Redirection vers «http://domain-error.com»

19

Je suis redirigé vers le site Internet " http://domain-error.com ". Cela se produit dans Firefox, Chrome, Google Chrome, etc. Je pense que je suis attaqué par un virus ou quelque chose de similaire.

Capture d'écran de Firefox

Mise à jour: la redirection se produit assez fréquemment mais, pas toujours et se produit dans tous les navigateurs.

Le gestionnaire de modules complémentaires de Firefox affiche «Modifications Ubuntu 3.2 (désactivé)». Les plug-ins Firefox affichent "OpenH264 Video Codec fourni par Cisco Systems, Inc.1.5.1". /etc/hostsest comme suit:

127.0.0.1   localhost
127.0.1.1   home-desktop

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

héberger les résultats google.com comme suit

home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
;; connection timed out; no servers could be reached
home@home-desktop:~$ host google.com
google.com has address 216.58.220.14
google.com has IPv6 address 2404:6800:4009:804::200e
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.


home@home-desktop:~$ host google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

google.com has address 216.58.196.14
google.com has IPv6 address 2404:6800:4009:805::200e
google.com mail is handled by 40 alt3.aspmx.l.google.com.
google.com mail is handled by 30 alt2.aspmx.l.google.com.
google.com mail is handled by 10 aspmx.l.google.com.
google.com mail is handled by 20 alt1.aspmx.l.google.com.
google.com mail is handled by 50 alt4.aspmx.l.google.com.

Le résultat de ClamTk Virus Scanner est le suivant. Mais, après avoir supprimé ce virus réapparaît.

/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/74FFA44984EB1C9A25C368933E368C017D1BA402: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/975E967B7FAAC093533721489F38B5558E903CD6: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/DC2B9FDFADA8ACF2A73587FB7C1363C96D865641: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/D18ACE6C2F38228A99A6F24DEF604B65FE8EAD4D: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/F0B2C1E21FAB8944116EE80787C026D0ACD117B3: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/229277790D7F8A68B7983C1B74110047842CAB9F: PUA.Http.Exploit.CVE_2015_1692 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/3E710D766C56B38839F2FA8857831ED099BCE52A: PUA.JS.Xored FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/10E466A6C5B7E8510DE813F537F27B186D75E2B6: PUA.Script.Packed-1 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/697815FD2C3AA32190D6EBEDC60695379DD6E754: PUA.Script.Packed-2 FOUND
/home/home/.cache/mozilla/firefox/l5cuof0l.default/cache2/entries/54B8B0B2368584CAC24E39B23E4493BEC8EC61D0: PUA.Http.Exploit.CVE_2015_1692 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4156276
Engine version: 0.98.7
Scanned directories: 392
Scanned files: 3020
Infected files: 10
Data scanned: 891.88 MB
Data read: 737.67 MB (ratio 1.21:1)
Time: 68.872 sec (1 m 8 s)

J'étais absent ... Je ressens cela comme un phénomène BSNL. Aujourd'hui encore Le problème a refait surface. Maintenant, j'ai changé le serveur DNS en openDNS ... J'espère que cela résoudra le problème .. Merci à tous pour avoir cherché le problème.

networking malware user481684
la source
5
Cela se produit-il avec chaque site que vous souhaitez visiter? Ou seulement des sites qui n'existent pas?
Jos
On dirait qu'une sorte de logiciel de recherche a fait de lui-même votre avis par défaut, même s'il prétend être Google, l'adresse n'est pas Google et qu'elle vous fait clairement la publicité de certains sites, allez dans les préférences >> rechercher et voir qui est votre recherche fournisseur (Google par défaut)
Mark Kirby
3
4 156 276 virus? Vous devez réinstaller Ubuntu, mec.
Star OS
1
Salut, je rencontre le même problème depuis deux semaines, cela arrive pour le domaine qui n'est pas résolu, probablement ceux qui ont expiré. Cela se produit également sur mes tablettes et téléphones lorsqu'ils sont connectés au même réseau. réinitialisez votre modem et voyez ce qui se passe !! (vous devez savoir comment le configurer)
x0x
1
Peut-être que votre FAI redirige votre trafic DNS: ckollars.org/dns-intercepting.html Pourriez-vous configurer un VPN ou utiliser un service proxy?
iuridiniz

Réponses:

13

J'ai ce problème depuis quelques jours.

