Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Konstig domän, android "virus", går ej att blockera, kan ej gå in på domänen manuellt

Svara
2015-09-27, 02:45
  #1
denied
Medlem
denieds avatar
Det var år och dagar sedan jag behövde Flashback för något, men jag måste säga att jag är helt jävla paff nu!

Är och hälsar på i Bulgarien och när jag loggar in på wifit här hos en privatperson får jag fram det sjukaste jävla meddelandet om att min Android lur:

Kod: 
WARNING!!

Software on your Generic Smartphone may be out of date.

Installing the new CM Security update will update your Android version to Android 5.1.3. (78% faster)

Click the button below to install new CM Security from Google Play for FREE.
http://i.imgur.com/q2WLMV2.png <<<---bild
http://g77appx2.com/ <<<--- domänen

Fick det även när jag satt i Kali Linux 2.0 och browsrade internet. Tror det kan ha att göra för att jag hade en User Agent som var satt som en mobiltelefon. Men det poppade först upp i min telefon, sen i min padda då blev jag sjukt irriterad och drog igång laptopen och även där dök det upp.

Det sjuka är att jäveln har satt:
Kod: 
User-agent: *
Disallow: /

Så jag vet inte om det är det som blockar att man inte kommer in på sidan när man själv skriver in urlen eller om det är något annat? Jag kan scanna skiten med nmap, den dyker upp, samt andra portar, men när jag öppnar webläsaren och själv vill gå in dit så går det fan inte. Trodde först att någon kapat routern här och sysslar med MITM attacker men Snort säger annorlunda, no problems. Kollar routern om någon annan är connectad, nopes. Börjar tro att det är något jävla skevt med ISPn men det låter också jävligt knasigt.

Har googlat på domänen, samt ett antal andra domäner (tex http://digital1banners.com/) som kommer med samma meddelande, ingen verkar "veta" av dessa. Har suttit i över 3 timmar nu och försökt lurka ut vafan det här är, men jag lyckas fan inte. Det är något helt nytt för mig, inte för att jag är så insatt men oftast brukar jag kunna hitta vart eller vad problemet är. Det är ju liksom inget virus eller någon torjan, så jag är fan helt tafatt nu alltså.

Hoppas på att någon här på FB kan hjälpa mig i detta ärende, är så sjukt irriterande att behöva leva med detta i de två veckor jag är här. Utöver att den poppar upp reklamen så vibrerar den i 10 sekunder på paddan och telefonen. Jag fick loss koden med debuggern och det är där allt verkar hända.

Vore oerhört tacksam om någon "could shed some light on this issue" för jag blir snart galen =)
Tack!

Postar ett till inlägg med koden från sidan, var tydligen för mycket text =/
Citera
2015-09-27, 02:49
  #2
denied
Medlem
denieds avatar
Här kommer koden - DEL1:
Citera
2015-09-27, 02:50
  #3
denied
Medlem
denieds avatar
DEL 2:

Kod:
Citera
2015-09-27, 08:07
  #4
DickeFix
Medlem
DickeFixs avatar
Jag tror att det är någon som fifflat med Wifi-routerns DNS-inställning som gör att du hela tiden vidarekopplas till webbsidan med meddelandet. Se liknande problem här:

http://www.thesafemac.com/how-to-man...reless-router/
http://www.bleepingcomputer.com/foru...k-your-router/
Citera
2015-09-27, 11:00
  #5
denied
Medlem
denieds avatar
Hmm det tänkte jag iof inte på. Kom ju in på routern med admin/admin defaulten och ser att dns'en är satt till två bulgariska servrar. Litar fan inte på dem dock, 89.190.192.248 ns.megalan.bg & 89.190.192.247 ns2.megalan.bg.
Testar att byta till OpenDNS eller Googles egna och ser ifall det här försvinner då. Tack för heads upen!

