Por que eu fui redirecionado para um site chinês estranho para sites inexistentes?

6

Se eu for a um endereço da Web que não existe, como link , chego a uma página chinesa estranha como esta:

Isso acontece para todos os navegadores da web. Por que isso acontece? Isso é algo instalado no meu computador (malware?) Ou é algo que meu ISP faz?

Informações adicionais em resposta a comentários / respostas:

(Eu realmente não sei muito sobre redes, então não sei o quanto isso significa)

/ etc / hosts:

127.0.0.1   localhost
127.0.1.1   $COMPUTER_NAME

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

em que $ COMPUTER_NAME é o nome real do meu computador.

/etc/resolv.conf:

# Generated by NetworkManager
domain 520b.com
search 520b.com
nameserver 192.168.1.1

Saída de dig siadfiosjdfosjdfsifjs.co.nz :

; <<>> DiG 9.7.3 <<>> siadfiosjdfosjdfsifjs.co.nz
;; global options: +cmd
;; connection timed out; no servers could be reached
    
por dv3500ea 21.06.2011 / 12:20

4 respostas

7

Isso pode ser causado por algumas coisas:

  • Um servidor DNS está injetando respostas falsas (tente configurar seu DNS para 8.8.8.8, o servidor do Google)

  • Um proxy no seu ISP (que seria bastante estranho, quase malicioso)

  • Seu roteador está injetando respostas falsas de DNS

Isso é tudo em que consigo pensar agora. Eu apostaria que não é causado por nenhum software Ubuntu.

Você pode verificar a integridade do seu provedor de DNS digitando isso em um Terminal:

dig siadfiosjdfosjdfsifjs.co.nz | grep ANSWER

O resultado deve dizer ANSWER: 0 .

    
por Stefano Palazzo 21.06.2011 / 12:38
3

O OpenDNS faz algo semelhante pelo serviço gratuito (redirecionar para uma página de anúncio). Como funciona com qualquer endereço "ruim", é mais provável que um redirecionamento de DNS esteja do lado do seu provedor. É uma coisa muito desprezível para fazer (vender espaço publicitário para pedidos de endereço incorreto), mas não inédito. Verifique o /etc/resolv.conf para se certificar de que alguém não invadiu seu computador alterando suas configurações de DNS no entanto.

Se o seu resolv.conf apontar para o seu servidor DNS ISP oficial ou para o seu roteador, verifique se o ISP é realmente responsável por fazê-lo - abra o /etc/resolv.conf em seu editor de texto favorito (sob sudo porque é um arquivo de sistema ) comente as linhas no arquivo (comente com um hash # ) e digite nameserver 4.2.2.1 , que é um bom servidor dns de camada superior.

Se isso não resolver o problema, os outros computadores da mesma rede apresentam o mesmo problema?

EDITAR

Com base no seu comentário, parece que o seu resolv.conf foi modificado - em particular, esta linha

search 520b.com

que vai para um site suspeitamente parecido com o do seu OP.

Existem duas possibilidades distintas aqui - o seu computador foi comprometido ou o seu router. Gostaria de verificar as configurações do seu roteador para ver se alguém modificou as configurações dns sobre ele, uma vez que seu computador (mais provável) obtém dns / informações de roteamento automagicamente via dhcp qualquer configuração ruim no lado do roteador irá propagar para o seu computador. Existe também uma possibilidade remota de danos do ISP - quem é o seu ISP?

Já que o DHCP limpa o resolv.conf toda vez que ele obtém um novo endereço, há poucas hipóteses de comprometer o seu PC se você estiver usando o DHCP (como redefiniria cada reinicialização e assumindo que o roteador está limpo), se - no entanto, você está usando uma configuração estática, alguém / alguma coisa pode ter alterado seu arquivo resolv.conf no passado e ele permaneceu lá desde então.

    
por crasic 21.06.2011 / 13:15
3

Meu ISP é TalkTalk . Eu estava usando a configuração padrão do meu roteador e conectando-o sem fio usando o DHCP automático. Essa era a configuração do meu roteador e minha conexão (a página de configuração do roteador está no link ):

EntãomeucomputadorusouoDNSde192.168.1.1queusavaoDNSdoroteadorde62.24.243.1(primário)e62.24.243.2(secundário).Issomeredirecionouparaumapáginaquepareceserde 520b.com (não está ligando diretamente porque eu não quero recompensá-los!).

Quando mudei o DNS do meu computador para o 8.8.8.8 e reiniciei, esse problema desapareceu e, em vez disso, obtive o resultado esperado do meu navegador da Web dizendo que ele não conseguiu encontrar a página.

Eu queria testar se meu roteador foi modificado para causar isso, então usei a configuração do roteador para reinicializar o roteador para as configurações de fábrica. Eu também configurei meu computador para usar o DNS do roteador novamente. Depois disso, o problema estava presente novamente. As configurações de fábrica do roteador usam 62.24.243.1 (principal) e 62.24.243.2 (secundário) para DNS. Portanto, o problema era o DNS padrão usado pelo TalkTalk.

Isto é certamente desonesto, mas pode ser que o TalkTalk não possua o DNS e eles mesmos estejam sendo enganados. Ou isso ou o TalkTalk é malvado.

De qualquer forma, minha solução de longo prazo é configurar o roteador para usar o DNS do Google (8.8.8.8 primário e 8.8.4.4 secundário). Eu posso fazer isso clicando em 'Avançado', clicando em OK em um diálogo paternalista: e navegar para o Basic- > DHCP. Em seguida, inseri os endereços IP nas caixas corretas e, em seguida, cliquei em um botão de envio. Depois disso, reiniciei meu roteador e meu computador e tudo estava bem.

    
por dv3500ea 21.06.2011 / 15:11
0

Vale a pena conferir a famosa publicação 'meu servidor foi invadido' no ServerFault ou Security Stack Exchange para orientação como se o seu PC estivesse comprometido, então você ainda poderia estar em risco.

Isso pode incluir um keylogger roubando suas senhas e detalhes de contas online, sendo parte de uma botnet ou pior.

    
por Rory Alsop 21.06.2011 / 13:56