Mengarahkan kembali ke "http://domain-error.com"

19

Saya sedang diarahkan ke situs web " http://domain-error.com ". Ini terjadi di Firefox, Chromium, Google chrome dll. Saya merasa saya diserang oleh virus atau sesuatu yang mirip dengan itu.

Tangkapan layar Firefox

Pembaruan: pengalihan terjadi cukup sering tetapi, tidak selalu dan mengalami di semua browser.

Firefox Add-ons Manager menunjukkan, "Modifikasi Ubuntu 3.2 (Dinonaktifkan)". Plug-in Firefox menunjukkan "OpenH264 Video Codec yang disediakan oleh Cisco Systems, Inc.1.5.1". /etc/hostsadalah sebagai berikut:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

host hasil google.com sebagai berikut

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

Hasil ClamTk Virus Scanner sebagai berikut. Tapi, setelah menghapus virus ini muncul kembali.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Saya pergi ... Saya merasakan ini sebagai fenomena BSNL. Hari ini lagi Masalahnya muncul kembali. Sekarang saya telah mengubah server DNS menjadi openDNS ... Semoga ini akan menyelesaikan masalah .. Terima kasih untuk semua orang yang telah mencari masalah.

networking  malware 
pengguna481684
sumber
5
Apakah ini terjadi pada setiap situs yang ingin Anda kunjungi? Atau hanya situs yang tidak ada?
Yos
Sepertinya beberapa jenis ad-ware pencarian telah menjadikan dirinya pemberitahuan default Anda meskipun itu mengaku sebagai Google alamatnya bukan Google dan itu jelas mengiklankan beberapa situs untuk Anda, buka preferensi >> cari dan lihat siapa yang Anda cari provider adalah (Google pada pengaturan standar)
Mark Kirby
3
4.156.276 virus? Anda perlu menginstal ulang Ubuntu, Bung.
OS Bintang
1
Hai Saya mengalami masalah yang sama sejak dua minggu, Itu terjadi untuk domain yang dns tidak diselesaikan, mungkin yang sudah kedaluwarsa. Ini terjadi pada tablet dan ponsel saya juga ketika terhubung ke jaringan yang sama. atur ulang modem Anda dan lihat apa yang terjadi !! (Anda harus tahu cara mengkonfigurasinya)
x0x
1
Mungkin ISP Anda mengarahkan lalu lintas DNS Anda: ckollars.org/dns-intercepting.html Bisakah Anda mengatur VPN atau menggunakan layanan proxy apa pun?
iuridiniz

Jawaban:

13

Saya mengalami masalah ini sejak beberapa hari.

Masalahnya adalah:

  • Domain tidak valid dialihkan ke domain-error.com
  • Beberapa domain dialihkan ke domain-error.combeberapa kali tetapi setelah beberapa upaya saya dapat mencapai situs web.

Saya mendapat masalah yang sama di Ubuntu, Archlinux, Windows (7 dan 10). Saya tidak mengatakan bahwa mendapatkan malware yang sama di semua sistem operasi ini tidak mungkin.

Tapi Apa yang tidak mungkin (hampir):
Saya mengunduh salinan baru Ubuntu dari situs web resmi. Memverifikasi integritas dan langsung mem-boot. Lalu saya mencoba mencapai URL yang tidak valid.

Tebak apa yang terjadi!. Saya kembali diarahkan kehttp://domain-error.com/

Jadi masalahnya dengan Penyedia Layanan Internet (ISP)?

Untuk mengkonfirmasi bahwa saya pergi ke apartemen teman saya, yang menggunakan ISP yang sama dan dia mengalami masalah yang sama.

Saya telah memblokir domain-error.comdari memuat (menambahkan entri ke / etc / hosts) tetapi pengalihan masih ada.

Jadi saya pikir Anda juga mengalami masalah yang sama dengan ISP.

LARUTAN:

Hapus opsi DNS default dari router Anda dan atur 8.8.8.8dan 8.8.4.4sebagai DNS Anda. Ini akan bekerja dengan baik.

Catatan : ISP saya adalah BSNL (India)

.

Indera
sumber
1
Apakah Anda mencoba menghubungi ISP Anda?
dadexix86
Menunggu beberapa hari. Mungkin mereka sedang mengerjakannya.
Indra
Saya menghubungi ISP melalui telepon. Tidak ada yang bisa mereka lakukan dari sana. Diprogram seperti itu.
Indra
@IndrajithIndraprastham Saya mengalami masalah yang sama. ISP saya juga BSNL. Saya ada di windows. Apakah Anda punya solusi?
Hardik Patadia
@HardikPatadia Ya ada solusinya. Hapus opsi DNS default dari router Anda dan atur 8.8.8.8 menjadi 8.8.4.4 sebagai DNS Anda. Ini akan bekerja dengan baik.
Indra
3

Periksa konfigurasi router Anda di 192.168.XY, masuk dan cari pengaturan server DNS, saya pernah beberapa kali mengubah server DNS saya di router saya karena kata sandi admin saya yang lemah, server DNS ini menyelesaikan sekitar 1/3 dari lalu lintas saya ke halaman tertentu dimuat dengan iklan, lalu lintas lainnya diselesaikan dengan benar. Orang jahat juga menggunakan teknik ini untuk phishing.

