อาการผิดปกติ router ช่วงนี้ที่บ่งบอกว่าเร้าเตอร์โดนแฮกเข้าแล้ว หลักๆก็มี
– เปิดเว็บ google / youtube ช้าผิดปกติ หรือขึ้น warning ให้โหลด adobe flash ปลอมเคสของผมคือใช้เน็ต TOT ใช้เร้าเตอร์ TP-link TD-W8961ND(ตัวกล่องฟ้าขาว) โดนเข้ามาแก้ dns และบล๊อค lan ใช้ไม่ได้
– โดนลิ้งค์ครอบหลอกไว้ คลิกเปิดเว็บแล้ว ขึ้นหน้า linkbuck แทน url ปกติ เช่นพวก twitter
– wifi ใช้ได้ แต่ lan ใช้ไม่ได้ ขึ้น error ว่าไม่แจกไอพีให้
ฯลฯ
วิธีตรวจสอบเร้าเตอร์โดนแฮก?
ให้ทำการเปิดหน้า control router ขึ้นมา โดย default ที่พนักงานจะตั้งมาให้คือurl: http://192.168.1.1แล้วคลิกหน้าเพจไปที่เมนู Interface Setup -> Lan
username: admin
password: admin
*หรือถ้าเปลี่ยน password ใหม่แล้วเข้าไปไม่ได้ ก็เหมือนกับว่าโดนแล้ว ให้ factory reset หาปากกามาจิ้มหลังเร้าเตอร์ตรงใกล้ๆปุ่ม on/off ได้เลย
– DHCP Server ตรงที่ Physical Ports ได้ติ๊กให้มัน allow port ไว้รึเปล่า (เคสผมโดน lan ไม่แจกไอพีให้เพราะบอทเน็ตแฮกไม่ได้ติ๊กตรงนี้)
– DNS ตรงที่ DNS Relay : Use Auto Discovered DNS Server Only แสดงว่าปกติ ไม่ได้โดนแก้ dns
แต่ถ้าขึ้น Use User Discovered DNS Server Only แล้วมี ip ในกลุ่มข้างล่างนี้
74.82.207.26แสดงว่าโดนเข้าแล้ว ให้เลือกกลับไปเป็น
199.223.212.99
203.113.5.130
– Use Auto Discovered DNS Server Only
– หรือแก้เป็น 8.8.8.8 กับ 8.8.4.4 ซึ่งเป็น dns ของ google จะช่วยให้ใช้งานเว็บปลอดภัย+เร็วขึ้นมาอีกนิส(เคสนี้อาจจะต้องเลือก mac addr+static ตรง DHCP Table ด้วยถึงจะเซตได้)
– หรือแก้เป็น dns ip ของ เนตแต่ละเจ้า tot/true/3bb ตามที่เขาให้มา
https://www.facebook.com/tplink.thailand/photos/p.722883537756132/722883537756132/?type=1&theaterแล้ววิธี cmd เพื่อ ipconfig /all ดูเอา จะไม่เห็นdnsหรอก เพราะแก้ที่เร้าเตอร์ ไม่ได้แก้ที่ Network Connections ในเครื่องตัวเอง
วิธีป้องกันเร้าเตอร์โดนแฮก
ระหว่างที่เรายังไม่ได้เอาเร้าเตอร์ไปให้เขา upgrade firmware ให้คือ ให้เราไปทำการเปิด ACL เพื่อป้องกันไม่ให้บุคคลภายนอกเข้ามาเซตเร้าเตอร์ของเราได้(admin tp-link เขาบอกว่าแจกให้เจ้าหน้าที่อัพเท่านั้น *ส่วนไฟล์หลุดคงต้องหาตามเนตกันเอง ตามนี้ http://pantip.com/topic/31789999#comment24-4)
– โดยให้ไปที่หน้าเพจ Advanced Setup > Firewall แล้ว enable ทั้ง Firewall & SPI แค่นี้ก็ช่วยป้องกันได้บ้างแล้ว(มั้งนะ) *สามารถแก้พาส admin ของเร้าเตอร์ได้ที่หน้าเพจ Maintenance > Administrator แล้วใส่ password ใหม่ทั้ง2ช่องได้เลย (ห่วยชิบ ไม่มีให้คอนเฟิร์มพาสเก่าด้วย)
– ปิดซ่อน wireless ไม่ให้มีใครเห็น ป้องกันคนข้างบ้านหรือคนทั่วไปเห็น wi-fi โดยไปที่ Interface Setup > Wireless > Multiple SSIDs Settings > Broadcast SSID แล้วเลือก No เสร็จ ก็เซฟคอนฟิกได้เลย .. วิธีใช้งานตอนค้นหาปกติก็พิมพ์ชื่อ wifi+พาส เดี๋ยวมันก็จดจำให้ (ช่วยป้องกันคนสุ่มพาส/คนขอพาสเวิร์สเนตไวไฟได้ระดับหนึ่ง –ป้องกันแฮกเกอร์ใช้เครื่องมือเฉพาะทางสแกนไวเลสไม่ค่อยได้)
วิธีทดสอบแฮกเร้าเตอร์
ว่ามีคนมาใช้บัคตัวนี้หรือไม่ ก็คือ– ให้ทำการหา ip ของตัวเองก่อน (ดูจาก speedtest.net|network-tools.com|ip-adress.comก็ได้)
– เปิด proxy หรือ ให้เพื่อนที่อยู่ภายนอกคนละวงแลน เปิดหน้านี้
http://ip.ip.ip.ip/rpFWUpload.htmlก็ได้ ง่ายดี //แก้เลขไอพีของตัวเองด้วย)
(หรือใช้ผ่าน http://translate.google.com/translate?hl=th&sl=en&tl=th&u=http%3A%2F%2F111.111.111.111%2FrpFWUpload.html
ถ้าเข้าใช้งานได้ แสดงว่าโดนเขาบัคเข้ามา โดยไม่ต้องใช้ user/pass admin เลย .. แต่ถ้าเข้าไม่ได้ ก็แสดงว่า SPI ช่วยป้องกันได้บ้างแล้ว(มั้งนะ)
ref: อ้างอิงเพิ่มเติม ถ้าขยันอ่านก็จัดไป ระวังอย่าไปแก้ตาม dns ที่เขาทดสอบล่ะ เผื่อโดนไวรัสเข้ามาแบบอัตโนมัติ
- https://www.facebook.com/tplink.thailand/posts/722640864447066
- http://pantip.com/topic/31796668
- https://www.blognone.com/topics/router