Weiterleitung zu "http://domain-error.com"

19

Ich werde auf die Website " http://domain-error.com " weitergeleitet. Dies geschieht in Firefox, Chromium, Google Chrome usw. Ich habe das Gefühl, von einem Virus oder ähnlichem befallen zu werden.

Firefox-Screenshot

Update: Die Umleitung erfolgt recht häufig, aber nicht immer und ist in allen Browsern zu beobachten.

Firefox Add-ons Manager zeigt "Ubuntu Modifications 3.2 (Disabled)" an. Firefox-Plug-Ins zeigen "OpenH264 Video Codec von Cisco Systems, Inc.1.5.1". /etc/hostsist wie folgt:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Host google.com Ergebnisse wie folgt

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

Das Ergebnis des ClamTk-Virenscanners lautet wie folgt. Aber nach dem Entfernen dieses Virus erscheint wieder.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Ich war weg ... ich fühle das als BSNL-Phänomen. Heute ist das Problem wieder aufgetaucht. Jetzt habe ich den DNS-Server auf openDNS geändert ... Hoffe, dass dies das Problem lösen wird.

networking malware user481684
quelle
5
Passiert dies für jede Site, die Sie besuchen möchten? Oder nur Websites, die nicht existieren?
Jos
Es sieht so aus, als hätte sich eine Art Suchanzeige zu Ihrer Standardbenachrichtigung gemacht, obwohl sie behauptet, Google zu sein. Die Adresse ist nicht Google, und sie wirbt eindeutig für einige Websites. Gehen Sie zu Einstellungen >> Suchen und sehen Sie, wen Sie suchen Anbieter ist (standardmäßig Google)
Mark Kirby
3
4.156.276 Viren? Du musst Ubuntu neu installieren, Alter.
Star OS
1
Hallo, ich habe das gleiche Problem seit zwei Wochen. Es passiert, dass die DNS-Domäne nicht aufgelöst ist, wahrscheinlich die abgelaufenen. Dies passiert auch auf meinen Tablets und Handys, wenn sie mit demselben Netzwerk verbunden sind. Setzen Sie Ihr Modem zurück und sehen Sie, was passiert !! (Sie müssen wissen, wie man es konfiguriert)
x0x
1
Möglicherweise leitet Ihr ISP Ihren DNS-Verkehr um: ckollars.org/dns-intercepting.html Können Sie ein VPN einrichten oder einen Proxy-Dienst verwenden?
iuridiniz

Antworten:

13

Ich habe dieses Problem seit ein paar Tagen.

Die Probleme sind:

  • Ungültige Domains werden an umgeleitet domain-error.com
  • Einige Domains werden domain-error.commehrmals umgeleitet, aber nach einigen Versuchen konnte ich die Website erreichen.

Ich habe das gleiche Problem in Ubuntu, Archlinux, Windows (7 und 10). Ich sage nicht, dass es unmöglich ist, unter all diesen Betriebssystemen dieselbe Malware zu bekommen.

Aber was ist (fast) unmöglich :
Ich habe eine neue Version von Ubuntu von der offiziellen Website heruntergeladen. Überprüfte die Integrität und startete live. Dann habe ich versucht, eine ungültige URL zu erreichen.

Rate, was passiert ist!. Ich wurde erneut weitergeleitethttp://domain-error.com/

Das Problem liegt also beim Internet Service Provider (ISP)?

Um zu bestätigen, dass ich in die Wohnung meines Freundes gegangen bin, der denselben ISP verwendet und das gleiche Problem hat.

Ich habe das domain-error.comLaden blockiert (hinzugefügter Eintrag in / etc / hosts), aber die Umleitung ist noch vorhanden.

Ich denke also, dass Sie auch das gleiche Problem mit dem ISP haben.

LÖSUNG:

Entfernen Sie die Standard-DNS-Option von Ihrem Router und legen Sie 8.8.8.8und 8.8.4.4als DNS fest. Es wird gut funktionieren.

Hinweis : Mein ISP ist BSNL (Indien)

.

Indra
quelle
1
Haben Sie versucht, Ihren ISP zu kontaktieren?
Dadexix86
Warten auf ein paar Tage. Vielleicht arbeiten sie daran.
Indra
Ich habe den ISP telefonisch kontaktiert. Von dort aus können sie nichts mehr tun. Es ist so programmiert.
Indra
@IndrajithIndraprastham Ich habe das gleiche Problem. Mein ISP ist auch BSNL. Ich stehe an Fenstern. Hast du eine Lösung?
Hardik Patadia
@HardikPatadia Ja, es gibt eine Lösung. Entfernen Sie die Standard-DNS-Option von Ihrem Router und legen Sie 8.8.8.8 und 8.8.4.4 als DNS fest. Es wird gut funktionieren.
Indra
3

Überprüfen Sie Ihre Routerkonfiguration auf 192.168.XY, melden Sie sich an und suchen Sie nach den DNS-Servereinstellungen. Ich hatte einmal einen Joker, der meine DNS-Server auf meinem Router aufgrund meines schwachen Administratorkennworts änderte Bei bestimmten mit Anzeigen geladenen Seiten wurde der Rest des Traffics korrekt aufgelöst. Böse Jungs verwenden diese Technik auch zum Phishing.

