内容导航:

一、怎样检测路由器中中了病毒

路由器是否中病毒主要看路由是否能连上网络。

防止蠕虫的入侵措施:

1.使用强健而安全的口令

要知道,路由器蠕虫依赖于强力字典攻击(不断地努力猜测口令),所以我们应当使用不易被猜测的口令。

不要使用什么“admin”、“router”、“12345”等作为路由器的口令,而要使用一种混合性的组合,如rDF4m9Es0yQ3ha等。

其中至少要包括大小写字母,并利用数字和字母。

虽然这种口令不易记忆,但我们可以将其存放于可以某个文件(如文本文件)中,再用TrueCrypt、Cryptainer LE等软件为各种保存密码的文件加密。

2.保障远程连接的加密

例如,尽量不要使用HTTP方式传送,因为它使用的是明文传送,而可考虑使用HTTPS来传送基于Web的访问。

可以打开路由器配置程序的远程访问设置,选择“https”选项。

如果需要命令行才能访问路由器,可使用SSH。

因为SSH是一个加密的协议。

使用加密的连接并不是防止路由器蠕虫的必须措施,但它可以加强路由器的总体安全性。

如下图2所示:

3.改变默认端口

蠕虫僵尸可通过这些远程连接的默认端口侵入,如通过HTTP Web 访问的80或8080端口、加密Web访问的443端口、SSH的22号端口等。

因此,一台在非默认端口上接收连接的路由器更为安全。

很多路由器在紧挨着远程连接设置功能的位置有一个端口(Port)字段,在此输入想要使用的端口号码。

例如,键入路由器所在位置的面向互联网的IP地址,加上一个冒号,然后是端口号。

如果是通过SSH进行连接,你需要在SSH客户端程序的连接设置中指定端口号。

4.使用入站过滤器

其实我们可以对有些路由器进行配置,使其过滤哪些IP地址或范围准许使用进入的连接,如此便可以阻止不在列表中的任何IP地址的蠕虫。

为此,首先,可以看一下是否可以在路由器的远程管理设置中定义IP地址或IP地址范围。

然后,检查路由器是否可以设置入站的连接设置。

5.保障路由器的固件最新

路由器固件所所使用的软件也使路由器易于受到蠕虫攻击,因此保持路由器总是加载最新的固件版本可有助于防止这种漏洞。

路由器的制造商们和固件替换项目会定期发布这些固件的更新,用以修补已知的安全漏洞。

要更新路由器的固件,应从厂商的网站下载新的镜像。

然后登录进入路由器的配置程序,打开“Admin”/“Misc”或“System”部分,选择最新的固件,并加载它即可。

6.清除蠕虫:还路由器的清洁之躯

前面所讨论的预防性措施可防止路由器受到蠕虫的攻击和危害。

记住,如果不需要远程访问就不要启用它。

如果有必要采用此功能,我建议你把用户名和口令复杂一些,多用一些大小写、数字等混合的口令,并要通过SSH或HTTPS传输,还要考虑使用非默认端口,并尽量采用任何的入站过滤器。

如果路由器已经受到感染,肯定会发生一些不可思议的事情。

例如,据报告,Psyb0t会阻止22号端口、23号端口、80号端口的通信。

要清除蠕虫,最彻底的解决方法是将路由器恢复到出厂默认值,这样做可以保证清除蠕虫。

按下路由器背面的复位按钮,并且过上几秒钟(不同的厂商要求不一样,如笔者的路由器要求按下30秒钟以上才可以),就可以恢复到出厂状态。

二、如何检测路由是不是中毒了

首先,你要搞清楚的是:路由中毒是指路由信息在路由表中失效时,先将度量值变为无穷大,再将其信息发布出去,这样相邻的路由器就得知这条路由己无效了,它是用于防止路由环路的路由特性,和你所谓的中毒根本不是一个概念。

再说,路由器一般不会中毒,路由器的软件保存在闪存中,一般不会被病毒改写。

即使路由器出了问题,你只需将它恢复到初始状态,再重新设置上网账号和密码即可。

接下来,根据你的现象,我猜测大概是ARP中毒。

ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。

比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

你打开“任务管理器”,查看其中是否有一个名为“MIR0.dat”的进程。

如果有,说明已经中毒,结束该进程。

也可以通过如下方法验证是否中此木马病毒,当你你发现无法上网时,

点“开始”->“运行”,输入cmd,再输入arp -d,回车。

重新尝试上网,如能短暂正常访问,则说明此次断网是受木马病毒影响。

假如你的确是ARP中毒,可以手工绑定网关物理地址。

不过比较麻烦,所以建议你使用安全工具保护本地计算机以防ARP欺骗。

比如说Anti ARP Sniffer软件。