Pagina che reindirizza a contenuti "dannosi"

0

Recentemente stavo visitando un sito web che è stato ospitato in Cina (lo posso dire dall'IP, è assegnato a una università laggiù).

Quando ho visitato la loro pagina oggi, è stata caricata ma dopo che il contenuto iniziale è stato caricato, sono stato reindirizzato a una strana pagina di Pokemon / Mario Bros. Ad ogni modo, sono rimasto sorpreso. Ho usato Wireshark e ho potuto vedere che sulla richiesta GET e Server stava inviando un HTTP 302 "Spostato temporaneamente". Mi sono collegato poi attraverso un proxy Internet per vedere se è collegato in qualche modo al mio IP. E sorpresa, sono stato in grado di connettermi senza alcun reindirizzamento. Ora mi chiedo, hanno scoperto che stavo collegando da fuori della Cina (Europa centrale) e ho fatto un reindirizzamento basato sul mio IP in Apache? O il sito è stato infettato da malware? Se la versione successiva, Come potrei controllare l'URL in una sandbox dire per codice dannoso? Un proxy, impedirebbe un reindirizzamento?

    
posta adam86 24.03.2017 - 21:07
fonte

3 risposte

1

La mia impressione è che ci sia una configurazione 302 a livello di dominio stesso (probabilmente a causa di intenti maligni), o come hai menzionato un Apache (o nginx o qualsiasi altra cosa) reindirizzare in qualche modo l'installazione sul server web stesso. Se questo è stato inteso o il risultato di malware non ho modo di sapere con le informazioni fornite. Tuttavia, per un attacco XSS, di solito richiede l'uso di un collegamento esterno con javascript scritto nel collegamento stesso. Se si naviga direttamente sul sito Web stesso, molto probabilmente non è il problema con XSS. Per quanto riguarda la scansione di malware, è possibile utilizzare uno scanner remoto, ma questo non fornirà risultati accurati come la scansione del filesystem stesso, che immagino non si abbia accesso a fare.

    
risposta data 24.03.2017 - 21:19
fonte
0

Prova a connetterti utilizzando diversi proxy per valutare il comportamento di ogni paese. In questo modo vedrai il vero contenuto della pagina se ritieni che sia correlato all'origine IP.

In ogni caso, è una supposizione sfrenata senza conoscere la pagina, l'ip, ecc ... ma potrebbe anche essere una sorta di xss o hacking fatto alla pagina. Penso che qualcuno stia reindirizzando tutte le persone verso una pagina di "aggancio", o semplicemente a guadagnare denaro per ogni visita a causa di pubblicità. Se non ti stai reindirizzando sempre ... potrebbe avere un qualche tipo di IDK di "selezione utente" ... forse tramite IP come sospetti o altro.

    
risposta data 24.03.2017 - 21:12
fonte
0

Suggerirei quanto segue per ulteriori approfondimenti. Come dubiti che sia un sito Web potenzialmente compromesso, usa una VM per eseguirli.

  1. Prova con i proxy di un paio di posizioni diverse e verifica se la risposta al reindirizzamento è basata sulla posizione,
  2. Utilizzare un proxy web come un rutto, intercettare ogni richiesta e vedere in quale fase sta avvenendo il reindirizzamento. ie; sta succedendo quando invii un modulo? Se sì, quali sono i parametri che stanno attraversando?
  3. La risposta immediata dal dominio di destinazione è un reindirizzamento 302 a quel sito pokemon? In caso affermativo, il sito potrebbe essere compromesso.
  4. Il reindirizzamento si verifica dopo un ritardo? Quindi esamina la fonte HTML della risposta immediata e vedi quale tipo di contenuto attivo viene offerto [js, flash ...] e cosa stanno facendo.

Ci sono infinite possibilità. Ma questi sono quelli che mi vengono in mente in questo momento e penso valga la pena esaminare.

    
risposta data 24.03.2017 - 21:25
fonte

Leggi altre domande sui tag