Redireccionando a "http://dominio-error.com"

19

Estoy siendo redirigido al sitio web " http://dominio-error.com ". Esto está sucediendo en Firefox, Chromium, Google Chrome, etc. Siento que estoy siendo atacado por un virus o algo similar.

Captura de pantalla de Firefox

Actualización: la redirección ocurre con bastante frecuencia pero no siempre y está experimentando en todos los navegadores.

El Administrador de complementos de Firefox muestra, "Ubuntu Modifications 3.2 (Disabled)". Los complementos de Firefox muestran "OpenH264 Video Codec proporcionado por Cisco Systems, Inc.1.5.1". /etc/hostses como sigue:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

aloje los resultados de google.com de la siguiente manera

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

El resultado del escáner de virus ClamTk es el siguiente. Pero, después de eliminar este virus vuelve a aparecer.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Estaba lejos ... Siento esto como un fenómeno BSNL. Hoy nuevamente, el problema resurgió. Ahora he cambiado el servidor DNS para abrir DNS ... Espero que esto resuelva el problema. Gracias a todos por investigar el problema.

networking malware usuario481684
fuente
55
¿Esto sucede con cada sitio que desea visitar? ¿O solo sitios que no existen?
Jos
Parece que algún tipo de adware de búsqueda se ha convertido en su aviso predeterminado a pesar de que dice ser Google, la dirección no es Google y claramente le anuncia algunos sitios, vaya a preferencias >> buscar y vea quién busca proveedor es (Google por defecto)
Mark Kirby
3
4.156.276 virus? Necesitas reinstalar Ubuntu, amigo.
Star OS
1
Hola, tengo el mismo problema desde hace dos semanas. Sucede para el dominio que no está resuelto, probablemente los que han caducado. También ocurre en mis tabletas y teléfonos cuando estoy conectado a la misma red. reinicia tu modem y mira que pasa !! (debe saber cómo configurarlo)
x0x
1
Tal vez su ISP está redirigiendo su tráfico DNS: ckollars.org/dns-intercepting.html ¿Podría configurar una VPN o utilizar algún servicio proxy?
iuridiniz

Respuestas:

13

Tengo este problema desde hace unos días.

Los problemas son:

  • Los dominios no válidos se redirigen a domain-error.com
  • Algunos dominios se redirigen a domain-error.comvarias veces, pero después de algunos intentos pude llegar al sitio web.

Tengo el mismo problema en Ubuntu, Archlinux, Windows (7 y 10). No digo que sea imposible obtener el mismo malware en todos estos sistemas operativos.

Pero lo que es imposible (casi):
descargué una copia nueva de Ubuntu del sitio web oficial. Verificó la integridad y arrancó en vivo. Luego intenté llegar a una URL no válida.

¡Adivina qué pasó!. Fui nuevamente redirigido ahttp://domain-error.com/

Entonces, ¿el problema es con el proveedor de servicios de Internet (ISP)?

Para confirmar que fui al departamento de mis amigos, que está usando el mismo ISP y tiene el mismo problema.

He bloqueado la domain-error.comcarga (entrada agregada a / etc / hosts) pero la redirección aún existe.

Así que creo que también tienes el mismo problema con el ISP.

SOLUCIÓN:

Retire la opción DNS por defecto del router y el conjunto 8.8.8.8y 8.8.4.4como su DNS. Funcionará bien

Nota : Mi ISP es BSNL (India)

.

Indra
fuente
1
¿Intentaste contactar a tu ISP?
dadexix86
Esperando algunos días. Puede ser que estén trabajando en ello.
Indra
Me puse en contacto con el ISP por teléfono. No hay nada que puedan hacer desde allí. Está programado de esa manera.
Indra
@IndrajithIndraprastham Estoy teniendo el mismo problema. Mi ISP también es BSNL. Estoy en windows ¿Tienes alguna solución?
Hardik Patadia
@HardikPatadia Sí, hay una solución. Elimine la opción DNS predeterminada de su enrutador y configure 8.8.8.8 y 8.8.4.4 como su DNS. Funcionará bien
Indra
3

Verifique la configuración de su enrutador en 192.168.XY, inicie sesión y busque la configuración de los servidores DNS, una vez que un bromista cambió mis servidores DNS en mi enrutador debido a mi contraseña de administrador débil, estos servidores DNS resolvían aproximadamente 1/3 de mi tráfico en un cierta página cargada con anuncios, el resto del tráfico se resolvió correctamente. Los malos también usan esta técnica para el phishing.