EDiT: Lol lagom skumt! Dom där två dns'erna får jag på statusen, när jag går in och tittar vilka dnser som är satta så är det inte någon av dom utan: 91.215.155.77 - jimmi109.vds och googles egna på dns2. Jävla jidder alltså. Såg att WPS också var enabled så det är nog någon som kört reaver mot den här och kommit in den vägen.

Ska se om routern supportar dd-wrt och installera det senare idag.

EDiT2: Trodde det var löst, har bytt till googles dns, startat om routern två gånger. Testade att surfa med luren på lite random sidor och smack, skiten kommer fram igen. http://i.imgur.com/0vVphhm.png

Blir fan helt tokig på det här! =( Setupen ser ut så här: http://i.imgur.com/cN6rpJi.png
__________________
Senast redigerad av denied 2015-09-27 kl. 11:34.
Citera
2015-09-27, 16:18
  #6
DickeFix
Medlem
DickeFixs avatar
Citat:
Ursprungligen postat av denied
Hmm det tänkte jag iof inte på. Kom ju in på routern med admin/admin defaulten och ser att dns'en är satt till två bulgariska servrar. Litar fan inte på dem dock, 89.190.192.248 ns.megalan.bg & 89.190.192.247 ns2.megalan.bg.
Testar att byta till OpenDNS eller Googles egna och ser ifall det här försvinner då. Tack för heads upen!

EDiT: Lol lagom skumt! Dom där två dns'erna får jag på statusen, när jag går in och tittar vilka dnser som är satta så är det inte någon av dom utan: 91.215.155.77 - jimmi109.vds och googles egna på dns2. Jävla jidder alltså. Såg att WPS också var enabled så det är nog någon som kört reaver mot den här och kommit in den vägen.

Ska se om routern supportar dd-wrt och installera det senare idag.

EDiT2: Trodde det var löst, har bytt till googles dns, startat om routern två gånger. Testade att surfa med luren på lite random sidor och smack, skiten kommer fram igen. http://i.imgur.com/0vVphhm.png

Blir fan helt tokig på det här! =( Setupen ser ut så här: http://i.imgur.com/cN6rpJi.png

Ja det var konstigt. Har du kollat att även de bärbara enheterna inte är inställda på någon skum fix DNS?

https://www.opennicproject.org/confi...-in-windows-7/
Citera
2015-09-27, 18:06
  #7
denied
Medlem
denieds avatar
Citat:
Ursprungligen postat av DickeFix
Ja det var konstigt. Har du kollat att även de bärbara enheterna inte är inställda på någon skum fix DNS?

https://www.opennicproject.org/confi...-in-windows-7/

Har ingen windows dator, kör ju kali linux 2.0 på min laptop och android på telefonen och paddan. Börjar misstänka att något är fel högre upp i ledet...typ hos leverantören. Men vi får se, måste få lite tid att installera dd-wrt och se om det hjälper. Sjukt skumt det här.
Citera
2015-09-28, 23:56
  #8
denied
Medlem
denieds avatar
Nu börjar det här bli VÄLDIGT intressant! Slängde in dd-wrt på routern (Firmware: DD-WRT v3.0-r27506 (07/09/15) std), tog ett tag att fixa inställningarna då ISPn har satt en MAC adress blocker. Så jag var tvungen att klona den gamla mac-adressen på routern för att komma in på nätet. Otroligt lustig lösning med en static ip men ok, vi har internet igen iaf =)

Tänkte att nu, iaf, borde skitreklamen försvinna! Men ack så fel man har. Den poppar ändå upp, vibrerar sönder min padda om att jag ska installera CM (samma meddelande som förut) och vägrar ge sig. Då kan vi 100% utesluta att det är något från min sida. Då jag kommer hit med en helt nyinstallerad Linux burk med Kali 2.0, ny padda och hyfsat ny telefon.

