Redirecionando para "http://domain-error.com"

19

Estou sendo redirecionado para o site " http://domain-error.com ". Isso está acontecendo no Firefox, Chromium, Google Chrome etc. Sinto que sou atacado por um vírus ou algo semelhante a isso.

Captura de tela do Firefox

Atualização: o redirecionamento ocorre com bastante frequência, mas nem sempre e ocorre em todos os navegadores.

O Gerenciador de Complementos do Firefox mostra "Ubuntu Modifications 3.2 (Disabled)". Os plug-ins do Firefox mostram "OpenH264 Video Codec fornecido pela Cisco Systems, Inc.1.5.1". /etc/hostsé o seguinte:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

hospede os resultados do google.com da seguinte maneira

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

ClamTk Virus Scanner, como a seguir. Mas, depois de remover esse vírus reaparece.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

Eu estava fora ... eu sinto isso como fenômeno BSNL. Hoje novamente O problema ressurgiu. Agora mudei o servidor DNS para openDNS ... Espero que isso resolva o problema .. Agradecimentos a todos por procurarem o problema.

networking malware user481684
fonte
5
Isso acontece com todos os sites que você deseja visitar? Ou apenas sites que não existem?
18715 Jos Jos
Parece que algum tipo de anúncio de pesquisa se tornou seu aviso padrão, mesmo que ele afirme ser o Google, o endereço não seja o Google e esteja claramente anunciando alguns sites para você, vá para preferências >> pesquise e veja quem é sua pesquisa provedor é (Google por padrão)
Mark Kirby
3
4.156.276 vírus? Você precisa reinstalar o Ubuntu, cara.
Star OS
1
Oi Estou enfrentando o mesmo problema há duas semanas, isso acontece para o domínio que é dns não foi resolvido, provavelmente os que expiraram. Isso acontece nos meus tablets e telefones também quando conectado à mesma rede. redefina seu modem e veja o que acontece !! (você deve saber como configurá-lo)
x0x
1
Talvez seu provedor de serviços de Internet esteja redirecionando seu tráfego DNS: ckollars.org/dns-intercepting.html Você pode configurar uma VPN ou usar algum serviço de proxy?
Iuridiniz 21/12/2015

Respostas:

13

Estou com esse problema há alguns dias.

Os problemas são:

  • Domínios inválidos são redirecionados para domain-error.com
  • Alguns domínios são redirecionados para domain-error.comvárias vezes, mas depois de algumas tentativas, eu poderia acessar o site.

Eu tenho o mesmo problema no Ubuntu, Archlinux, Windows (7 e 10). Não estou dizendo que é impossível obter o mesmo malware em todos esses sistemas operacionais.

Mas o que é impossível (quase):
baixei uma nova cópia do Ubuntu no site oficial. Verificou a integridade e foi inicializado ao vivo. Então, tentei acessar um URL inválido.

Adivinha o que aconteceu!. Fui novamente redirecionado parahttp://domain-error.com/

Portanto, o problema está no provedor de serviços de Internet (ISP)?

Para confirmar que fui ao apartamento dos meus amigos, que está usando o mesmo ISP e está tendo o mesmo problema.

Eu bloqueei o domain-error.comcarregamento (entrada adicionada em / etc / hosts), mas o redirecionamento ainda existe.

Então eu acho que você também está tendo o mesmo problema com o ISP.

SOLUÇÃO:

Remova a opção DNS padrão do seu roteador e defina 8.8.8.8e 8.8.4.4como seu DNS. Vai funcionar bem.

Nota : Meu ISP é BSNL (Índia)

.

Indra
fonte
1
Você tentou entrar em contato com seu ISP?
dadexix86
Esperando alguns dias. Pode ser que eles estejam trabalhando nisso.
Indra
Entrei em contato com o ISP por telefone. Não há nada que eles possam fazer a partir daí. É programado dessa maneira.
Indra
@IndrajithIndraprastham Estou tendo o mesmo problema. Meu ISP também é BSNL. Eu estou nas janelas. Você conseguiu alguma solução?
Hardik Patadia
@HardikPatadia Sim, existe uma solução. Remova a opção DNS padrão do seu roteador e defina 8.8.8.8 e 8.8.4.4 como seu DNS. Vai funcionar bem.
Indra
3

Verifique a configuração do seu roteador em 192.168.XY, faça o login e procure a configuração dos servidores DNS. Certa vez, algum coringa mudou meus servidores DNS no meu roteador por causa da minha senha de administrador fraca. Esses servidores DNS estavam resolvendo cerca de 1/3 do meu tráfego em um servidor DNS. Em determinadas páginas carregadas com anúncios, o restante do tráfego foi resolvido corretamente. Os bandidos também usam essa técnica para phishing.