Les problèmes sont:

  • Les domaines non valides sont redirigés vers domain-error.com
  • Certains domaines sont redirigés domain-error.complusieurs fois, mais après quelques tentatives, j'ai pu accéder au site Web.

J'ai le même problème sous Ubuntu, Archlinux, Windows (7 et 10). Je ne dis pas qu'il est impossible d'obtenir le même malware dans tous ces systèmes d'exploitation.

Mais ce qui est impossible (presque):
j'ai téléchargé une nouvelle copie d'Ubuntu sur le site officiel. Vérifié l' intégrité et démarré en direct. Ensuite, j'ai essayé d'atteindre une URL non valide.

Devinez ce qui s'est passé !. J'ai à nouveau été redirigé vershttp://domain-error.com/

Le problème vient donc du fournisseur d'accès Internet (FAI)?

Pour confirmer que je suis allé dans l'appartement de mes amis, qui utilise le même FAI et qui a le même problème.

J'ai bloqué le domain-error.comchargement (entrée ajoutée à / etc / hosts) mais la redirection existe toujours.

Je pense donc que vous rencontrez également le même problème avec le FAI.

SOLUTION:

Supprimez l'option DNS par défaut de votre routeur et définissez 8.8.8.8-la 8.8.4.4comme votre DNS. Cela fonctionnera bien.

Remarque : Mon FAI est BSNL (Inde)

.

Indra
la source
1
Avez-vous essayé de contacter votre FAI?
dadexix86
J'attends quelques jours. Peut-être qu'ils y travaillent.
Indra
J'ai contacté le FAI par téléphone. Il n'y a rien à faire à partir de là. Il est programmé de cette façon.
Indra
@IndrajithIndraprastham J'ai le même problème. Mon FAI est également BSNL. Je suis sur Windows. Avez-vous trouvé une solution?
Hardik Patadia
@HardikPatadia Oui, il existe une solution. Supprimez l'option DNS par défaut de votre routeur et définissez 8.8.8.8 et 8.8.4.4 comme DNS. Cela fonctionnera bien.
Indra
3

Vérifiez la configuration de votre routeur à 192.168.XY, connectez-vous et recherchez la configuration des serveurs DNS, j'ai eu une fois un joker qui change mes serveurs DNS sur mon routeur à cause de mon mot de passe administrateur faible, ces serveurs DNS résolvaient environ 1/3 de mon trafic vers un certaines pages chargées d'annonces, le reste du trafic a été résolu correctement. Les méchants utilisent également cette technique pour le phishing.

Mike
la source
J'ai vérifié tous les paramètres du routeur mais je n'ai rien trouvé de suspect. Serait-ce autre chose?
Parag Gangil
@ParagGangil Essayez un autre ordinateur sur le même réseau, si cela arrive à cet ordinateur, le problème peut être un routeur, un FAI, quelqu'un au milieu. ..., mais si le problème ne concerne que votre ordinateur, vous pouvez vous concentrer sur la résolution du DNS sur votre système.
Mike
3

Cela semble être ce qu'on appelle la redirection ISP, ce qui n'est pas rare. Voir https://en.wikipedia.org/wiki/ISP_redirect_page pour plus d'informations. Un certain nombre de FAI l'ont fait (je l'ai fait avec Charter il y a quelque temps), et c'est assez ennuyeux. Ce qui a fonctionné pour moi, c'était de configurer des serveurs DNS alternatifs, comme l'a mentionné une autre affiche. Vous pouvez également trouver comment certains autres l'ont résolu dans les commentaires de cet article: https://hackercodex.com/guide/how-to-stop-isp-dns-server-hijacking/

jshook
la source
1

Dans un premier temps, veuillez vérifier vos extensions activées dans le navigateur et faites-nous savoir si vous trouvez quelque chose de suspect. Vérifiez ensuite vos moteurs de recherche. Après cette vérification

 /etc/hosts

pour des signes de redirection. Malheureusement, Google ne dispose pas d'enregistrements susceptibles de montrer clairement des cas similaires aux vôtres.

