web-dev-qa-db-fra.com

Redirection vers "http://domain-error.com"

Je suis redirigé vers le site " http://domain-error.com ". Cela se passe dans Firefox, Chromium, Google chrome etc. Je me sens attaqué par un virus ou quelque chose de similaire.

Firefox screenshot

Mise à jour: la redirection se produit assez fréquemment mais pas toujours et se produit dans tous les navigateurs.

Le gestionnaire de modules complémentaires de Firefox affiche "Ubuntu Modifications 3.2 (Disabled)". Les plug-ins Firefox affichent "OpenH264 Video Codec fourni par Cisco Systems, Inc.1.5.1". /etc/hosts est la suivante:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Hébergez les résultats google.com comme suit

home@home-desktop:~$ Host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ Host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ Host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

ClamTk Virus Scanner résultat comme suit. Mais, après avoir supprimé ce virus, réapparaît.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

J'étais absent ... Je pense que c'est un phénomène BSNL. Aujourd'hui encore, le problème a refait surface. Maintenant, j'ai changé le serveur DNS en openDNS ... J'espère que cela résoudra le problème .. Merci à tout le monde de rechercher le problème.

19
user481684

J'ai ce problème depuis quelques jours.

Les problèmes sont les suivants:

  • Les domaines non valides sont redirigés vers domain-error.com
  • Certains domaines sont redirigés plusieurs fois vers domain-error.com, mais après quelques tentatives, je peux atteindre le site Web.

J'ai le même problème sous Ubuntu, Archlinux, Windows (7 et 10). Je ne dis pas qu'il est impossible d'obtenir le même programme malveillant dans tous ces systèmes d'exploitation.

Mais qu'est-ce qui est impossible (presque):
J'ai téléchargé une nouvelle copie d'Ubuntu à partir du site officiel. Vérifié le intégrité et en direct démarré. Ensuite, j'ai essayé d'atteindre une URL non valide.

Devinez ce qui s'est passé! J'ai encore été redirigé vers http://domain-error.com/

Le problème vient-il donc du fournisseur de services Internet?

Pour confirmer que je suis allé chez mes amis, qui utilise le même fournisseur de services Internet et qui a le même problème.

J'ai bloqué le chargement de domain-error.com (entrée ajoutée à/etc/hosts) mais la redirection existe toujours.

Je pense donc que vous rencontrez le même problème avec le fournisseur de services Internet.

SOLUTION:

Supprimez l’option DNS par défaut de votre routeur et définissez 8.8.8.8 et 8.8.4.4 en tant que votre DNS. Cela fonctionnera bien.

Remarque : Mon FAI est BSNL (Inde)

.

13
Indra

Cela semble être ce que l’on appelle la redirection ISP, ce qui n’est pas rare. Voir https://en.wikipedia.org/wiki/ISP_redirect_page pour plus d'informations. Un certain nombre de fournisseurs de services Internet ont fait cela (il y a quelque temps, cela arrivait avec la Charte), et c'est assez énervant. Ce qui a fonctionné pour moi a été de définir des serveurs DNS alternatifs comme indiqué dans une autre affiche. Vous pouvez également trouver comment d'autres l'ont résolu dans les commentaires de cet article: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

3
jshook

Vérifiez la configuration de votre routeur à l'adresse 192.168.XY, connectez-vous et recherchez la configuration des serveurs DNS. J'avais déjà eu un joker de changer mes serveurs DNS sur mon routeur en raison de mon faible mot de passe administrateur. Ces serveurs DNS résolvaient environ 1/3 de mon trafic en un certaine page chargée avec des annonces, le reste du trafic a été résolu correctement. Les méchants utilisent également cette technique pour le phishing.

3
Mike

Dans un premier temps, veuillez vérifier si vos extensions sont activées dans le navigateur et faites-nous savoir si vous trouvez quelque chose de suspect. Ensuite, vérifiez vos moteurs de recherche. Après cette vérification

 /etc/hosts

pour les signes d'une redirection. Malheureusement, Google ne contient pas de données qui pourraient clairement montrer des cas similaires aux vôtres.

Qu'avez-vous fait exactement avant de ressentir ce comportement?

La dernière fois que j'ai vécu quelque chose comme ça, c'était à cause d'une extension délicate.

Armand

1
Armand Bozsik

Vous pouvez essayer de définir un autre serveur DNS dans /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Le fait est que vous utilisez probablement DHCP, qui assignera automatiquement une adresse de serveur DNS à votre ordinateur. Toutefois, si le serveur DNS de votre fournisseur de services Internet a été falsifié, il serait possible de procéder de la sorte. Si cela ne fonctionne pas, essayez d'utiliser un VPN et voyez si cela résout le problème.

EDIT: Votre fournisseur de services Internet est probablement en train de faire quelque chose à votre DNS. Je vous suggère d'utiliser un VPN ou de contacter votre fournisseur d'accès. Votre compte peut être plafonné. Les vraies IP pour google.com

╰─ Dig google.com

; <<>> Dig 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
1
Wilhelm Erasmus

Cela semble être un exploit des paramètres de navigateur commun (possible grâce au plugin "Ubuntu Modifications 3.2"). Voir ceci article . Essayez d'installer un autre navigateur et voyez si vous obtenez le même comportement. Sinon, vous devez complètement réinitialiser vos paramètres de Firefox, ce qui devrait le réparer.

0
Anders Olsson

Comme expliqué par d'autres réponses, votre problème est dans le DNS. Le protocole DNS est vulnérable à diverses attaques. L’attaquant ne doit pas nécessairement être votre fournisseur de services Internet, il peut s’agir du routeur, de toute personne avec laquelle vous partagez le WiFi, etc.

Par conséquent, il est fortement recommandé d'utiliser DNSCrypt , un meilleur protocole DNS . L'installation est assez simple.

Sudo apt-get install dnscrypt-proxy

Bien que vous souhaitiez l’utiliser avec un cache DNS pour de meilleures performances. J'ai trouvé des instructions dans DNSCrypt ArchWiKi très utiles.

0
Tianren Liu