Redireccionamiento de página a contenido "malicioso"

Navega tus respuestas
0

Recientemente estuve visitando un sitio web alojado en China (lo sé por IP, está asignado a una universidad de allí).

Cuando accedí a su página de hoy, se cargó, pero después de que se cargó el contenido inicial, fui redirigido a una página extraña de Pokémon / Mario Bros. De todos modos, me sorprendió. He utilizado Wireshark y pude ver que en la solicitud GET y el servidor estaba enviando un HTTP 302 "Movido temporalmente". Entonces me conecté a través de un proxy de Internet para ver si está vinculado de alguna manera a mi IP. Y sorpresa, pude conectarme sin ninguna redirección. Ahora me pregunto, ¿descubrieron que me estaba conectando desde fuera de China (Europa Central) e hizo una redirección basada en mi IP en Apache? ¿O es el sitio infectado por algún malware? Si es más tarde, ¿cómo podría verificar la URL en un sandbox para código malicioso? ¿Un proxy, evitaría una redirección?

    
pregunta adam86 24.03.2017 - 21:07
fuente

3 respuestas

1

Mi impresión es que hay una configuración 302 en el mismo nivel de dominio (posiblemente debido a una intención maliciosa), o como mencionó un Apache (o nginx o lo que sea) redirigir de alguna manera la configuración en el propio servidor web. Si esto fue pensado o resultado de un malware, no tengo forma de saberlo con la información proporcionada. Sin embargo, para un ataque XSS, generalmente se requiere el uso de un enlace externo con javascript escrito en el enlace mismo. Si navega directamente al sitio web, lo más probable es que XSS no sea el problema. En lo que respecta a la detección de malware, puede utilizar un escáner remoto, pero eso no proporcionará resultados tan precisos como el análisis del sistema de archivos en sí mismo, y me imagino que no tiene acceso.

    
respondido por el SuperAdmin 24.03.2017 - 21:19
fuente
0

Intente conectarse utilizando diferentes servidores proxy para evaluar el comportamiento de cada país. De esa manera, verá el contenido verdadero de la página si sospecha que está relacionado con el origen de la IP.

De todos modos, es una suposición descabellada sin conocer la página, la ip, etc ... pero podría ser una especie de xss o piratería a la página. Creo que alguien está redirigiendo a todas las personas a una página de "gancho", o simplemente está ganando dinero por cada visita debido a los anuncios. Si no lo redireccionamos, siempre ... podría tener algún tipo de IDK de "selección de usuario" ... tal vez por IP como sospechoso o lo que sea.

    
respondido por el OscarAkaElvis 24.03.2017 - 21:12
fuente
0

Sugeriría lo siguiente para investigar más a fondo. Como usted duda de que es un sitio web potencialmente comprometido, use una máquina virtual para realizar estos.

  1. Pruebe con proxies de un par de ubicaciones diferentes y vea si la respuesta de redirección se basa en la ubicación,
  2. Use un proxy web como eructar, intercepte cada solicitud y vea en qué etapa está ocurriendo la redirección. es decir; ¿Está sucediendo cuando envías un formulario? En caso afirmativo, ¿por qué están pasando los parámetros?
  3. ¿La respuesta inmediata del dominio de destino es un redireccionamiento 302 a ese sitio de pokemon? Si es así, el sitio puede estar comprometido.
  4. ¿Está ocurriendo la redirección después de un retraso? Luego, examine la fuente html de la respuesta inmediata y vea qué tipo de contenido activo se sirve [js, flash ...] y qué están haciendo.

Hay infinitas posibilidades. Pero estos son los que me vienen a la mente en este momento y creo que vale la pena analizarlos.

    
respondido por el hax 24.03.2017 - 21:25
fuente

Lea otras preguntas en las etiquetas

¿Es difícil resolver la fijación de sesión? ¿Podría ser peligroso revelar su nombre completo en Internet? [duplicar]