Редиректит на фишинговый сайт. Debian.

0

5

Всем привет.

Заметил редирект при попытке зайти на сайт с базами ebaza.pro . Подозреваю что стало редиректить после того как скачал и открыл парочку этих самых баз. Некторые были в формате .xlsx, некоторые в каком-то .dat .tad. Их я пытался открыть leafpad-ом т.к. не знал что за формат, xlsx - Libre Office-ом. Не знаю из-за этого появился вирус, или нет. Редиректит на какой-то стимовский сайт с играми https://imgur.com/a/UI5MxXy . Стимом не пользуюсь и в помине, в игры не играю. Редиректит только если пытаться зайти на ebaza.pro . Остальные ресурсы, которыми пользуюсь, открываются как и должно. В hosts все чисто. host ebaza.pro возвращает правильный айпишник, проверил на внешнем whois-ресурсе. Через виртуальную систему в virtualbox открывает без редиректа.

user@pc:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 9.6 (stretch)
Release:	9.6
Codename:	stretch

Пользуюсь хромом. В чем может быть проблема и как в следующий раз избежать подобных вирусов?

Ссылка

←	Чем мерять скорость прокси на питоне?

команда запуска mc - не открывает рабочий стол

→

Посмотри список установленных расширений хрома, нет ли там новых лишних расширений.

Solonix ★★★
(13.11.18 13:39:27 MSK)

Ответ на: комментарий от Solonix 13.11.18 13:39:27 MSK

Все старые. https://imgur.com/DMRAkuj

Проверил правила UBlock-а, вроде ничего подозрительного.

Sppawa
(13.11.18 13:45:26 MSK) автор топика

Ссылка

Ответ на: комментарий от Solonix 13.11.18 13:39:27 MSK

Ну не, втихую подкидывать скрытые рекламные расширения обычно Мозилла любит.

~~entefeed~~ ☆☆☆
(13.11.18 13:46:20 MSK)

Ты главное не сдавайся и не переставляй систему. Найди в чем причина и сюда напиши.

Под линукс нет зловредов говорили они.

Deleted
(13.11.18 13:51:21 MSK)

Пробовал ли просто другим браузером? Пробовал ли хромом с отключенными расширениями? Можешь открыть консоль хрома, вкладку networking и зайти на ebaza.pro и смотреть куда и как бегают запросы, не кидает ли сам сайт 302?

Посмотри `/etc/hosts` `/etc/resolv.conf`

Nicholass ★★★
(13.11.18 14:13:38 MSK)

Вангую заражение роутера.

Deleted
(13.11.18 14:54:34 MSK)

Ответ на: комментарий от Deleted 13.11.18 14:54:34 MSK

Через виртуальную систему в virtualbox открывает без редиректа.

Deleted
(13.11.18 15:05:41 MSK)

С чистым профилем хрома пробовал? Другим броузером, действительно?

Deleted
(13.11.18 15:06:44 MSK)

Ссылка

Ответ на: комментарий от Nicholass 13.11.18 14:13:38 MSK

Посмотри `/etc/hosts` `/etc/resolv.conf`

караул...

Deleted
(13.11.18 15:07:30 MSK)

Ответ на: комментарий от Deleted 13.11.18 15:07:30 MSK

ну а что такого? я бы первым делом полез куда-то в системыне настройки резолвинга имен

Nicholass ★★★
(13.11.18 15:09:53 MSK)

Ответ на: комментарий от Deleted 13.11.18 15:05:41 MSK

В виртуалке вполне может быть установлен dns 8.8.8.8, когда как в основной системе dns роутера используется.

Deleted
(13.11.18 15:19:50 MSK)

Ссылка

Ответ на: комментарий от Nicholass 13.11.18 15:09:53 MSK

Если зловред делает записи в эти файлы, то линукс можно официально закопать.

Deleted
(13.11.18 15:29:56 MSK)

Ссылка

traceroute?

Deleted
(13.11.18 15:30:39 MSK)

Ссылка

Ответ на: комментарий от Nicholass 13.11.18 14:13:38 MSK

Через guest window и инкогнито в хроме не помогает. Фаерфокс тоже редиректит.

Сразу после GET на ebaza.pro - идет GET на этот стимовский фишинговый сайт. Вот экспорт вкладки networking через инкогнито: https://mega.nz/#!eex0AabY!Km0RMtbrK0Y1gWcO9w_7KZ0106oXFREH4NwVKIquiI4

Везде сотоит гугловский днс: 8.8.8.8, 8.8.4.4.

user@pc:~$ traceroute ebaza.pro
traceroute to ebaza.pro (5.45.123.73), 30 hops max, 60 byte packets
 1  10.221.0.1 (10.221.0.1)  1.984 ms  1.944 ms  1.932 ms
 2  r145-pa.upce.cz (195.113.125.1)  2.704 ms  2.691 ms  2.882 ms
 3  195.113.235.89 (195.113.235.89)  5.446 ms  5.435 ms  5.424 ms
 4  cesnet-ias-geant-gw.pra.cz.geant.net (83.97.88.41)  4.120 ms  4.109 ms  4.095 ms
 5  ae6.3.mx1.vie.at.geant.net (62.40.98.99)  9.797 ms  9.783 ms  9.772 ms
 6  retn.vix.at (193.203.0.150)  10.170 ms  9.114 ms  10.681 ms
 7  ae2-4.RT.ELN.TLL.EE.retn.net (87.245.233.178)  38.987 ms  37.442 ms  38.394 ms
 8  as198068.r9-xe-2-2-0-0-Nar-EVR-EE.linxtelecom.net (195.222.7.89)  43.213 ms  43.200 ms  43.188 ms
 9  * * *
10  steam-game.ru (5.45.123.73)  43.141 ms  42.520 ms  43.161 ms

Стоп. У них одинаковые айпишники...

http://whois.domaintools.com/steam-game.ru

http://whois.domaintools.com/ebaza.pro

http://whois.domaintools.com/5.45.123.73

А на https://whoer.net/checkwhois разные https://imgur.com/a/3RK8cUZ

В чем прикол? Это баг в днс серверах?

