公司路由器半夜宕机,重启后网页能打开,微信也能发,大家就以为“好了”。可过两小时,财务说付款页面总跳转到奇怪的域名;IT同事一查,DNS被悄悄改成了境外服务器——这哪是恢复?这是埋了个雷。
恢复 ≠ 安全,别被“能上网”骗了
很多故障处理只盯“通不通”,比如ping得通、网页打不开再试一次、IP地址没变就收工。但黑客常在断网期间植入后门,或借修复过程混入恶意配置。网络表面恢复,背后可能正悄悄外传日志、转发流量、甚至当跳板扫内网其他设备。
三步手动验一验,不靠玄学靠证据
1. 查DNS有没有被偷换
Windows 打开命令提示符,输入:
nslookup www.baidu.com2. 看网关和ARP表有没有异常
还是命令提示符,运行:
arp -a3. 检查有没有多出来的“幽灵设备”
登录路由器管理页(通常是 http://192.168.1.1),翻到“已连接设备”或“DHCP客户端列表”。逐条看设备名和MAC:有没有不认识的“ESP_XXXX”(可能是被入侵的智能插座)、“iPhone-of-Stranger”、或者MAC前缀不属于常见厂商(可用 macvendors.com 快速查)。
顺手关两个容易被忽略的口子
恢复后别急着关管理页,顺手做两件事:
• 关掉路由器的“远程管理”(Remote Management),除非你真需要在外网调自家路由;
• 把管理员密码从“admin”换成至少8位含大小写字母+数字的组合——上次某小区断网,就是邻居用默认密码登进别人路由器,顺手开了UPnP,结果招来挖矿木马。
网络像水管,修好漏水不等于没被塞进异物。每次恢复后花三分钟跑一遍上面这几步,比等下次中招再重装系统省心多了。