Just nu i M3-nätverket
Gå till innehåll
Lars Hornborg

Hackad DNS hos Blixtvik eller uppströms leder till falsk Google-server

Rekommendera Poster

Ikväll vid halv sju-tiden började Google.se bete sig onormalt. Snabbkoll visade att en frames-sida laddas som i sin tur öppnar en ram med en annonshanterare och en ram som leder till google.se via en server med samma IP-adress som drogakuten.com, en butik för dopingpreparat m m.

 

Fenomenet visar sig inifrån Blixtviks nät, men inte från t ex 3 och Bredbandsbolaget.

 

Google.com påverkas inte, bara google.se. Namnuppslagning på google.se visar dessutom rätt värden, men inte på www.google.se.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Jag har blixtvik men har inte märkt av detta alls och har ändå vatt på google hela dagen och även runt sju tiden!

 

[inlägget ändrat 2010-01-17 20:28:17 av Databecca]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Så när du går in på google.se får du upp inställningaslänken uppe till höger, och källkoden visar inte att du plötsligt hamnat i ett frameset? Ok, kanske det bara är någon lokal DNS som är kapad. Jag finns i Växjö.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Fenomenet visar sig inifrån Blixtviks nät, men inte från t ex 3 och Bredbandsbolaget.
Med samma dator?

Med samma DNS-servrar eller vilken DNS-server använder du när du är ansluten via Blixtviks nät?

 

Snabbkoll visade att en frames-sida laddas som i sin tur öppnar en ram med en annonshanterare och en ram som leder till google.se via en server med samma IP-adress som drogakuten.com, en butik för dopingpreparat m m.
Låter som någon sorts infektion i datorn.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Det är något mystiskt här också med Telias DNS-server.

 

ping google.se

Skickar ping-signal till google.se [209.85.229.104] med 32 byte data:

 

ping www.google.se

 

Skickar ping-signal till www.l.google.com [66.102.13.147] med 32 byte data:

 

tracert www.google.se

 

Spårar väg till www.l.google.com [66.102.13.147]

över högst 30 hopp:

 

1 2 ms 1 ms 1 ms 81-224-134-45-no175.tbcn.telia.com [81.224.134.45]

2 7 ms 8 ms 6 ms gw2-no175.tbcn.telia.com [81.224.129.1]

3 8 ms 7 ms 8 ms s-b1-link.telia.net [80.91.247.94]

4 7 ms 7 ms 7 ms s-bb1-link.telia.net [80.91.252.70]

5 22 ms 25 ms 24 ms hbg-bb1-link.telia.net [80.91.247.145]

6 28 ms 28 ms 29 ms adm-bb2-link.telia.net [80.91.250.134]

7 30 ms 35 ms 29 ms adm-b4-link.telia.net [80.91.253.154]

8 33 ms 29 ms 67 ms google-118151-adm-b4.c.telia.net [213.248.72.14]

9 32 ms 32 ms 32 ms 209.85.251.14

10 35 ms 33 ms 35 ms 72.14.233.114

11 36 ms 34 ms 32 ms 209.85.255.166

12 36 ms 34 ms 35 ms 64.233.174.133

13 33 ms 33 ms 33 ms ez-in-f147.1e100.net [66.102.13.147]

 

Tillägg:

Lite uppslagningar:

 

209.85.229.104 = [ ww-in-f104.1e100.net ]

OrgName: Google Inc

 

66.102.13.147 = [ ez-in-f147.1e100.net ]

OrgName: Google Inc.

 

Så båda IP-adresserna tillhör Google så det verkar inte vara något mystiskt här faktiskt.

 

 

[inlägget ändrat 2010-01-17 20:49:49 av Cecilia]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Så när du går in på google.se får du upp inställningaslänken uppe till höger, och källkoden visar inte att du plötsligt hamnat i ett frameset?
Inställningslänk och inga ramar.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Jag använde de DNS-servrar som Blixtvik presenterar via DHCP. Japp, rapporterat till dem - tyvärr går det inte att ringa men jag har mejlat.

 

Infekterad dator hos mig verkar inte troligt - alla datorerna i huset råkade ut för samma sak - och när jag ställde om i routerna till att köra Open DNS försvann fenomenet, som alltså handlade om att NSLOOKUP returnerade 77.235.41.163 vid sökning efter www.google.se, en adress som går till drogakuten.com.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Okej, kan hålla med dig i så fall, fast det finns skadliga program som loggar in på routrar och ändrar DNS-inställningen för att någon ska tjäna pengar på att reklam visas.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...