Sppawa
(13.11.18 16:18:29 MSK) автор топика

Ответ на: комментарий от Sppawa 13.11.18 16:18:29 MSK

user@pc:~$ host ebaza.pro
ebaza.pro has address 5.45.123.73
ebaza.pro has IPv6 address 2a03:f480:1:11::33
user@pc:~$ host steam-game.ru
steam-game.ru has address 104.31.86.118
steam-game.ru has address 104.31.87.118
steam-game.ru has IPv6 address 2606:4700:30::681f:5676
steam-game.ru has IPv6 address 2606:4700:30::681f:5776
steam-game.ru mail is handled by 10 aspmx.l.google.com.
steam-game.ru mail is handled by 30 aspmx4.googlemail.com.
steam-game.ru mail is handled by 20 alt1.aspmx.l.google.com.
steam-game.ru mail is handled by 20 alt2.aspmx.l.google.com.
steam-game.ru mail is handled by 30 aspmx5.googlemail.com.
steam-game.ru mail is handled by 30 aspmx3.googlemail.com.
steam-game.ru mail is handled by 30 aspmx2.googlemail.com.

Sppawa
(13.11.18 16:20:55 MSK) автор топика

Ответ на: комментарий от Sppawa 13.11.18 16:20:55 MSK

try Wireshark mate ;) Go deep

algola
(13.11.18 16:37:31 MSK)

Ответ на: комментарий от algola 13.11.18 16:37:31 MSK

Это не MITM, меня с нескольких разных мест редиректит. Не только с домашнего интернета.

Sppawa
(13.11.18 16:38:41 MSK) автор топика

Ответ на: комментарий от Sppawa 13.11.18 16:18:29 MSK

На страничке https://2ip.ru/analizator/ оно еще пытается скрин анализируемого сайта показать , скрины одинаковые , что-то там не так .

И да ebaza.pro - можно прочитать не «е база» а «ебаца»

anonymous
(13.11.18 16:42:27 MSK)

А в настройках рабочего окружения не поставлена какаянить прокся?

Deleted
(13.11.18 16:47:56 MSK)

Ссылка

Ответ на: комментарий от Sppawa 13.11.18 16:18:29 MSK

У меня трассировка примерно такая же. Ты уверен, что проблема на твоей стороне, а не у сайта? Что это вообще за сайт?

gasinvein ★★★
(13.11.18 16:50:38 MSK)
Последнее исправление: gasinvein 13.11.18 16:51:03 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 13.11.18 16:42:27 MSK

На страничке https://2ip.ru/analizator/

Там скрины сайтов делает https://www.s-shot.ru/

anonymous
(13.11.18 16:53:30 MSK)

Ссылка

Попробуй в ненужной виртуалке файло открыть. Может совпадение.

anonymous
(13.11.18 17:08:48 MSK)

Ссылка

Ответ на: комментарий от gasinvein 13.11.18 16:50:38 MSK

Да, скорее всего у сайта проблемы. Не знаю, мне нужна была база данных. Открыл первый сайт в гугл выдаче, сначала все было ок, а потом после того как поскачивал оттуда, начались эти аномалии. Но возможно это просто совпадение.

https://www.s-shot.ru/

Выдает одинаковые скрины что по ebaza.pro что по steam-game.ru

Так что однозначно проблемы с сайтом. А я уже на линукс начал думать) Спасибо всем)

Sppawa
(13.11.18 17:32:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Sppawa 13.11.18 16:38:41 MSK

Это не MITM

А что wireshark узконаправленный снифер , при mitm only функционирует? Если что с помощью него можно все увидеть начиная с ttl и заканчивая тем откуда все резолвится

algola
(13.11.18 19:54:35 MSK)

Ссылка

Ответ на: комментарий от Deleted 13.11.18 13:51:21 MSK

Под линукс нет зловредов говорили они.

Ламерок, у тебя уже табуретка горит.

anonymous
(13.11.18 23:07:25 MSK)

Ссылка

Ответ на: комментарий от entefeed 13.11.18 13:46:20 MSK

Ни разу лису за этим не ловил, в отличии от.

digitaldark ★
(14.11.18 10:30:12 MSK)

Успокойся, там что-то на стороне сайта.

ping ebaza.pro 
PING ebaza.pro (5.45.123.73) 56(84) bytes of data.
64 bytes from steam-game.ru (5.45.123.73): icmp_seq=1 ttl=49 time=46.5 ms
64 bytes from steam-game.ru (5.45.123.73): icmp_seq=2 ttl=49 time=48.9 ms
c64 bytes from steam-game.ru (5.45.123.73): icmp_seq=3 ttl=49 time=59.5 ms
64 bytes from steam-game.ru (5.45.123.73): icmp_seq=4 ttl=49 time=50.2 ms

anonymous
(14.11.18 11:17:03 MSK)