Перенаправлення на "http://domain-error.com"

19

Мене переадресовують на веб-сайт " http://domain-error.com ". Це відбувається в Firefox, Chromium, Google chrome тощо. Я відчуваю, що мене атакує вірус або щось подібне до цього.

Оновлення: переадресація трапляється досить часто, але, не завжди, спостерігається у всіх браузерах.

Менеджер додатків Firefox показує "Модифікації Ubuntu 3.2 (вимкнено)". Firefox Plug-ins показує "VideoHD-кодек OpenH264, наданий Cisco Systems, Inc.1.5.1". /etc/hostsє наступним:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Хост google.com дає наступні результати

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

Результат ClamTk Virus Scanner виводиться наступним чином. Але після видалення цього вірусу знову з’являється.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Я був далеко ... Я відчуваю це як феномен BSNL. Сьогодні знову проблема виникла. Тепер я змінив DNS-сервер на openDNS ... Сподіваюся, що це вирішить проблему. Танс для всіх, хто шукає проблему.

networking malware

— user481684
джерело

5

Чи трапляється це з кожним сайтом, який ви хочете відвідати? Або лише сайти, які не існують?

— Джос

Схоже, якийсь пошуковий рекламний виріб зробив ваше власне повідомлення за замовчуванням, навіть якщо адреса Google стверджує, що це не Google, і вона чітко рекламує деякі сайти для вас, перейдіть до налаштувань >> пошукайте і подивіться, хто ваш пошук provider is (Google за замовчуванням)

— Mark Kirby

3

4,156,276 вірусів? Вам потрібно перевстановити Ubuntu, чувак.

— Star OS

1

Привіт, я відчуваю ту саму проблему з двох тижнів. Це трапляється для домену, який dns не вирішено, ймовірно, тих, у кого термін дії закінчився. Це трапляється і на моїх планшетах та телефонах, коли вони підключені до однієї мережі. скиньте модем і подивіться, що станеться !! (ви повинні знати, як це налаштувати)

— x0x

1

Можливо, ваш isp переспрямовує ваш DNS-трафік: ckollars.org/dns-intercepting.html Ви можете налаштувати VPN або скористатись якоюсь послугою проксі?

— iuridiniz

13

У мене виникає це питання з кількох днів.

Проблеми:

Недійсні домени переспрямовано на domain-error.com
Деякі домени переадресовуються domain-error.comкілька разів, але після кількох спроб я міг зайти на веб-сайт.

У мене така ж проблема в Ubuntu, Archlinux, Windows (7 та 10). Я не кажу, що отримати одне і те ж зловмисне програмне забезпечення у всіх цих операційних системах неможливо.

Але що неможливо (майже):
я завантажив свіжу копію Ubuntu з офіційного веб-сайту. Перевірили цілісність та завантажили в реальному часі. Потім я спробував знайти недійсну URL-адресу.

Вгадайте, що сталося !. Мене знову переспрямованоhttp://domain-error.com/

Отже проблема в постачальнику послуг Інтернету (ISP)?

Для підтвердження того, що я зайшов до квартири своїх друзів, який користується тим самим провайдером, і у нього виникають ті самі проблеми.

Я не заблокував domain-error.comзавантаження (додано запис у / etc / hosts), але переспрямування все ще існує.

Тому я думаю, що у вас є те саме питання з провайдером.

РІШЕННЯ:

Видаліть параметр DNS за замовчуванням зі свого маршрутизатора та встановіть його 8.8.8.8та 8.8.4.4використовуйте DNS. Це буде добре працювати.

Примітка . Мій Інтернет-провайдер - BSNL (Індія)

.

— Індра
джерело

1

Ви намагалися зв’язатися зі своїм провайдером?

— dadexix86

Чекали кілька днів. Можливо, вони над цим працюють.

— Індра

Я зв’язався з провайдером по телефону. Звідти вони нічого не можуть зробити. Це запрограмовано таким чином.

— Індра

@IndrajithIndraprastham У мене така ж проблема. Мій провайдер також BSNL. Я на вікнах. Ви отримали якесь рішення?

— Хардік Патадія

@HardikPatadia Так, рішення є. Видаліть з маршрутизатора параметр DNS за замовчуванням та встановіть 8.8.8.8 та 8.8.4.4 як DNS. Це буде добре працювати.

