วิธีตรวจสอบ แก้ไข และป้องกัน Router โดนแฮก ง่ายๆ

ช่วงนี้เห็น เร้าเตอร์ ของเนตในเมืองไทย หลายๆเจ้า โดน hack router ด้วย dns ที่ชี้ไปเซิฟเวอร์ต่างประเทศกันเยอะเพราะใช้บัคการดูด rom router ออกไปแกะ password

อาการผิดปกติ router ช่วงนี้ที่บ่งบอกว่าเร้าเตอร์โดนแฮกเข้าแล้ว หลักๆก็มี

– เปิดเว็บ google / youtube ช้าผิดปกติ หรือขึ้น warning ให้โหลด adobe flash ปลอม
– โดนลิ้งค์ครอบหลอกไว้ คลิกเปิดเว็บแล้ว ขึ้นหน้า linkbuck แทน url ปกติ เช่นพวก twitter
– wifi ใช้ได้ แต่ lan ใช้ไม่ได้ ขึ้น error ว่าไม่แจกไอพีให้
ฯลฯ

เคสของผมคือใช้เน็ต TOT ใช้เร้าเตอร์ TP-link TD-W8961ND(ตัวกล่องฟ้าขาว) โดนเข้ามาแก้ dns และบล๊อค lan ใช้ไม่ได้

วิธีตรวจสอบเร้าเตอร์โดนแฮก?

ให้ทำการเปิดหน้า control router ขึ้นมา โดย default ที่พนักงานจะตั้งมาให้คือ
url: http://192.168.1.1
username: admin
password: admin
แล้วคลิกหน้าเพจไปที่เมนู Interface Setup -> Lan
*หรือถ้าเปลี่ยน password ใหม่แล้วเข้าไปไม่ได้ ก็เหมือนกับว่าโดนแล้ว ให้ factory reset หาปากกามาจิ้มหลังเร้าเตอร์ตรงใกล้ๆปุ่ม on/off ได้เลย

ให้ดูดังภาพ ว่ามีอะไรผิดปกติหรือไม่ เช่น
– DHCP Server ตรงที่ Physical Ports ได้ติ๊กให้มัน allow port ไว้รึเปล่า (เคสผมโดน lan ไม่แจกไอพีให้เพราะบอทเน็ตแฮกไม่ได้ติ๊กตรงนี้)
– DNS ตรงที่ DNS Relay : Use Auto Discovered DNS Server Only แสดงว่าปกติ ไม่ได้โดนแก้ dns
แต่ถ้าขึ้น Use User Discovered DNS Server Only แล้วมี ip ในกลุ่มข้างล่างนี้
74.82.207.26
199.223.212.99
203.113.5.130
แสดงว่าโดนเข้าแล้ว ให้เลือกกลับไปเป็น
– Use Auto Discovered DNS Server Only
– หรือแก้เป็น 8.8.8.8 กับ 8.8.4.4 ซึ่งเป็น dns ของ google จะช่วยให้ใช้งานเว็บปลอดภัย+เร็วขึ้นมาอีกนิส(เคสนี้อาจจะต้องเลือก mac addr+static ตรง DHCP Table ด้วยถึงจะเซตได้)
– หรือแก้เป็น dns ip ของ เนตแต่ละเจ้า tot/true/3bb ตามที่เขาให้มา แล้ววิธี cmd เพื่อ ipconfig /all ดูเอา จะไม่เห็นdnsหรอก เพราะแก้ที่เร้าเตอร์ ไม่ได้แก้ที่ Network Connections ในเครื่องตัวเอง

วิธีป้องกันเร้าเตอร์โดนแฮก

ระหว่างที่เรายังไม่ได้เอาเร้าเตอร์ไปให้เขา upgrade firmware ให้คือ ให้เราไปทำการเปิด ACL เพื่อป้องกันไม่ให้บุคคลภายนอกเข้ามาเซตเร้าเตอร์ของเราได้
(admin tp-link เขาบอกว่าแจกให้เจ้าหน้าที่อัพเท่านั้น *ส่วนไฟล์หลุดคงต้องหาตามเนตกันเอง ตามนี้ http://pantip.com/topic/31789999#comment24-4)
– โดยให้ไปที่หน้าเพจ Advanced Setup > Firewall แล้ว enable ทั้ง Firewall & SPI แค่นี้ก็ช่วยป้องกันได้บ้างแล้ว(มั้งนะ) *สามารถแก้พาส admin ของเร้าเตอร์ได้ที่หน้าเพจ Maintenance > Administrator แล้วใส่ password ใหม่ทั้ง2ช่องได้เลย (ห่วยชิบ ไม่มีให้คอนเฟิร์มพาสเก่าด้วย)
– ปิดซ่อน wireless ไม่ให้มีใครเห็น ป้องกันคนข้างบ้านหรือคนทั่วไปเห็น wi-fi โดยไปที่ Interface Setup > Wireless > Multiple SSIDs Settings > Broadcast SSID แล้วเลือก No เสร็จ ก็เซฟคอนฟิกได้เลย .. วิธีใช้งานตอนค้นหาปกติก็พิมพ์ชื่อ wifi+พาส เดี๋ยวมันก็จดจำให้ (ช่วยป้องกันคนสุ่มพาส/คนขอพาสเวิร์สเนตไวไฟได้ระดับหนึ่ง –ป้องกันแฮกเกอร์ใช้เครื่องมือเฉพาะทางสแกนไวเลสไม่ค่อยได้)

วิธีทดสอบแฮกเร้าเตอร์

ว่ามีคนมาใช้บัคตัวนี้หรือไม่ ก็คือ
– ให้ทำการหา ip ของตัวเองก่อน (ดูจาก speedtest.net|network-tools.com|ip-adress.comก็ได้)
– เปิด proxy หรือ ให้เพื่อนที่อยู่ภายนอกคนละวงแลน เปิดหน้านี้ http://ip.ip.ip.ip/rpFWUpload.html
(หรือใช้ผ่าน http://translate.google.com/translate?hl=th&sl=en&tl=th&u=http%3A%2F%2F111.111.111.111%2FrpFWUpload.html ก็ได้ ง่ายดี //แก้เลขไอพีของตัวเองด้วย)
ถ้าเข้าใช้งานได้ แสดงว่าโดนเขาบัคเข้ามา โดยไม่ต้องใช้ user/pass admin เลย .. แต่ถ้าเข้าไม่ได้ ก็แสดงว่า SPI ช่วยป้องกันได้บ้างแล้ว(มั้งนะ)

 April 14, 2014

 Blog | #Security

	Facebook Twitter Line It Telegram Pinterest Email