Przekierowanie do „http://domain-error.com”

19

Zostaję przekierowany na stronę „ http://domain-error.com ”. Dzieje się tak w przeglądarce Firefox, Chromium, Google Chrome itp. Czuję, że zostałem zaatakowany przez wirusa lub coś podobnego.

Zrzut ekranu przeglądarki Firefox

Aktualizacja: przekierowanie zdarza się dość często, ale nie zawsze i występuje we wszystkich przeglądarkach.

Menedżer dodatków do przeglądarki Firefox pokazuje „Modyfikacje Ubuntu 3.2 (wyłączone)”. Wtyczki Firefox pokazują „Kodek wideo OpenH264 dostarczony przez Cisco Systems, Inc.1.5.1”. /etc/hostsnastępująco:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

hostuj google.com w następujący sposób

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

Wynik ClamTk Virus Scanner w następujący sposób. Ale po usunięciu tego wirusa pojawia się ponownie.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Nie było mnie ... Czuję to jako fenomen BSNL. Dzisiaj znowu Problem się pojawił. Teraz zmieniłem serwer DNS na openDNS ... Mam nadzieję, że to rozwiąże problem .. Dziękujemy wszystkim za sprawdzenie problemu.

networking malware użytkownik481684
źródło
5
Czy dzieje się tak w przypadku każdej witryny, którą chcesz odwiedzić? Czy tylko witryny, które nie istnieją?
Jos
Wygląda na to, że jakieś oprogramowanie reklamowe w wyszukiwarkach stało się Twoim domyślnym powiadomieniem, mimo że twierdzi, że jest to Google, adres nie jest Google i wyraźnie reklamuje Ci niektóre witryny, przejdź do preferencji >> szukaj i zobacz, kto wyszukuje dostawcą jest (domyślnie Google)
Mark Kirby,
3
4 156 276 wirusów? Musisz ponownie zainstalować Ubuntu, stary.
Star OS
1
Cześć. Mam ten sam problem od dwóch tygodni. Zdarza się, że domena, która nie jest rozwiązana, prawdopodobnie nie wygasła. Zdarza się to również na moich tabletach i telefonach po podłączeniu do tej samej sieci. zresetuj modem i zobacz co się stanie !! (musisz wiedzieć, jak to skonfigurować)
x0x 17.12.15
1
Być może twoja osa przekierowuje ruch DNS: ckollars.org/dns-intercepting.html Czy możesz skonfigurować VPN lub skorzystać z dowolnej usługi proxy?
iuridiniz,

Odpowiedzi:

13

Mam ten problem od kilku dni.

Problemy są następujące:

  • Nieprawidłowe domeny są przekierowywane na domain-error.com
  • Niektóre domeny są przekierowywane domain-error.comwiele razy, ale po kilku próbach mogłem wejść na stronę.

Mam ten sam problem w Ubuntu, Archlinux, Windows (7 i 10). Nie twierdzę, że uzyskanie tego samego złośliwego oprogramowania we wszystkich tych systemach operacyjnych jest niemożliwe.

Ale co jest niemożliwe (prawie):
Pobrałem świeżą kopię Ubuntu z oficjalnej strony internetowej. Zweryfikowano integralność i uruchomiono na żywo. Następnie próbowałem dotrzeć do nieprawidłowego adresu URL.

Zgadnij co się stało!. Ponownie przekierowano mnie dohttp://domain-error.com/

Więc problem dotyczy dostawcy usług internetowych (ISP)?

Aby potwierdzić, że poszedłem do mieszkania moich znajomych, którzy korzystają z tego samego usługodawcy internetowego i ma ten sam problem.

Zablokowałem domain-error.comładowanie (dodałem wpis do / etc / hosts), ale przekierowanie nadal istnieje.

Myślę więc, że masz ten sam problem z usługodawcą internetowym.

ROZWIĄZANIE:

Usuń domyślną opcję DNS z routera i zestawu 8.8.8.8i 8.8.4.4jako DNS. Będzie dobrze działać.

Uwaga : moim dostawcą usług internetowych jest BSNL (Indie)

.

Indra
źródło
1
Czy próbowałeś skontaktować się ze swoim dostawcą usług internetowych?
dadexix86,
Czekam na kilka dni. Być może oni nad tym pracują.
Indra,
Skontaktowałem się z ISP telefonicznie. Stamtąd nic nie mogą zrobić. Jest tak zaprogramowany.
Indra,
@IndrajithIndraprastham Mam ten sam problem. Mój ISP to także BSNL. Jestem na Windowsie. Czy masz jakieś rozwiązanie?
Hardik Patadia,
@HardikPatadia Tak, istnieje rozwiązanie. Usuń domyślną opcję DNS z routera i ustaw 8.8.8.8 i 8.8.4.4 jako DNS. Będzie dobrze działać.
Indra
3

Sprawdź konfigurację routera pod adresem 192.168.XY, zaloguj się i poszukaj konfiguracji serwerów DNS, miałem kiedyś jokera zmieniającego moje serwery DNS na moim routerze z powodu mojego słabego hasła administratora, te serwery DNS rozwiązywały około 1/3 mojego ruchu do pewna strona załadowana reklamami, reszta ruchu została rozwiązana poprawnie. Źli faceci również używają tej techniki do phishingu.

