Strano problema - Avvelenamento da cache DNS?

Naviga le tue risposte
6

Sono uno sviluppatore di mestiere, ma non molto esperto nella sicurezza delle informazioni. Ho riscontrato uno strano problema a casa:

Circa tre volte ora, nell'ultimo anno, quando apro un sito Web, sono stato gettato in un dominio di spazzatura che tenta di farmi fare un qualche tipo di controllo della sicurezza o altro. La prima volta è successo - pensavo di avere del malware sul mio sistema. Normalmente sono very cauto. Quindi ho praticamente bruciato i miei dischi e ho avuto un nuovo corso. Poi è successo di nuovo, alcuni mesi dopo, e ora di nuovo - dopo essermi trasferito in un altro appartamento e sul mio laptop GF.

Sospetto di manomissione DNS di qualche tipo, ma non c'è modo di verificare. Aprendo di nuovo lo stesso dominio, mi dà la pagina giusta.

  • Da ora in poi ho spostato appartamenti, spostato l'ISP, cambiato router in Google Mesh, cambiato DNS in 8.8.8.8 su di esso. Quindi ... ora anche l'avvelenamento da DNS non ha molto senso.

  • E i siti web che si aprono sono molto simili nello spirito. Sospetto che il problema sia persistente.

  • Il software AV non segnala alcun problema.

Qualche idea? E cosa dovrei fare per impedirlo?

Modifica

In risposta alle domande:

  • È successo a tre diversi siti web. Onestamente non ricordo quale, penso sia del tutto possibile che non fosse nessuno dei grandi .

  • Visitando di nuovo lo stesso sito, si apre semplicemente il sito normale.

  • L'ultima volta è successo ieri (il mio GF ha visitato qualche blog, lo aggiornerò di nuovo se si ricorda quale sito era originariamente), e questo è il risultato spazzatura a cui mi riferivo: http://play6052.try-it-now3.club/?utm_medium=oxxGrJ1EO8rl%2flkgHhDHtdaJe%2b6y3ml38Z%2b1ZX9QaLo%3d&t=main6_mcas2

  • Sono in Estonia

  • I browser e le macchine sono completamente diversi. Anche il router e gli ISP sono cambiati tra un problema e l'altro.

EDIT 2

L'originale offensivo era: link

    
posta Gleno 23.08.2018 - 16:01
fonte

2 risposte

9

Sono d'accordo con Steffen, questo sembra il malvertising come la causa più probabile, con un'opzione meno probabile di compromissione del sito visitato con reindirizzamenti incorporati.

L'esecuzione di ad-blocker e script-blocker è efficace contro la maggior parte del malvertising, ma può influire negativamente sulla tua esperienza di navigazione.

A volte il malvertising è mirato solo a determinati browser. Avevo un sito che visitavo regolarmente che soffriva di frequenti malvertising sulla versione mobile. Passare da Chrome a Opera ha risolto completamente il problema. Annunci ancora caricati (volevo supportare il sito) ma non i reindirizzamenti dannosi.

    
risposta data 23.08.2018 - 16:35
fonte
1

Ci sono alcuni malware là fuori che infettano i siti web, ma il codice viene attivato solo in modo casuale una frazione del tempo.

Il sito può quindi apparire del tutto normale alla maggior parte, e persino te stesso dopo una ricarica, ma mostrerà comunque le cose cattive una volta ogni tanto. Può essere visualizzato direttamente sul sito o provocare un reindirizzamento.

Se hai il controllo del sito web che hai visitato, controlla tutto il codice php per l'infezione. Di solito è abbastanza ovvio (un grosso mucchio di base64 all'inizio di molti file), a volte un po 'più difficile da trovare (potrebbe essere un singolo file php che è indirettamente incluso in altre pagine).

Se non hai il controllo del sito web, puoi provare ad avvisare il proprietario del sito, ma se non riesci a individuarlo con precisione, potrebbe essere difficile ottenere una buona risposta.

Questi siti di solito finiscono bloccati dai rilevatori di malware, tra cui Google, Safari, Chrome, ecc. ma potrebbe essere necessario un po 'di tempo perché lo scanner debba inciampare nella versione infetta della pagina.

    
risposta data 23.08.2018 - 18:34
fonte

Leggi altre domande sui tag

Sniffing traffico non criptato nel datacenter Perché JMP ESP invece di saltare direttamente nello stack