Qu'avez-vous fait exactement avant de commencer à ressentir ce comportement?

La dernière fois que j'ai vécu quelque chose comme ça, c'était à cause d'une extension délicate.

Armand

Armand Bozsik
la source
3
Bien. Je dirais que voter en aval sans aucun commentaire n'est pas la chose la plus sage que j'imagine. À l'époque où mon commentaire a été rédigé, la question n'était pas bien détaillée, il y avait donc la possibilité de presque n'importe quel type d '«attaque». Ce que ClamTK a trouvé comme menace est un faux positif, j'en suis sûr. Sans aucune information, je pense que personne ne peut aider. Whois montre hiren kakad comme propriétaire du domaine (avec une adresse de contact Axistel). Vous pouvez alors trouver son profil Twitter, qui est plein de contenu spam. La réponse la plus logique devrait être que l'URL mal tapée OP a ensuite été redirigée. Nous devrions en connaître la prévalence.
Armand Bozsik
1

Vous pouvez essayer de configurer un autre serveur DNS dans /etc/resolv.conf:

$ cat /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

Le fait est que vous utilisez probablement DHCP, qui attribuera automatiquement une adresse de serveur DNS à votre ordinateur. Cependant, si le serveur DNS de votre FAI a été trafiqué, il serait possible de faire quelque chose comme ça. Si cela ne fonctionne pas, essayez d'utiliser un VPN et voyez si cela résout le problème.

EDIT: Votre FAI fait probablement quelque chose à votre DNS. Je vous suggère d'utiliser un VPN ou de contacter votre FAI. Votre compte est peut-être limité. Les vraies IP pour google.com

╰─ dig google.com

; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55270
;; flags: qr rd ra; QUERY: 1, ANSWER: 15, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     299 IN  A   196.23.168.172
google.com.     299 IN  A   196.23.168.185
google.com.     299 IN  A   196.23.168.170
google.com.     299 IN  A   196.23.168.158
google.com.     299 IN  A   196.23.168.177
google.com.     299 IN  A   196.23.168.157
google.com.     299 IN  A   196.23.168.155
google.com.     299 IN  A   196.23.168.162
google.com.     299 IN  A   196.23.168.173
google.com.     299 IN  A   196.23.168.166
google.com.     299 IN  A   196.23.168.181
google.com.     299 IN  A   196.23.168.143
google.com.     299 IN  A   196.23.168.151
google.com.     299 IN  A   196.23.168.147
google.com.     299 IN  A   196.23.168.187

;; Query time: 190 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Dec 18 10:48:53 SAST 2015
;; MSG SIZE  rcvd: 279
Wilhelm Erasmus
la source
0

Comme expliqué par d'autres réponses, votre problème est lié au DNS. Le protocole DNS est vulnérable à diverses attaques. L'attaquant n'a pas à être votre FAI, il peut s'agir du routeur, de toute personne avec qui vous partagez le WiFi, etc.

Par conséquent, il est fortement recommandé d'utiliser DNSCrypt , un meilleur protocole DNS . L'installation est assez simple. 

sudo apt-get install dnscrypt-proxy

Bien que vous souhaitiez peut-être l'utiliser avec un cache DNS pour de meilleures performances. J'ai trouvé les instructions dans DNSCrypt ArchWiKi très utiles.

Tianren Liu
la source
0

Cela semble être un exploit commun des paramètres du navigateur (possible grâce au plugin "Ubuntu Modifications 3.2"). Consultez cet article . Essayez d'installer un autre navigateur et voyez si vous obtenez le même comportement. Sinon, vous devez réinitialiser complètement vos paramètres Firefox, ce qui devrait le corriger.

Anders Olsson
la source