[GTER] Oi entregando DNS "banker"
Welkson Renny de Medeiros
welkson at cruzeta.com.br
Sat Aug 15 13:09:40 -03 2015
Agora pouco um amigo me relatou esse mesmo problema (usuário Oi Velox,
usando DNS do OpenDNS). Tentava abrir a página do BB (entre outros), e
ocorria um redirect para um IP hospedado nos EUA (http://66.228.60.253
/x.html)... O IP já foi desativado (Linode), mas o redirect continuava
ocorrendo. Nesse cliente em específico tem o Kaspersky instalado, e a URL
maliciosa foi bloqueada.
Analisando com Firefox Dev Tools observei que o redirect ocorria em um
Javascript do Google Analytics (http://www.google-analytics.com/ga.js)
Peguei a URL do ga.js, abri outra aba, colei, e ao tentar abrir, o
navegador exibia o redirect para a página maliciosa.
Limpei o cache do proxy (squid), limpei em seguida o cache do DNS da
máquina que estava testando (Windows 7), tentei abrir novamente, o mesmo
redirect apareceu... forcei um refresh na página (CTRL+F5), e o arquivo .js
da Google foi carregado corretamente. Tentei abrir todos os sites que
estavam dando problema, e todos funcionaram.
Não sei explicar que tipo de ataque foi realizado contra a Oi.. acredito
que não foi DNS, por nesse cliente em específico, o pfSense usa o DNS do
OpenDNS (BGP Hijacking?).
Welkson
Em 15 de maio de 2015 23:03, Carlos Menandro <carlosmenandro at gmail.com>
escreveu:
> Para a felicidade de todos, a própria Oi bloqueia as portas padrões de
> serviços.
>
>
More information about the gter
mailing list