結案（大誤 12/06 20:16