Mike
sumber
Saya memeriksa semua pengaturan router tetapi tidak menemukan sesuatu yang mencurigakan. Mungkinkah itu sesuatu yang lain?
Parag Gangil
@ ParagGangil Coba komputer lain di jaringan yang sama, jika hal yang sama terjadi pada komputer itu, masalahnya mungkin router, ISP, seseorang di tengah. ..., tetapi jika masalahnya hanya pada komputer Anda, Anda dapat fokus pada bagaimana DNS diselesaikan pada sistem Anda.
Mike
3

Ini tampaknya apa yang dikenal sebagai pengalihan ISP, yang tidak biasa. Lihat https://en.wikipedia.org/wiki/ISP_redirect_page untuk informasi lebih lanjut. Cukup banyak ISP yang telah melakukan ini (saya sudah melakukannya dengan Piagam beberapa waktu lalu), dan itu cukup menjengkelkan. Apa yang berhasil bagi saya adalah pengaturan server DNS alternatif seperti poster lain yang disebutkan. Anda juga dapat menemukan cara orang lain menyelesaikannya di komentar di artikel ini: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
sumber
1

Pada awalnya, periksa ekstensi Anda diaktifkan di browser dan beri tahu kami jika Anda menemukan sesuatu yang mencurigakan. Kemudian periksa penyedia pencarian Anda. Setelah itu periksa

 /etc/hosts

untuk tanda-tanda pengalihan. Sayangnya Google belum memiliki catatan yang dapat dengan jelas menunjukkan kasus yang mirip dengan milik Anda.

Apa yang Anda lakukan persis sebelum Anda mulai mengalami perilaku ini?

Ketika saya terakhir kali mengalami sesuatu seperti itu, itu karena ekstensi yang rumit.

Armand

Armand Bozsik
sumber
3
Baik. Saya katakan, downvoting tanpa komentar bukanlah hal paling bijaksana yang bisa saya bayangkan. Pada waktu itu ketika komentar saya ditulis, pertanyaannya tidak terlalu terperinci, sehingga ada kemungkinan untuk hampir semua jenis 'serangan'. ClamTK yang ditemukan sebagai ancaman adalah positif palsu, saya yakin. Tanpa informasi apa pun, saya pikir tidak ada yang bisa membantu. Whois menunjukkan hiren kakad sebagai pemilik domain (dengan alamat kontak Axistel). Anda dapat menemukan profil twitternya yang penuh dengan konten spam. Jawaban yang paling logis adalah bahwa OP salah ketik URL kemudian dialihkan. Kita harus mengetahui prevalensinya.
Armand Bozsik
1

Anda dapat mencoba mengatur server DNS alternatif di /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Masalahnya adalah Anda mungkin menggunakan DHCP, yang secara otomatis akan menetapkan alamat server DNS ke komputer Anda. Namun, jika server DNS ISP Anda telah dirusak, akan mungkin untuk melakukan sesuatu seperti ini. Jika ini tidak berhasil, coba gunakan VPN dan lihat apakah itu menyelesaikan masalah.

EDIT: ISP Anda mungkin melakukan sesuatu untuk DNS Anda. Saya sarankan Anda menggunakan VPN atau hubungi ISP Anda. Akun Anda mungkin dibatasi. IP nyata untuk google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
sumber
0

Seperti dijelaskan oleh jawaban lain, masalah Anda ada di DNS. Protokol DNS rentan terhadap berbagai serangan. Penyerang tidak harus menjadi ISP Anda, bisa juga router, siapa pun yang Anda bagikan WiFi, dll.

Oleh karena itu, sangat disarankan untuk menggunakan DNSCrypt , protokol DNS yang lebih baik . Pemasangannya cukup sederhana. 

sudo apt-get install dnscrypt-proxy

Meskipun Anda mungkin ingin menggunakannya bersama dengan cache DNS untuk kinerja yang lebih baik. Saya menemukan petunjuk di DNSCrypt ArchWiKi cukup membantu.

Tianren Liu
sumber
0

Ini tampaknya eksploit pengaturan browser yang umum (mungkin dilakukan oleh plugin "Ubuntu Modifications 3.2"). Lihat artikel ini . Coba pasang peramban lain dan lihat apakah Anda mendapatkan perilaku yang sama. Jika tidak, Anda harus mereset sepenuhnya pengaturan Firefox Anda, yang mana harus memperbaikinya.

Anders Olsson
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.