— Індра

3

Перевірте свою конфігурацію маршрутизатора на 192.168.XY, увійдіть і шукайте налаштування DNS-серверів, колись якийсь жартівник міняв свої DNS-сервери на маршрутизаторі через мій слабкий пароль адміністратора, ці DNS-сервери вирішували приблизно 1/3 мого трафіку на певна сторінка, завантажена рекламою, решта трафіку була вирішена правильно. Погані хлопці також використовують цю техніку для фішингу.

— Майк
джерело

Я перевірив усі налаштування маршрутизатора, але не виявив нічого підозрілого. Чи може це бути щось інше?

— Parag Gangil

@ParagGangil Спробуйте інший комп'ютер у тій самій мережі, якщо те саме трапиться з цим комп’ютером, проблема може бути маршрутизатором, провайдером, хтось із середини. ..., але якщо проблема лише на вашому комп'ютері, ви можете зосередитись на тому, як вирішено DNS у вашій системі.

— Майк

3

Здається, це те, що відомо як перенаправлення провайдера, що не є рідкістю. Для отримання додаткової інформації див. Https://en.wikipedia.org/wiki/ISP_redirect_page . Дуже небагато провайдерів зробили це (у мене це трапилося із Статутом деякий час назад), і це дуже дратує. Для мене працювало встановлення альтернативних серверів DNS як згадуваного іншого плаката. Ви також можете дізнатися, як деякі інші вирішили це у коментарях до цієї статті: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

— jshook
джерело

1

Спочатку перевірте, чи розширення увімкнено у веб-переглядачі та повідомте нас, якщо ви виявите щось підозріле. Потім перевірте своїх пошукових операторів. Після цього перевірити

 /etc/hosts

за ознаками перенаправлення. На жаль, у Google ще немає записів, які б могли чітко відображати подібні до ваших випадки.

Що ви робили саме до того, як почали відчувати таку поведінку?

Коли я востаннє переживав щось подібне, це було через хитре розширення.

Арманд

— Арман Бозік
джерело

3

Добре. Я б сказав, що скасування без будь-яких коментарів - це не найрозумніша річ, яку я можу собі уявити. На той момент, коли був написаний мій коментар, питання було недостатньо детальним, тому існувала можливість майже будь-якого типу "атаки". Який ClamTK визнав загрозою - хибний позитив, я впевнений. Без будь-якої інформації, я думаю, ніхто не може допомогти. Whois показує hiren kakad як власника домену (із контактною адресою Axistel). Ви можете знайти його профіль на Twitter, який наповнений спамом. Найбільш логічною відповіддю повинно бути те, що неправильно вказану URL-адресу ОП було переспрямовано. Ми повинні знати поширеність у цьому.

— Арман Бозік

1

Ви можете спробувати встановити альтернативний DNS-сервер у /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Вся справа в тому, що ви, ймовірно, використовуєте DHCP, який автоматично призначить адресу DNS-сервера вашому комп'ютеру. Однак якщо DNS-сервер вашого провайдера був підроблений, можна зробити щось подібне. Якщо це не працює, спробуйте скористатися VPN і перевірте, чи це вирішує проблему.

EDIT: Ваш Інтернет-провайдер, ймовірно, робить щось у вашій DNS. Я пропоную вам скористатися VPN або звернутися до свого провайдера. Ваш обліковий запис може бути обмежений. Справжні IP-адреси для google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279

— Вільгельм Еразм
джерело

0

Як пояснено в інших відповідях, у вас проблема в DNS. Протокол DNS вразливий до різних атак. Зловмисник не повинен бути вашим провайдером, це може бути маршрутизатор, будь-хто, з ким ви ділитесь WiFi тощо.

Тому дуже рекомендується використовувати DNSCrypt , кращий протокол DNS . Установка досить проста.

sudo apt-get install dnscrypt-proxy

Хоча ви можете використовувати його разом із кешем DNS для кращої продуктивності. Я знайшов інструкції в DNSCrypt ArchWiKi досить корисними.

— Тіанрен Лю
джерело

0

Це, здається, є звичайним експлуатуванням налаштувань браузера (можливо, зробленим плагіном "Ubuntu Modictions 3.2"). Дивіться цю статтю . Спробуйте встановити інший веб-переглядач і подивіться, чи не так ви поведінку. Якщо ні, то слід повністю скинути налаштування Firefox, що має виправити це.

— Андерс Олссон
джерело