Mike
quelle
Ich habe alle Router-Einstellungen überprüft, konnte aber keinen Verdacht feststellen. Könnte es etwas anderes sein?
Parag Gangil
@ParagGangil Versuchen Sie es mit einem anderen Computer im selben Netzwerk. Wenn dasselbe Problem mit diesem Computer auftritt, kann es sich um einen Router, einen Internetdienstanbieter oder um jemanden in der Mitte handeln. ..., aber wenn das Problem nur auf Ihrem Computer liegt, können Sie sich darauf konzentrieren, wie DNS auf Ihrem System gelöst wird.
Mike
3

Dies scheint eine sogenannte ISP-Umleitung zu sein, was nicht ungewöhnlich ist. Weitere Informationen finden Sie unter https://en.wikipedia.org/wiki/ISP_redirect_page . Nicht wenige Internetdienstanbieter haben dies getan (ich hatte es vor einiger Zeit mit Charter zu tun), und es ist ziemlich ärgerlich. Was für mich funktionierte, war das Einstellen alternativer DNS-Server als ein anderes erwähntes Poster. In den Kommentaren dieses Artikels können Sie auch nachlesen, wie andere das Problem gelöst haben: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
quelle
1

Bitte überprüfen Sie zunächst Ihre im Browser aktivierten Erweiterungen und teilen Sie uns mit, wenn Sie Verdacht auf etwas haben. Dann überprüfen Sie Ihre Suchanbieter. Nach dieser Prüfung

 /etc/hosts

für Anzeichen einer Umleitung. Leider hat Google noch keine Aufzeichnungen, die eindeutig ähnliche Fälle wie Sie anzeigen könnten.

Was haben Sie genau getan, bevor Sie dieses Verhalten bemerkten?

Als ich das letzte Mal so etwas erlebt habe, lag es an einer kniffligen Erweiterung.

Armand

Armand Bozsik
quelle
3
Gut. Ich würde sagen, kommentarloses Abstimmen ist nicht die klügste Sache, die ich mir vorstellen kann. Zu der Zeit, als mein Kommentar verfasst wurde, war die Frage nicht sehr detailliert, so dass fast jede Art von „Angriff“ möglich war. Welches ClamTK als Bedrohung eingestuft wurde, ist sicher falsch positiv. Ohne Informationen, von denen ich denke, dass niemand helfen kann. Whois zeigt Hiren Kakad als Domaininhaber (mit einer Axistel-Kontaktadresse). Sie finden dann sein Twitter-Profil, das voller Spam-Inhalte ist. Die logischste Antwort sollte sein, dass die fehlerhafte OP-URL dann umgeleitet wurde. Wir sollten die Verbreitung darin kennen.
Armand Bozsik
1

Sie können versuchen, einen alternativen DNS-Server einzurichten in /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Die Sache ist, dass Sie wahrscheinlich DHCP verwenden, das Ihrem Computer automatisch eine DNS-Serveradresse zuweist. Wenn jedoch der DNS-Server Ihres Internetdienstanbieters manipuliert wurde, ist dies möglich. Wenn dies nicht funktioniert, versuchen Sie, ein VPN zu verwenden, und prüfen Sie, ob das Problem dadurch behoben wird.

EDIT: Ihr ISP hat wahrscheinlich etwas mit Ihrem DNS zu tun. Ich schlage vor, Sie verwenden ein VPN oder wenden sich an Ihren ISP. Ihr Konto ist möglicherweise gesperrt. Die realen IPs für google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
quelle
0

Wie in anderen Antworten erläutert, liegt das Problem bei DNS. Das DNS-Protokoll ist für verschiedene Angriffe anfällig. Der Angreifer muss nicht unbedingt Ihr ISP sein, sondern kann der Router sein, jeder, mit dem Sie WLAN teilen, usw.

Daher wird dringend empfohlen, DNSCrypt , ein besseres DNS-Protokoll, zu verwenden . Die Installation ist recht einfach. 

sudo apt-get install dnscrypt-proxy

Möglicherweise möchten Sie es zusammen mit einem DNS-Cache verwenden, um eine bessere Leistung zu erzielen. Ich fand Anweisungen in DNSCrypt ArchWiKi sehr hilfreich.

Tianren Liu
quelle
0

Dies scheint ein häufiger Exploit für Browsereinstellungen zu sein (möglich durch das Plugin "Ubuntu Modifications 3.2"). Siehe diesen Artikel . Versuchen Sie, einen anderen Browser zu installieren, und prüfen Sie, ob Sie dasselbe Verhalten feststellen. Andernfalls sollten Sie Ihre Firefox-Einstellungen vollständig zurücksetzen, um das Problem zu beheben.

Anders Olsson
quelle