El sitio web popular contiene un anuncio que activa el escaneo remoto desde la botnet: ¿qué debo hacer?

Question

El sitio web popular contiene un anuncio que activa el escaneo remoto desde la botnet: ¿qué debo hacer?

#1 de Jonah Benton (4 votos)

3

Uno de los principales canales de televisión de mi país tiene un sitio web desde el cual se puede verlo en vivo, en transmisión. Obviamente, sirve anuncios mientras tanto, principalmente de los socios de Google. Una noche abrí el sitio web mientras observaba los registros de mi enrutador y noté que, según mi enrutador, me estaban rechazando unas 20 direcciones IP.

Investigué más y descubrí que esto sucede la mayoría de las veces que abro el sitio web en el horario pico (20-23) y permito que Javascript de terceros. Específicamente, sucede cuando permito el dominio partners.googleadservices.com, que a su vez carga otro javascript en un dominio diferente, que a su vez carga más javascript externo, que al final resulta en que mi IP sea capturada y "DDoSed" por el botnet.

El dominio de tercer nivel de la URL real que se cargó por última vez antes de desencadenar el evento aparece en línea como un dominio que hace tiempo tenía que ver con la distribución / monetización de una extensión de navegador malintencionada.

Lo que el enrutador llama "DDoS" en realidad consiste en paquetes UDP que se envían desde puertos aleatorios a puertos aleatorios. Los registros no son más específicos y no tenía ganas de reenviar todo el tráfico de puertos para analizarlo.

He echado un vistazo a las máquinas detrás de esas IP y parecen máquinas comprometidas: pertenecen a varios registradores muy diferentes y, a veces, exponen lo que parecen servicios vulnerables (servidores web, interfaces de enrutadores antiguos, controladores de cámaras web ... .).

Lo más extraño es que la primera vez que realicé las IP originales, la mayoría de ellas pertenecen a mi país (no una enorme) y la más frecuente fue en realidad de mi ciudad natal, ¡definitivamente no es una grande! Pero probablemente solo fue una coincidencia, ya que con más datos las IP parecen estar distribuidas en toda Europa.

Ahora tengo dos preguntas y espero que sea apropiado hacerlas aquí. 1) ¿Es lo que me parece? ¿Un anuncio malicioso o comprometido y que activa un escaneo de botnets para reclutar más máquinas? 2) ¿Es esto normal y común? ¿Qué debería hacer uno? ¿Ignoralo? Dile al propietario del sitio web? Dile al proveedor de anuncios? ¿Debería / am-i-legalmente permitido investigar más?

¡Gracias!

web botnet

pregunta sowdust 22.08.2016 - 21:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas web botnet

Construyendo una red doméstica segura Seguridad de configurar el acceso al depósito S3 solo desde un sitio web en particular

score 4 · Accepted Answer

Análisis muy interesante.

Los anuncios / creatividades maliciosas son cada vez más cuidadosos y precisos en su orientación, lo que significa que incluyen cada vez más un código que decide si la carga útil malintencionada debe implementarse o no, y en caso contrario, se entrega una creatividad legítima.

Por lo tanto, no es imposible y, de hecho, ni siquiera es improbable que el operador que controla esta implementación maliciosa esté apuntando a un área geográfica específica en un momento específico, y que, como resultado de esa segmentación, haya alguna señal de que su dirección IP debería ser invitado a unirse a la fiesta, que con suerte se vio frustrada por su enrutador o por otras defensas.

En términos de acciones, tengo dos que sugerir.

Póngase en contacto con el propietario del sitio web: la estación de TV. Tienen control sobre los tipos / proveedores de anuncios / creatividades permitidos en sus propiedades (inventario), y su reputación, no el anunciante o el intercambio de anuncios, se ve afectada si sus clientes u otros monitores detectan actividad maliciosa. Por lo tanto, definitivamente comuníquese con ellos con cualquier detalle que pueda encontrar.
Comprueba que la máquina en la que estabas navegando no está comprometida, por ejemplo. no está escuchando en esos puertos udp, tiene procesos inusuales en ejecución o está emitiendo solicitudes de control y control de salida extrañas.