Det lustiga är att medans vi inte hade internet (wlan) så satte personen som jag bor hos på sitt 3G. Hon började surfa runt på lite sidor och på sitt 3G får hon samma meddelande som vi får på wlanet och routern. Det är ju bara sjukt lustigt! Vi trodde det var någon konstig dns från routern men efter dd-wrt installation, factory reset och allt det där får samma meddelande och hon får det på sitt 3G också. Nu blir jag jävligt nyfiken på vad som faktiskt händer här.

Vet inte om jag är lite för paranoid, men om internet och 3g ger samma fel, efter att helt ha säkrat hemmet här, börjar jag tro att det är någon IT-tekniker som smittat området här med något slags "virus". Typ flashat om någon router/switch med någon malware eller om någon router/switch dragit på sig något virus. För det är ju helt löjligt att hon får det på sitt 3G nät och sen att vi får samma skit på vårt hem-nät.

Domänerna i fråga är reggade ganska nyligen, 2 veckor tillbaka ungefär och jag finner det hela otroligt o-lustigt att samma meddelande kommer på wifi och 3g. Känns verkligen inte ok och man blir ju lite orolig på hur högt upp i tracerouten det här egentligen går....
Citera
2015-09-29, 21:20
  #9
DickeFix
Medlem
DickeFixs avatar
Citat:
Ursprungligen postat av denied
Nu börjar det här bli VÄLDIGT intressant! Slängde in dd-wrt på routern (Firmware: DD-WRT v3.0-r27506 (07/09/15) std), tog ett tag att fixa inställningarna då ISPn har satt en MAC adress blocker. Så jag var tvungen att klona den gamla mac-adressen på routern för att komma in på nätet. Otroligt lustig lösning med en static ip men ok, vi har internet igen iaf =)

Tänkte att nu, iaf, borde skitreklamen försvinna! Men ack så fel man har. Den poppar ändå upp, vibrerar sönder min padda om att jag ska installera CM (samma meddelande som förut) och vägrar ge sig. Då kan vi 100% utesluta att det är något från min sida. Då jag kommer hit med en helt nyinstallerad Linux burk med Kali 2.0, ny padda och hyfsat ny telefon.

Det lustiga är att medans vi inte hade internet (wlan) så satte personen som jag bor hos på sitt 3G. Hon började surfa runt på lite sidor och på sitt 3G får hon samma meddelande som vi får på wlanet och routern. Det är ju bara sjukt lustigt! Vi trodde det var någon konstig dns från routern men efter dd-wrt installation, factory reset och allt det där får samma meddelande och hon får det på sitt 3G också. Nu blir jag jävligt nyfiken på vad som faktiskt händer här.

Vet inte om jag är lite för paranoid, men om internet och 3g ger samma fel, efter att helt ha säkrat hemmet här, börjar jag tro att det är någon IT-tekniker som smittat området här med något slags "virus". Typ flashat om någon router/switch med någon malware eller om någon router/switch dragit på sig något virus. För det är ju helt löjligt att hon får det på sitt 3G nät och sen att vi får samma skit på vårt hem-nät.

Domänerna i fråga är reggade ganska nyligen, 2 veckor tillbaka ungefär och jag finner det hela otroligt o-lustigt att samma meddelande kommer på wifi och 3g. Känns verkligen inte ok och man blir ju lite orolig på hur högt upp i tracerouten det här egentligen går....

Ovanligt envist problem. Att det finns kvar på Android kan ju bero på någon installerad app men att det fortfarande finns på datorerna låter ju väldigt skumt. Kan som du säger vara något fel i fasta regionala nätet (som ju även 3G använder) t.ex. någon infekterad router. Har ni pratat med grannarna? Har du kollat att de bärbara enheterna inte är inställda på någon skum VPN-tunnel?
Citera
2015-10-06, 17:50
  #10
Tattarhunter
Medlem
Tattarhunters avatar
hur gick det.?

såna konstiga pop ups via android har man haft många ggr. vad för sidor sitter du och surfar på?
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback