Reindirizzamento a "http://domain-error.com"

19

Sono stato reindirizzato al sito Web " http://domain-error.com ". Questo sta accadendo in Firefox, Chromium, Google Chrome, ecc. Mi sembra di essere attaccato da un virus o qualcosa di simile.

Schermata di Firefox

Aggiornamento: il reindirizzamento avviene abbastanza frequentemente, ma non sempre e si verifica in tutti i browser.

Gestione componenti aggiuntivi di Firefox mostra "Modifiche Ubuntu 3.2 (disabilitato)". I plug-in di Firefox mostrano "OpenH264 Video Codec fornito da Cisco Systems, Inc.1.5.1". /etc/hostsè come segue:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

ospitare i risultati di google.com come segue

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

ClamTk Virus Scanner risulta come segue. Ma, dopo aver rimosso questo virus, ricompare.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Ero via ... Lo sento come un fenomeno BSNL. Ancora oggi Il problema è riemerso. Ora ho cambiato il server DNS in openDNS ... Spero che questo risolva il problema. Grazie a tutti per aver esaminato il problema.

networking  malware 
user481684
fonte
5
Questo succede con ogni sito che vuoi visitare? O solo siti che non esistono?
Jos
Sembra che una sorta di annuncio di ricerca abbia reso se stesso la tua notifica predefinita anche se afferma di essere Google l'indirizzo non è Google e ti sta chiaramente pubblicizzando alcuni siti, vai alle preferenze >> cerca e vedi chi è la tua ricerca il provider è (Google per impostazione predefinita)
Mark Kirby il
3
4.156.276 virus? Devi reinstallare Ubuntu, amico.
Star OS
1
Ciao, sto riscontrando lo stesso problema da due settimane, succede per il dominio che il DNS non è stato risolto, probabilmente quelli che sono scaduti. Succede anche su tablet e telefoni quando sono connessi alla stessa rete. resetta il tuo modem e guarda cosa succede !! (devi sapere come configurarlo)
x0x
1
Forse il tuo isp sta reindirizzando il tuo traffico DNS: ckollars.org/dns-intercepting.html Potresti impostare una VPN o utilizzare un servizio proxy?
iuridiniz,

Risposte:

13

Sto riscontrando questo problema da alcuni giorni.

I problemi sono:

  • I domini non validi vengono reindirizzati a domain-error.com
  • Alcuni domini vengono reindirizzati a domain-error.compiù volte, ma dopo alcuni tentativi sono riuscito a raggiungere il sito Web.

Ho lo stesso problema in Ubuntu, Archlinux, Windows (7 e 10). Non sto dicendo che ottenere lo stesso malware in tutti questi sistemi operativi sia impossibile.

Ma cosa è impossibile (quasi):
ho scaricato una nuova copia di Ubuntu dal sito ufficiale. Verifica dell'integrità e avvio live. Quindi ho provato a raggiungere un URL non valido.

Indovina cos'è successo!. Sono stato nuovamente reindirizzato ahttp://domain-error.com/

Quindi il problema è con il provider di servizi Internet (ISP)?

Per confermare che sono andato nell'appartamento dei miei amici, che utilizza lo stesso ISP e ha lo stesso problema.

Ho bloccato il domain-error.comcaricamento (aggiunta voce a / etc / hosts) ma il reindirizzamento esiste ancora.

Quindi penso che anche tu abbia lo stesso problema con l'ISP.

SOLUZIONE:

Rimuovere l'opzione DNS predefinito dal router e impostare 8.8.8.8e 8.8.4.4come DNS. Funzionerà benissimo.

Nota : il mio ISP è BSNL (India)

.

Indra
fonte
1
Hai provato a contattare il tuo ISP?
dadexix86,
Aspettando alcuni giorni. Forse ci stanno lavorando.
Indra,
Ho contattato l'ISP per telefono. Non c'è niente che possano fare da lì. È programmato in questo modo.
Indra,
@IndrajithIndraprastham Sto riscontrando lo stesso problema. Anche il mio ISP è BSNL. Sono alle finestre. Hai qualche soluzione?
Hardik Patadia,
@HardikPatadia Sì, c'è una soluzione. Rimuovere l'opzione DNS predefinita dal router e impostare 8.8.8.8 su 8.8.4.4 come DNS. Funzionerà benissimo.
Indra,
3

Controlla la configurazione del tuo router su 192.168.XY, accedi e cerca la configurazione dei server DNS, una volta ho avuto un po 'di joker che cambiava i miei server DNS sul mio router a causa della mia password di amministratore debole, questi server DNS stavano risolvendo circa 1/3 del mio traffico verso un determinate pagine caricate con annunci pubblicitari, il resto del traffico è stato risolto correttamente. I cattivi usano questa tecnica anche per il phishing.

