Si tratta di un attacco e come posso risolverlo?

5

Non so da dove iniziare a cercare nel forum i thread esistenti che potrebbero coprire i miei problemi.

Recentemente ho ricevuto un'email falsa che finge di provenire da un cliente per il quale ho appena iniziato a svolgere attività di SEO e contenuto di base.

L'email mi ha indirizzato a un URL problema sul sito:

http://clientdomainname.com/%E2%80%8E

Ho cambiato il nome del dominio, ma il resto della stringa dell'URL è esattamente quello che ho ricevuto. Non c'è nessuna pagina corrispondente all'URL sul sito, quindi ha attivato un 404.

Il client non l'ha inviato, quindi penso che l'URL potrebbe forse iniziare un qualche tipo di script.

Le mie domande sono:

  1. Le mie preoccupazioni sono plausibili? Il settore si è recentemente sviluppato e ci sono alcune grandi aziende senza scrupoli che cercano di spingere fuori i piccoli giocatori.

  2. Come faccio a sapere se la stringa dell'URL attiva qualche tipo di script dannoso? Dovrei chiedere all'host (hostgator) di effettuare la scansione, oppure esiste un modo migliore per eseguire la scansione?

  3. Quali misure posso adottare per rimuovere e impedire che ciò accada in futuro?

posta bonzo46 20.08.2014 - 07:38
fonte

4 risposte

9

Se è necessario controllare un URL sospetto, è possibile utilizzare un servizio come urlquery per verificare se ha una reputazione maligna, le transazioni HTTP che si verificano, qualsiasi script java che viene eseguito, ecc. Molto utile. Forniscono anche uno screenshot di come appare la pagina visitata.

link

    
risposta data 20.08.2014 - 10:34
fonte
6

% E2% 80% 8E è codificato in percentuale UTF-8 per il carattere Unicode "U + 200E". Viene utilizzato per rendere il testo dopo la visualizzazione nell'ordine di lettura da sinistra a destra, ad esempio quando viene visualizzata una citazione in lingua inglese in un testo arabo. A meno che tu non abbia un software seriamente danneggiato, non ha alcuno scopo come attacco.

Il mio sospetto è che si sia trattato di uno scherzo che non ha funzionato: se avessero usato la controparte di quel personaggio, il marchio da destra a sinistra (% E2% 80% 8F), la tua pagina 404 probabilmente sono sembrati guasti perché il marchio RTL avrebbe causato la visualizzazione parziale o completa della pagina.

    
risposta data 20.08.2014 - 08:30
fonte
0

Probabilmente è stato un tentativo di sfruttare la vulnerabilità delineata qui:
link
Il collegamento sembra essere una cosa, ma in realtà è il collegamento a un dominio diverso, ad esempio il contrario (ad esempio, elpmaxe.com anziché example.com).

Un modo per evitare tali exploit è di digitare domini tu stesso invece di fare clic sui link di posta elettronica. Puoi anche eseguire la scansione degli URL prima di visitarli con siti come Total virus .

    
risposta data 24.08.2014 - 05:07
fonte
-1

Per iniziare ad analizzare se qualche mail potrebbe contenere un attacco usando il codice HTML, La prima regola è leggere esattamente questo stesso messaggio in testo semplice. Il testo normale non farà mai sparare nulla.

Per ottenere questa analisi, ad esempio, con Thunderbird (che è un ottimo client E_mail per evitare un sacco di attacchi), basta selezionare il tuo messaggio sospetto e selezionare:

View > Message Body As > Plain Text

Ecco un esempio pratico:

Messaggio visualizzato come Original HTML :

MessaggiovisualizzatocomePlainText:

Questo secondo mostra chiaramente verso quale web server questa truffa sta cercando di spingere il manichino a fare clic.

    
risposta data 20.08.2014 - 11:12
fonte

Leggi altre domande sui tag