¡Consultas de DNS con una cadena hexadecimal que es un SHA1 de un nombre de dominio! ¿Es un malware?

Navega tus respuestas
1

Mi computadora hace muchas consultas a dominios extraños como:

56cea5c2b408989ab067adcb787d0f99209bbe07.mydomain.com

Lo extraño es que 56cea5c2b408989ab067adcb787d0f99209bbe07 es el SHA1 de la cadena "Ebay.com"

¿Es un malware? Parece construir consultas ocultas a sitios web bien conocidos.

---- EDICIÓN ----

Este no es el único prefijo de dominio SHA1 que encontré, existe otro para "Twitter.com".

Otro factor que debo agregar a la discusión es que cuando encuentras una cadena HEX de longitud de 16 o 20 es muy probable que sea un hash. Lo primero que puedes hacer es una búsqueda en Google. Hay muchos sitios web que recopilan cadenas de hashes (MD5 o SHA1). Trate de poner la cadena HEX en google y vea :)

    
pregunta robob 15.02.2012 - 22:54
fuente

3 respuestas

2

Especulación pura, pero tuve que intentarlo (siempre es divertido jugar a Sherlock Holmes de vez en cuando - la versión pre-hollywoodea obviamente).

En primer lugar, es posible, o incluso es probable que su sistema operativo agregue automáticamente .domainname.com . Es bastante común agregar un sufijo de dominio para las consultas de DNS para un nombre de host sin extesion. Por lo tanto, mi hipótesis se basa en el hecho de que algunos programas simplemente intentaron resolver 56cea5c2b408989ab067adcb787d0f99209bbe07 sin ninguna extensión. Sin embargo, esta parte de la teoría es fácil de verificar en tu computadora.

¿Por qué un programa intentaría resolver {something_random} o {hash_of_something} ? Supongo que solo para comprobar si la resolución de nombres funciona, y también intento evitar el almacenamiento en caché o los registros estáticos /etc/hosts .

¿Por qué hash('ebay.com') ? Esa es la parte más extraña, pero ¿quizás el desarrollador no pudo encontrar una mejor manera de generar un valor aleatorio? ¿Así que solo estaban introduciendo algunas cadenas en la función hash? Esta es la parte extraña con seguridad, pero podría haber una explicación simple (es decir, que el desarrollador sea estúpido / tonto / peculiar).

    
respondido por el Yoav Aner 16.02.2012 - 00:43
fuente
1

¿Es este un navegador web?

Algunos navegadores limitan las conexiones simultáneas a 2 cuando acceden a un nombre de dominio. Un truco de rendimiento consiste en crear un nombre DNS comodín que se resuelva en el sitio www.

Cuando javascript, o una aplicación del lado del servidor genera direcciones URL al servidor, se permiten más descargas simultáneas.

¿Es una aplicación?

Además, el marco .NET también limita las conexiones salientes. El desarrollador puede no saber acerca de system.net.servicepointmanager.defaultconnectionlimit , o cómo anular esto en un host o en un dominio de aplicación. Pueden estar usando un truco similar aunque no sea necesario.

Supongo que algo similar se aplica a Java, etc ...

Por último, podría ser algo malicioso. Depende ...

    
respondido por el random65537 15.02.2012 - 23:23
fuente
0

Me gustaría ver la extensión del archivo, y tal vez los encabezados HTTP del sitio que está mencionando. ¿Es en realidad ebay.com? ¿Cómo puedo reproducir esto? Se apreciarían más detalles.

Una forma en que esto podría ser útil es limitar el alcance de la vulnerabilidad para ciertos ataques de "mismo origen" presentes en Javascript, Flash y otros complementos de brower.

Por ejemplo, imágenes infectadas con Gifar , o documentos infectados puede invocar javascript para" hacer cosas "con datos en el mismo dominio DNS. Una forma sencilla de protegerse contra esto es servir los archivos de un dominio DNS diferente.

Ejemplos : 

https://96a077f305f5720221b338863ea8e3d7.userfiles.com/tech/SecurityPolicy.docx - OK
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/budget.xls - OK
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/Budget.xls  - Fails MD5 Checksum
https://fd4929a6ea48f85130f5a43f89cb7dd6.userfiles.com/Accounting/forecast.xls - Fails MD5 checksum

Vea más detalles de implementación aquí

    
respondido por el random65537 23.02.2012 - 16:06
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo forzar a cierto cliente del sitio web a respetar o recordar ciertos parámetros del servidor web? AES Encryption ¿es este encriptado demasiado complicado?