Mike
fonte
Ho controllato tutte le impostazioni del router ma non ho trovato nulla di sospetto. Potrebbe essere qualcos'altro?
Parag Gangil,
@ParagGangil Prova un altro computer sulla stessa rete, se lo stesso accade a quel computer, il problema potrebbe essere il router, l'ISP, qualcuno nel mezzo. ... ma se il problema è solo sul tuo computer, puoi concentrarti su come viene risolto il DNS sul tuo sistema.
Mike,
3

Questo sembra essere ciò che è noto come reindirizzamento ISP, che non è raro. Vedi https://en.wikipedia.org/wiki/ISP_redirect_page per maggiori informazioni. Molti ISP l'hanno fatto (l'ho fatto succedere con Charter qualche tempo fa), ed è abbastanza fastidioso. Ciò che ha funzionato per me è stata l'impostazione di server DNS alternativi come menzionato da un altro poster. Puoi anche trovare come altri lo hanno risolto nei commenti di questo articolo: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
fonte
1

Innanzitutto, controlla le estensioni attivate nel browser e facci sapere se trovi qualcosa di sospetto. Quindi controlla i tuoi provider di ricerca. Dopo quel controllo

 /etc/hosts

per i segni di un reindirizzamento. Purtroppo Google non dispone di record che potrebbero ancora mostrare chiaramente casi simili ai tuoi.

Cosa hai fatto esattamente prima di iniziare a provare questo comportamento?

L'ultima volta che ho sperimentato qualcosa del genere è stato a causa di un'estensione difficile.

Armand

Armand Bozsik
fonte
3
Bene. Direi che il downvoting senza alcun commento non è la cosa più saggia che possa immaginare. A quel tempo, quando il mio commento era stato scritto, la domanda non era ben dettagliata, quindi c'erano possibilità per quasi ogni tipo di "attacco". Che ClamTK ha trovato come una minaccia è un falso positivo, ne sono sicuro. Senza alcuna informazione penso che nessuno possa aiutare. Whois mostra hiren kakad come proprietario del dominio (con un indirizzo di contatto Axistel). È quindi possibile trovare il suo profilo Twitter, che è pieno di contenuti spam. La risposta più logica dovrebbe essere che l'URL errato OP sia stato reindirizzato. Dovremmo conoscere la prevalenza in questo.
Armand Bozsik,
1

Puoi provare a impostare un server DNS alternativo in /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Il fatto è che probabilmente stai usando DHCP, che assegnerà automaticamente un indirizzo server DNS al tuo computer. Tuttavia, se il server DNS del tuo ISP è stato manomesso, sarebbe possibile fare qualcosa del genere. Se non funziona, prova a utilizzare una VPN e verifica se il problema si risolve.

EDIT: probabilmente il tuo ISP sta facendo qualcosa al tuo DNS. Ti suggerisco di utilizzare una VPN o contattare il tuo ISP. Il tuo account potrebbe essere limitato. I veri IP per google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
fonte
0

Come spiegato da altre risposte, il tuo problema è nel DNS. Il protocollo DNS è vulnerabile a vari attacchi. L'aggressore non deve essere il tuo ISP, potrebbe essere il router, chiunque condividi il WiFi, ecc.

Pertanto, si consiglia vivamente di utilizzare DNSCrypt , un protocollo DNS migliore . L'installazione è abbastanza semplice. 

sudo apt-get install dnscrypt-proxy

Mentre potresti voler usarlo insieme a una cache DNS per prestazioni migliori. Ho trovato abbastanza utili le istruzioni in DNSCrypt ArchWiKi .

Tianren Liu
fonte
0

Questo sembra essere un exploit delle impostazioni del browser comune (possibile fatto dal plug-in "Ubuntu Modifications 3.2"). Vedere questo articolo . Prova a installare un altro browser e vedi se ottieni lo stesso comportamento. In caso contrario, è necessario ripristinare completamente le impostazioni di Firefox, che dovrebbero risolverlo.

Anders Olsson
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.