Miguel
fuente
Verifiqué todas las configuraciones del enrutador pero no pude encontrar nada sospechoso. ¿Podría ser otra cosa?
Parag Gangil
@ParagGangil Pruebe con otra computadora en la misma red, si le sucede lo mismo a esa computadora, el problema puede ser el enrutador, el ISP, alguien en el medio. ..., pero si el problema está solo en su computadora, puede enfocarse en cómo se resuelve el DNS en su sistema.
Mike
3

Esto parece ser lo que se conoce como redirección de ISP, que no es infrecuente. Consulte https://en.wikipedia.org/wiki/ISP_redirect_page para obtener más información. Muchos ISP han hecho esto (tuve que pasar con Charter hace un tiempo), y es bastante molesto. Lo que funcionó para mí fue configurar servidores DNS alternativos como otro póster mencionado. También puede encontrar cómo otros lo resolvieron en los comentarios de este artículo: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
fuente
1

Al principio, verifique las extensiones habilitadas en el navegador y avísenos si encuentra algo sospechoso. Luego verifique sus proveedores de búsqueda. Después de ese cheque

 /etc/hosts

para signos de una redirección. Lamentablemente, Google aún no tiene registros que puedan mostrar claramente casos similares al suyo.

¿Qué hiciste exactamente antes de comenzar a experimentar este comportamiento?

La última vez que experimenté algo así fue debido a una extensión difícil.

Armand

Armand Bozsik
fuente
3
Bien. Yo diría que votar sin ningún comentario no es lo más sabio que puedo imaginar. En ese momento, cuando se escribió mi comentario, la pregunta no estaba bien detallada, por lo que existía la posibilidad de casi cualquier tipo de "ataque". Lo que ClamTK encontró como amenaza es un falso positivo, estoy seguro. Sin ninguna información, creo que nadie puede ayudar. Whois muestra a Hiren Kakad como propietario del dominio (con una dirección de contacto de Axistel). Puede encontrar su perfil de Twitter, que está lleno de contenido no deseado. La respuesta más lógica debería ser que la URL mal escrita de OP se redirigió. Deberíamos saber la prevalencia en eso.
Armand Bozsik
1

Puede intentar configurar un servidor DNS alternativo en /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

El hecho es que probablemente esté utilizando DHCP, que asignará automáticamente una dirección de servidor DNS a su computadora. Sin embargo, si el servidor DNS de su ISP ha sido alterado, sería posible hacer algo como esto. Si esto no funciona, intente usar una VPN y vea si eso resuelve el problema.

EDITAR: Su ISP probablemente le esté haciendo algo a su DNS. Le sugiero que use una VPN o contacte a su ISP. Su cuenta puede estar limitada. Las IP reales para google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
fuente
0

Como se explica en otras respuestas, su problema está en DNS. El protocolo DNS es vulnerable a varios ataques. El atacante no tiene que ser su ISP, podría ser el enrutador, cualquier persona con la que comparta WiFi, etc.

Por lo tanto, es muy recomendable usar DNSCrypt , un mejor protocolo DNS . La instalación es bastante simple. 

sudo apt-get install dnscrypt-proxy

Si bien es posible que desee usarlo junto con un caché de DNS para un mejor rendimiento. Encontré instrucciones en DNSCrypt ArchWiKi bastante útiles.

Tianren Liu
fuente
0

Esto parece ser un exploit de configuración de navegador común (posible realizado por el complemento "Ubuntu Modifications 3.2"). Ver este artículo . Intente instalar otro navegador y vea si obtiene el mismo comportamiento. De lo contrario, debe restablecer completamente la configuración de Firefox, lo que debería solucionarlo.

Anders Olsson
fuente