Mike
fonte
Verifiquei todas as configurações do roteador, mas não encontrei nada suspeito. Poderia ser outra coisa?
Parag Gangil
@ParagGangil Tente outro computador na mesma rede, se o mesmo acontecer com esse computador, o problema pode ser roteador, ISP, alguém no meio. ..., mas se o problema estiver apenas no seu computador, você poderá se concentrar em como o DNS é resolvido no seu sistema.
Mike
3

Parece ser o que é conhecido como redirecionamento de ISP, o que não é incomum. Veja https://en.wikipedia.org/wiki/ISP_redirect_page para mais informações. Muitos ISPs fizeram isso (eu tive isso com o Charter há algum tempo), e é bastante irritante. O que funcionou para mim foi definir servidores DNS alternativos como outro pôster mencionado. Você também pode encontrar como outras pessoas o resolveram nos comentários deste artigo: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
fonte
1

Inicialmente, verifique suas extensões ativadas no navegador e deixe-nos saber se você encontrar algo suspeito. Em seguida, verifique seus provedores de pesquisa. Depois dessa verificação

 /etc/hosts

para sinais de um redirecionamento. Infelizmente, o Google ainda não possui registros que possam mostrar claramente casos semelhantes aos seus.

O que você fez exatamente antes de começar a experimentar esse comportamento?

A última vez que experimentei algo assim foi por causa de uma extensão complicada.

Armand

Armand Bozsik
fonte
3
Bem. Eu diria que votar sem qualquer comentário não é a coisa mais sábia que posso imaginar. Naquele momento em que meu comentário foi escrito, a pergunta não estava bem detalhada, então havia a possibilidade de quase qualquer tipo de 'ataque'. Qual ClamTK encontrado como ameaça é um falso positivo, tenho certeza. Sem qualquer informação, acho que ninguém pode ajudar. Whois mostra hiren kakad como o proprietário do domínio (com um endereço de contato do Axistel). Você pode encontrar o perfil dele no twitter, que está cheio de conteúdo com spam. A resposta mais lógica deve ser que o URL digitado incorretamente OP foi redirecionado. Deveríamos conhecer a prevalência disso.
Armand Bozsik
1

Você pode tentar configurar um servidor DNS alternativo em /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

O problema é que você provavelmente está usando DHCP, que atribuirá automaticamente um endereço de servidor DNS ao seu computador. No entanto, se o servidor DNS do seu provedor de serviços de Internet tiver sido violado, seria possível fazer algo assim. Se isso não funcionar, tente usar uma VPN e veja se isso resolve o problema.

EDIT: O seu ISP provavelmente está fazendo algo com o seu DNS. Sugiro que você use uma VPN ou entre em contato com seu ISP. Sua conta pode estar no limite. Os IPs reais para google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
fonte
0

Conforme explicado por outras respostas, seu problema está no DNS. O protocolo DNS é vulnerável a vários ataques. O invasor não precisa ser seu ISP, pode ser o roteador, qualquer pessoa com quem você compartilhe o Wi-Fi, etc.

Portanto, é altamente recomendável usar o DNSCrypt , um protocolo DNS melhor . A instalação é bastante simples. 

sudo apt-get install dnscrypt-proxy

Embora você queira usá-lo junto com um cache DNS para obter melhor desempenho. Encontrei instruções no DNSCrypt ArchWiKi bastante úteis.

Tianren Liu
fonte
0

Parece ser uma exploração comum das configurações do navegador (possível pelo plug-in "Ubuntu Modifications 3.2"). Veja este artigo . Tente instalar outro navegador e veja se você tem o mesmo comportamento. Caso contrário, você deve redefinir completamente as configurações do Firefox, o que deve corrigi-lo.

Anders Olsson
fonte