+ Responder ao Tópico



  1. #1

    Padrão Redirecionamento de URL - goneviral.com

    Pessoal bom dia.

    Algum dos colegas já pegou essa praguinha na rede, que ao clicar em qualquer link de um site redireciona a URL do cliente para o site www.goneviral.com?

    Já tentei de todas as formas achar a fonte disso e não estou conseguindo.

    Isso está acontecendo em um cliente empresarial (várias máquinas na rede interna) e somente neste cliente, o que denota que algum usuário da rede interna do cliente está com a máquina infectada. Não é muito minha função identificar isso, mais por ser um cliente grande, vale a pena dar uma atenção especial e tentar ajudar seu setor de TI.

    Se alguém já passou por situação semelhante e puder dar uma luz, fico grato.

  2. #2

    Padrão

    Consegui!

    Código :
    GET /BXvnm/url/92b96ad805273519f7b83345e25ea333667aead07735563e096b1a38b2815c4ef7b8e3448ec753077aebc96c2957561fb972d4d35a7dc37f965405b66a8ee44fac9334d22c6a50ed4f0006007d4ede13ab84076e2f6b0e689490dedfb896a7491a1f50f5892b9d0fe8dca6b1c0cda7c93849c346d1ad055de6c1f34ed96a4dbfd2770b1cd8f0794e8012ad3d880b28e00940c35a85b0be0da1976957384c02a214f87ad1bb5658db038d7ff17e063cf1d6510ca686e5f50c09e6eb7452695f07fb7fac370f92b1fdd8a5690c4c0ee7bda976c5be49e3226b6b615b515096c357855b66178187c50226fb822f6e7ed7ca57ff3cd2055572c336d543255b12a79fd4df402efaa44d78ae1ef12ee574039494d5637d3f9cbc907685f77a95534c6c50 HTTP/1.1Host: www.goneviral.com
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36
    Referer: http://www.kabum.com.br/cgi-local/site/principal/home.cgi
    Accept-Encoding: gzip, deflate, sdch
    Accept-Language: pt-BR,pt;q=0.8,en-US;q=0.6,en;q=0.4
    Cookie: __cfduid=de88d56fc03653b851777d6770f6424f51430166171
     
     
    HTTP/1.1 400 Bad Request
    Date: Mon, 27 Apr 2015 20:48:51 GMT
    Content-Type: text/html; charset=us-ascii
    Transfer-Encoding: chunked
    Connection: keep-alive
    Server: cloudflare-nginx
    CF-RAY: 1ddd6400334d18a7-GRU
     
     
    144
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
    <HTML><HEAD><TITLE>Bad Request</TITLE>
    <META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
    <BODY><h2>Bad Request - Invalid URL</h2>
    <hr><p>HTTP Error 400. The request URL is invalid.</p>
    </BODY></HTML>
     
     
    0

    Analisando uma captura de tráfego feita em uma das máquinas apresentando o problema, reparem o que encontrei:

    Código :
    Cookie: __cfduid=de88d56fc03653b851777d6770f6424f51430166171

    Solicitei a TI do cliente que fizessem uma limpeza nos Cookies dessa máquina e a mesma não voltou a apresentar o problema.

    Conclusão, algum usuário estava acessando algum site suspeito que por sua vez gravava um coockie na máquina e com isso as URL's eram redirecionadas.



  3. #3

    Padrão Re: Redirecionamento de URL - goneviral.com

    Tem alguns adwares que ficam exibindo conteúdo na "frente" da página que o usuário acessa, se a maquina já abriu esse conteúdo não adianta colocar um adblock da vida depois, nem adianta rodar alguns anti-malwares, o conteúdo já está no cache/temporários do browser, nesses casos é fechar browser e dar uma limpada com ferramenta tipo o Ccleaner (Desmarcar a opção de limpar apenas conteúdo de menos de 24h), e DEPOIS instalar Adblock e cia e/ou passar antispyware.

    Eles colocam em todo arquivo css ou htm nas pastas temp ou de cache uma chamada pro site, os anti-malwares não costumam verificar isso (O MalwareBytes Antimalware é excelente mas isso ele tem deixado passar), convenhamos que toda semana rodar o Ccleaner não matar ninguém, leva 2 segundos e dá uma bela eliminada em inutilidades (As vezes tem terminal com 2GB de cache de navegador, fora as vezes 5GB de temporários do sistema operacional, 20 mil itens, imagina o desperdício de tempo que seria um antim-malware verificar isso, melhor fazer essa limpeza ANTES de escanear algo)