Mikrofon
źródło
Sprawdziłem wszystkie ustawienia routera, ale nie znalazłem niczego podejrzanego. Czy to może być coś innego?
Parag Gangil,
@ ParagGangil Wypróbuj inny komputer w tej samej sieci, jeśli to samo stanie się z tym komputerem, problem może dotyczyć routera, usługodawcy internetowego lub kogoś pośrodku. ... ale jeśli problem dotyczy tylko twojego komputera, możesz skupić się na sposobie rozwiązania DNS w systemie.
Mike
3

Wydaje się, że to jest tak zwane przekierowanie ISP, co nie jest rzadkie. Zobacz https://en.wikipedia.org/wiki/ISP_redirect_page aby uzyskać więcej informacji. Zrobiło to całkiem sporo dostawców usług internetowych (zdarzyło mi się to już jakiś czas temu z kartą) i jest to dość denerwujące. To, co zadziałało, to ustawienie alternatywnych serwerów DNS jako kolejnego wspomnianego plakatu. Możesz również dowiedzieć się, jak niektórzy rozwiązali to w komentarzach do tego artykułu: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
źródło
1

Najpierw sprawdź włączone rozszerzenia w przeglądarce i daj nam znać, jeśli znajdziesz coś podejrzanego. Następnie sprawdź dostawców wyszukiwania. Po tej kontroli

 /etc/hosts

na oznaki przekierowania. Niestety Google nie ma danych, które mogłyby wyraźnie pokazać przypadki podobne do twojego.

Co zrobiłeś dokładnie zanim zacząłeś doświadczać tego zachowania?

Kiedy ostatnio doświadczyłem czegoś takiego, było to z powodu trudnego rozszerzenia.

Armand

Armand Bozsik
źródło
3
Dobrze. Powiedziałbym, że oddawanie głosu bez komentarza nie jest najmądrzejszą rzeczą, jaką mogę sobie wyobrazić. W czasie, gdy mój komentarz został napisany, pytanie nie było zbyt szczegółowe, więc istniała możliwość niemal każdego rodzaju „ataku”. Które ClamTK uznane za zagrożenie jest fałszywie pozytywne, jestem pewien. Bez żadnych informacji, myślę, że nikt nie może pomóc. Whois pokazuje zatrudnionego kakada jako właściciela domeny (z adresem kontaktowym Axistel). Możesz wtedy znaleźć jego profil na Twitterze, który jest pełen spamerskich treści. Najbardziej logiczną odpowiedzią powinno być przekierowanie błędnego adresu URL OP. Powinniśmy znać w tym powszechność.
Armand Bozsik,
1

Możesz spróbować ustawić alternatywny serwer DNS w /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Chodzi o to, że prawdopodobnie używasz DHCP, który automatycznie przypisuje adres serwera DNS do twojego komputera. Jednak jeśli ktoś zmanipuluje serwer DNS twojego ISP, możesz zrobić coś takiego. Jeśli to nie zadziała, spróbuj użyć sieci VPN i sprawdź, czy to rozwiąże problem.

EDYCJA: Twój ISP prawdopodobnie robi coś z twoim DNS. Sugeruję skorzystanie z VPN lub skontaktowanie się z usługodawcą internetowym. Twoje konto może być ograniczone. Prawdziwe adresy IP dla google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
źródło
0

Jak wyjaśniono w innych odpowiedziach, problem dotyczy DNS. Protokół DNS jest podatny na różne ataki. Atakujący nie musi być twoim dostawcą usług internetowych, może to być router, każdy, komu udostępniasz WiFi itp.

Dlatego wysoce zalecane jest użycie DNSCrypt , lepszego protokołu DNS . Instalacja jest dość prosta. 

sudo apt-get install dnscrypt-proxy

Chociaż możesz chcieć używać go razem z pamięcią podręczną DNS dla lepszej wydajności. Znalazłem instrukcje w DNSCrypt ArchWiKi bardzo pomocne.

Tianren Liu
źródło
0

Wydaje się, że jest to powszechny exploit ustawień przeglądarki (możliwy do wykonania przez wtyczkę „Ubuntu Modifications 3.2”). Zobacz ten artykuł . Spróbuj zainstalować inną przeglądarkę i sprawdź, czy masz takie samo zachowanie. Jeśli nie, powinieneś całkowicie zresetować ustawienia Firefoksa, co powinno to naprawić.

Anders Olsson
źródło