Q: Hai bisogno di aiuto per capire il sito compromesso che ha un impatto solo sugli utenti AT & T LTE

3

Sono quasi certo che il mio (nuovo) sito wordpress del client sia stato violato. La home page va bene, ma ogni sottodirectory nella pagina viene caricata con contenuti molto imprecisi apparentemente iniettati nella pagina. Ma ecco il kicker. Succede SOLO per gli utenti su reti AT & T LTE. Tutte le altre connessioni di rete sono completamente inalterate e ricevono un sito completamente non compromesso. Ho controllato tre volte questo. Anche Sucuri è apparentemente ingannato da questo (tornando completamente pulito).

Alcuni dettagli

  1. Succede su tutti i dispositivi noti, Android, iPhone, iPad e persino laptop, purché siano collegati a una connessione LTE AT & T.
  2. Se prendo il dispositivo SAME e mi connetto a WiFi e ricarico la pagina compromessa, i contenuti originali non compromessi restituiscono.
  3. Se poi togli Wi-Fi (e su AT & T LTE) e ricarico, e l'intera pagina cambia e ricevo di nuovo la pagina compromessa. Nel frattempo l'URL rimane lo stesso. Verizon non è interessato.

Ho accesso al registrar del sito e all'host e tutto sembra a posto in entrambi i posti. DNS non è stato modificato. Inoltre, la pagina dell'indice va bene, quindi non penso che sia un problema DNS. Come ho detto, ho eseguito i controlli su sucuri (completamente puliti).

È difficile per me capire quale motivazione un hacker dovrebbe avere come target solo gli utenti su AT & T LTE, per non parlare di come sarebbe stato tirato fuori. Mi rendo conto che è ampio e fuori dal campo di applicazione, ma spero che questa domanda non sia: supponendo che tutto sia possibile, questo è un probabile hack? Come posso determinare se si tratta in realtà di un hack o qualcosa di simile a un subdolo problema di DNS Hijacking o caching? Se è stato violato, quali passi posso fare per annusarlo e pulirlo?

Sono felice di inviare l'URL a chiunque se vuoi vederlo da solo, ma non pubblicare qui per ovvi motivi. Apprezzo il tuo aiuto!

AGGIORNAMENTO: Ho segnato una risposta qui sotto poiché la risposta copriva bene entrambe le possibilità, ma per quelli che si chiedevano, questo era un trucco. Ho pulito l'intero sito sistematicamente (tutto tranne il DB) e il problema è andato via. Molto interessante il fatto che l'hack ha ingannato Sucuri e tutti gli altri scanner e ha preso di mira solo gli utenti di AT & T mobile.

    
posta timshutes 06.12.2017 - 04:12
fonte

1 risposta

7

Il server di pagine è su https? In caso contrario, potrebbe essere AT & T intercettare e iniettare annunci. Vedi link dove lo stanno facendo su hotspot WiFi per http e https

Per quanto riguarda lo scenario in cui un hacker ha fatto questo, un numero di hacker tenta e limita il gruppo di persone che vedono il contenuto malevolo per estendere il tempo in cui non sono rilevati. Puntare su specifici operatori di telefonia mobile sembra che non varrà la pena di farlo a meno che l'attaccante non abbia rancore verso AT & T;

    
risposta data 06.12.2017 - 05:01
fonte

Leggi altre domande sui tag