¿Problema extraño: envenenamiento de caché de DNS?

6

Soy un desarrollador de oficio, pero no muy versado en seguridad de la información. Me he encontrado con un problema extraño en casa:

Aproximadamente tres veces el año pasado, cuando abro algún sitio web, me lanzan a un dominio de basura que intenta engañarme para que realice alguna clase de auditoría de seguridad o lo que sea. La primera vez que sucedió, pensé que tenía algún malware en mi sistema. Normalmente soy muy cauteloso. Así que prácticamente quemé mis discos y conseguí que todo estuviera nuevo. Luego volvió a suceder, unos meses después, y ahora otra vez, después de mudarme a un apartamento diferente y en mi computadora portátil GFs.

Sospecho que algún tipo de manipulación de DNS, pero no hay forma de verificarlo. Abrir el mismo dominio de nuevo, solo me da la página correcta.

  • Entre ahora y entonces mudé apartamentos, moví el ISP, cambié el enrutador a Google Mesh, cambié el DNS a 8.8.8.8 en él. Así que ... ahora incluso el envenenamiento de DNS no tiene mucho sentido.

  • Y los sitios web que sí abren, son muy similares en espíritu. Sospecho que el problema es persistente.

  • El software AV no informa ningún problema.

¿Alguna idea? ¿Y qué debo hacer para evitar esto?

EDIT:

En respuesta a las preguntas:

  • Sucedió en tres sitios web diferentes. Honestamente, no recuerdo cuál, creo que es totalmente posible que no fuera ninguno de los grandes .

  • Volver a visitar el mismo sitio simplemente abre el sitio normal.

  • La última vez que sucedió ayer (mi novia visitó un blog. Actualizaré nuevamente si ella recuerda en qué sitio estaba originalmente), y este es el resultado de la basura a la que me refería: http://play6052.try-it-now3.club/?utm_medium=oxxGrJ1EO8rl%2flkgHhDHtdaJe%2b6y3ml38Z%2b1ZX9QaLo%3d&t=main6_mcas2

  • Estoy en Estonia

  • Los navegadores y las máquinas son completamente diferentes. Incluso el enrutador y los ISP han cambiado entre los problemas.

EDIT 2

El original ofensivo era: enlace

    
pregunta Gleno 23.08.2018 - 16:01
fuente

2 respuestas

9

Estoy de acuerdo con Steffen, esto parece ser la publicidad maliciosa como la causa más probable, y una opción menos probable es el compromiso del sitio visitado con redirecciones integradas.

La ejecución de bloqueadores de anuncios y bloqueadores de secuencias de comandos es efectiva contra la mayoría de los anuncios maliciosos, pero puede afectar negativamente su experiencia de navegación.

A veces, la publicidad maliciosa está dirigida solo a ciertos navegadores. Solía tener un sitio que visitaba regularmente y que sufría de una mala publicidad frecuente en la versión móvil. Cambiar de Chrome a Opera resolvió ese problema por completo. Los anuncios siguen cargados (quería apoyar el sitio) pero no las redirecciones maliciosas.

    
respondido por el Matt G 23.08.2018 - 16:35
fuente
1

Hay algunos programas maliciosos que infectan sitios web, pero el código se activa solo de forma aleatoria una fracción del tiempo.

Por lo tanto, el sitio puede parecer completamente normal para la mayoría, e incluso usted mismo después de una recarga, pero aún así mostrará las cosas malas de vez en cuando. Puede mostrarse directamente en el sitio o provocar una redirección.

Si tiene el control del sitio web al que visitó, verifique que no haya infección en el código de php. Por lo general, es bastante obvio (una gran cantidad de base64 al inicio de muchos de los archivos), a veces un poco más difícil de encontrar (puede ser un solo archivo PHP que se incluye indirectamente en otras páginas).

Si no tiene el control del sitio web, puede intentar alertar al propietario del sitio, pero a menos que pueda señalarlo con precisión, puede ser difícil obtener una buena respuesta.

Esos sitios generalmente terminan bloqueados por detectores de malware, como Google, Safari, Chrome, etc., pero puede llevar un tiempo, ya que el escáner necesita tropezar con la versión infectada de la página.

    
respondido por el jcaron 23.08.2018 - 18:34
fuente

Lea otras preguntas en las etiquetas