极路由3 官方固件自动升级后，遭到隐蔽DNS劫持

Noth1ng

前几天手贱，点了极路由3 管理页面中的固件自动升级
升级到最新版后，LAN口电脑就开始每隔15分钟跳3次本地找小姐广告
一开始没想到是路由器DNS劫持 极路由这么大的厂商，怎么会。 以为是电信搞的劫持，或者本机中了广告病毒
各种杀杀杀 各种360、管家  都没效果
最后祭出了ProcessMonitor，1秒钟上千个事件，也实在找不到什么端倪；用跳出的IE广告网址搜事件，也什么都搜不到。
直到凭感觉发现一个事件不对劲，就是路由器HiWifi.com不停地给我本机PCXXXXX发数据包，数据包还带外网IP地址的，什么武汉、长沙乱七八糟的
进路由器设置，DNS什么的都是对的，自检也通过，插件什么的也卸载干净了。
但问题依然存在。
没办法，思前想后，就是它自动升级固件后才出现这种状况。
于是按网上教程，下载了老版固件，重新给它刷了

一刷就灵！
现在好好的了，再不跳广告了

windrarara

官方被人挂马了？

莫名的孤独1

有可能，

独孤

ProcessMonitor里看出来路由器发包，LZ也是厉害，我就分辨不出来那么多

ISP官方劫持貌似仅限于返利网站和少数跳窗吧？

Noth1ng

独孤 发表于 2017-5-3 07:57
ProcessMonitor里看出来路由器发包，LZ也是厉害，我就分辨不出来那么多

ISP官方劫持貌似仅限于返利网站和 ...

TCP包是单独标注出来的，还是比较好发现的。
特征是Hiwifi.com -> LAN:PCXXXX（本机计算机名） : XXX.XXX.XXX.XXX（小广告IP）
在日志中搜小广告的网址搜不到，就是因为人家给你发过来的是网站IP
我查了一下IP都是天南海北的
至于Hiwifi.com发数据包，除了路由器，本机还有谁带hiwifi标记的？木有。

Noth1ng

Tupolev 发表于 2017-5-3 10:44
为什么用极路由

买的时候追求SS上网。现在没啥暖用

科本学士

请问都是连接我家的无线网，使用pc版steam客户端或者用浏览器上网从没跳过那种劫持广告，但手机steam客户端页面就经常有,用4g流量也不会有这种问题。这是路由器的问题还是运营商的锅？

robit

Noth1ng 发表于 2017-5-3 10:46
买的时候追求SS上网。现在没啥暖用

刷第三方不是一样SS

Noth1ng

科本学士 发表于 2017-5-3 13:02
请问都是连接我家的无线网，使用pc版steam客户端或者用浏览器上网从没跳过那种劫持广告，但手机steam客户端 ...

应该是你路由器的问题。不是运营商的问题。
通过这次排障，我有点明白这种木马劫持的机理了，就是通过路由器给DHCP排序第一的某个客户端发小广告网址。

shikkoku

求来个截图怎么用ProcessMonitor看，不懂。