Blog被“挂广告”的前因后果——家用路由器的安全问题

在BAE（Baidu App Engine）的WordPress才搭建没几天（2013/07/06）就被莫名的挂上了广告，通过半个小时的分析，终于弄清楚了前因后果，问题可大可小，记录以下，但愿对你们有所帮助。

1. 源起

上午打开Blog的时候，发现页面会莫名奇妙的弹出广告，打开Firebug一开，发现被植入了一大段广告代码，心想坏了，难道是网站被挂马了，得立刻排查缘由。

2. 问题定位

Blog是本身亲手搭起来的，一方面为了熟悉WordPress，另外一方面也有安全上的顾虑，WordPress的代码是从官方下载的，插件也是从插件中心下 载，不在插件中心的也本身查看过源码，安全上仍是有所保障的。发现被挂广告后，还特地再次翻看了一下……同时，由于担忧本身博客/BAE（Baidu App Engine）的账号被盗，查询了登陆记录、文章改动记录及Blog代码的修改记录，都没有什么异常，基本上能够肯定代码和博客自己没有什么问题，应该不 是被入侵了。也有多是WordPress自己有0Day漏洞，可能性很小。

目前来看，没有大的实质损害，但问题没有定位，内心膈应得慌，因而就从嵌入的广告代码开始分析，看看可否找到些端倪。

仔 细查看页面代码，发现引入了不少广告JS代码，这些都不是WordPress自己或插件生成的，因而便怀疑到了我惟一引入的用于统计页面请求的CNZZ代码上，打开一看果然如此。为了验证，把CNZZ的JS去除，广告也随之消息，终于确认问题所在。

3. 幕后真凶

CNZZ服务了不少站点，理应不会作这么低级的事情。在Bing上搜索“CNZZ 植入广告”，找到了一个 CNZZ论坛上的帖子（注册后可看，截图以下）。

从答复中得知多是路由器的DNS配置被篡改所致。打开路由的管理页面查看，果然如此。DNS地址被修改为在安徽的某台机器，虽然没有重启路由（WAN口 配置上显示的仍是拨号时得到的DNS），但配置已经生效，电脑的DNS已是篡改后的DNS了。至此问题定位，DNS改回来后，Blog恢复正常。

经过Ping CNZZ域名，发现地址被定向到了韩国的一个IP（119.194.159.47）上，本来的地址则是42.121.103.235，来自“浙江省杭州市 阿里巴巴”，估计CNZZ用的是阿里云的主机。

4. 危害分析

1. DNS劫持的危害你们应该都很清楚，此次问题的麻烦之处在于DNS是经过路由器篡改的，还使用了一个正常的DNS（114.114.114.114）做为备选DNS，比较隐秘；
2. 不清楚路由的DNS是如何被修改的，极可能是经过局域网内的机器修改的，由于路由的地址和用户名密码通常都是默认的；
3. 因为如今大多数电脑都有安全软件，具备防护DNS劫持的能力，但这主要是针对一些经常使用域名，如taobao、alipay、weibo等，cnzz这种不为大众所了解的域名可能就被忽视了；
4. 域名的选择很是有针对性，cnzz不少站点都有引入，劫持cnzz效果会很是显著，相似的有51la等；
5. 主要植入了广告代码，会引入各大广告平台的广告，且会在Cookie中写入标记，一段时间内不会重复显示广告。

5. 解决方案

1. 检查路由器DNS的配置，能够的话在本地电脑的网络配置中手动配置DNS（114.114.114.114或8.8.8.8）；
   1. 给路由配置一个复杂些的密码；
   2. 对于懂技术的人可能不是问题，但父母辈的不少人都不清楚是怎么回事，记得帮家里也作下检查和配置；
2. 修改网站的口令（至少个人Blog是要改的了），密码分级管理；
3. 植入代码里有广告ID，理论上是能够查到受益人的；
4. 所 用的DNS为60.173.10.4，网站IP为119.194.159.47，Blog被劫持的域名为s15.cnzz.com，对应代码 （http://s15.cnzz.com/stat.php?id=5530942&web_id=5530942& show=pic），有兴趣的朋友能够试试。

6. 原始Blog

Blog被“挂广告”的前因后果

Blog新搭好不久，欢迎来踩踩