【转帖】关于家用路由器DNS被恶意篡改导致异常跳转风险的提示

【转帖】关于家用路由器DNS被恶意篡改导致异常跳转风险的提示 网址https://www.cert.org.cn/publish/main/11/2026/20260601145618109326016/20260601145618109326016_.html近期CNCERT发现部分家庭用户连接家用路由器Wi-Fi后访问正常网站或触发终端网络连通性检测时会异常跳转至色情、赌博等非法页面。经研判该事件主要由家用路由器等家庭网络设备DNS服务器配置被篡改导致。路由器是家庭网络的重要入口。一旦DNS配置被恶意修改连接该路由器的手机、电脑等终端可能自动获取异常DNS服务器地址导致正常网站访问被错误解析并被诱导跳转至非法页面带来广告强推、钓鱼欺诈和账号信息泄露等风险。一、被篡改的“上网指路牌”DNS可以理解为互联网访问中的“指路牌”。正常情况下用户访问网站时DNS会将域名解析到正确地址。若家用路由器DNS配置被篡改终端接入Wi-Fi后就可能被分配异常DNS服务器地址访问正常网站时被解析至特定恶意IP地址随后被相关网站返回的跳转指令诱导打开非法页面。经现场取证确认受影响路由器设备的后台管理口令强度不足攻击者疑似感染家庭内网设备后利用弱口令进入路由器管理页面并修改DNS服务器配置。截至目前CNCERT已累计监测数十个专门提供域名恶意解析服务的DNS服务器和异常跳转服务的Web服务器单日恶意解析次数超过数亿次单日影响境内独立IP最高超过70余万个相关风险对用户正常上网秩序和网络安全造成影响。二、排查方法家庭用户如发现异常跳转可重点排查以下情况。一是排查访问异常。连接家庭Wi-Fi后如访问正常网站被跳转至色情、赌博、广告推广或疑似钓鱼页面或同一Wi-Fi下多台设备同时出现类似情况应重点核查路由器DNS配置是否异常。二是核查DNS配置。登录路由器管理后台在“上网设置”“网络参数”“LAN口设置”“DHCP服务器”等栏目中查看DNS服务器地址确认是否被修改为陌生IP地址或是否与运营商自动下发DNS、用户自行设置的可信DNS不一致。三是核对终端信息。用户可在手机、电脑等终端的Wi-Fi详情、网络连接详情或网络适配器详情中查看当前DNS服务器地址也可在电脑命令行中执行“ipconfig /all”等命令查看DNS服务器地址。如发现终端获取到陌生DNS地址或多台终端DNS地址均存在异常应及时检查路由器配置是否被篡改。部分路由器默认开启DNS代理模式终端显示的DNS服务器可能为路由器内网地址建议结合路由器后台DNS配置综合判断。四是关注设备状态。如发现路由器后台密码为弱口令如123456、生日、手机号等、Wi-Fi配置无故变更或设备出现网速变慢、频繁掉线、异常重启等情况应及时开展安全排查并采取处置措施。三、防范建议广大网民、路由器厂商和相关网络服务单位应强化风险意识及时开展排查处置重点做好以下防范工作。一是检查DNS配置。家庭用户应及时登录路由器管理后台检查DNS服务器配置是否被修改为陌生IP地址如发现异常应恢复为运营商自动下发DNS或可信公共DNS并重启路由器和联网终端。二是修改弱口令。及时修改路由器管理后台默认口令或弱口令设置高强度独立密码避免攻击者利用简单密码进入后台修改配置。三是关闭高风险功能。关闭非必要远程管理、UPnP、端口映射等功能减少路由器暴露面降低被入侵和篡改风险。四是及时升级固件。关注路由器厂商发布的固件更新及时升级至最新版本修复已知安全漏洞。五是留意异常跳转。如联网终端出现访问正常网站被跳转至色情、赌博、广告推广或疑似钓鱼页面等情况应立即断开网络检查路由器DNS配置和终端安全状态必要时恢复路由器出厂设置后重新配置。六是加强产品防护。建议路由器厂商加强管理后台登录保护、弱口令提示、异常DNS配置告警和固件安全更新降低家庭用户因弱口令、旧版本固件或默认配置不当导致的安全风险。四、相关IOC存活恶意DNS服务器27.124.42.32202.79.174.219118.107.24.24227.124.17.11118.107.32.155112.213.116.170134.122.183.142143.92.48.15202.79.175.10027.124.34.143143.92.56.18027.124.20.237137.220.229.5143.92.63.21327.124.12.72137.220.229.16192.252.176.48118.107.47.7627.124.2.19627.124.2.214202.95.14.241202.79.171.149143.92.57.2914.128.50.26143.92.52.183202.95.11.163202.79.168.144143.92.53.251143.92.63.247143.92.56.81143.92.56.827.124.45.6127.124.41.92202.95.14.218143.92.53.13427.124.42.48202.79.168.160118.107.40.48143.92.63.21427.124.42.3927.124.17.18118.107.24.243202.95.14.252202.95.14.230202.95.11.17927.124.42.5127.124.42.5027.124.34.14427.124.20.238143.92.63.249118.107.47.78五、致谢感谢东莞市委网信办和绿盟科技集团股份有限公司在威胁情报、现场取证等方面对本报告提供的支持。