Hackad DNS hos Blixtvik eller uppströms leder till falsk Google-server

[Lars Hornborg]

Ikväll vid halv sju-tiden började Google.se bete sig onormalt. Snabbkoll visade att en frames-sida laddas som i sin tur öppnar en ram med en annonshanterare och en ram som leder till google.se via en server med samma IP-adress som drogakuten.com, en butik för dopingpreparat m m.

 

Fenomenet visar sig inifrån Blixtviks nät, men inte från t ex 3 och Bredbandsbolaget.

 

Google.com påverkas inte, bara google.se. Namnuppslagning på google.se visar dessutom rätt värden, men inte på www.google.se.

 

[Databecca]

Jag har blixtvik men har inte märkt av detta alls och har ändå vatt på google hela dagen och även runt sju tiden!

 

[inlägget ändrat 2010-01-17 20:28:17 av Databecca]

[Lars Hornborg]

Så när du går in på google.se får du upp inställningaslänken uppe till höger, och källkoden visar inte att du plötsligt hamnat i ett frameset? Ok, kanske det bara är någon lokal DNS som är kapad. Jag finns i Växjö.

 

[Cecilia]

Fenomenet visar sig inifrån Blixtviks nät, men inte från t ex 3 och Bredbandsbolaget.

Med samma dator?

Med samma DNS-servrar eller vilken DNS-server använder du när du är ansluten via Blixtviks nät?

 

Snabbkoll visade att en frames-sida laddas som i sin tur öppnar en ram med en annonshanterare och en ram som leder till google.se via en server med samma IP-adress som drogakuten.com, en butik för dopingpreparat m m.

Låter som någon sorts infektion i datorn.

 

[Lars Hornborg]

Med samma dator och andra datorer.

 

När jag ställt om DNS till Open DNS får jag rätt adresser i retur.

 

[Cecilia]

Det är något mystiskt här också med Telias DNS-server.

 

ping google.se

Skickar ping-signal till google.se [209.85.229.104] med 32 byte data:

 

ping www.google.se

 

Skickar ping-signal till www.l.google.com [66.102.13.147] med 32 byte data:

 

tracert www.google.se

 

Spårar väg till www.l.google.com [66.102.13.147]

över högst 30 hopp:

 

1 2 ms 1 ms 1 ms 81-224-134-45-no175.tbcn.telia.com [81.224.134.45]

2 7 ms 8 ms 6 ms gw2-no175.tbcn.telia.com [81.224.129.1]

3 8 ms 7 ms 8 ms s-b1-link.telia.net [80.91.247.94]

4 7 ms 7 ms 7 ms s-bb1-link.telia.net [80.91.252.70]

5 22 ms 25 ms 24 ms hbg-bb1-link.telia.net [80.91.247.145]

6 28 ms 28 ms 29 ms adm-bb2-link.telia.net [80.91.250.134]

7 30 ms 35 ms 29 ms adm-b4-link.telia.net [80.91.253.154]

8 33 ms 29 ms 67 ms google-118151-adm-b4.c.telia.net [213.248.72.14]

9 32 ms 32 ms 32 ms 209.85.251.14

10 35 ms 33 ms 35 ms 72.14.233.114

11 36 ms 34 ms 32 ms 209.85.255.166

12 36 ms 34 ms 35 ms 64.233.174.133

13 33 ms 33 ms 33 ms ez-in-f147.1e100.net [66.102.13.147]

 

Tillägg:

Lite uppslagningar:

 

209.85.229.104 = [ ww-in-f104.1e100.net ]

OrgName: Google Inc

 

66.102.13.147 = [ ez-in-f147.1e100.net ]

OrgName: Google Inc.

 

Så båda IP-adresserna tillhör Google så det verkar inte vara något mystiskt här faktiskt.

 

 

[inlägget ändrat 2010-01-17 20:49:49 av Cecilia]

[Cecilia]

Så när du går in på google.se får du upp inställningaslänken uppe till höger, och källkoden visar inte att du plötsligt hamnat i ett frameset?

Inställningslänk och inga ramar.

 

[Cecilia]

Vilken DNS-servar använde du förut?

Har du kontaktat Blixtvik?

 

[Lars Hornborg]

Jag använde de DNS-servrar som Blixtvik presenterar via DHCP. Japp, rapporterat till dem - tyvärr går det inte att ringa men jag har mejlat.

 

Infekterad dator hos mig verkar inte troligt - alla datorerna i huset råkade ut för samma sak - och när jag ställde om i routerna till att köra Open DNS försvann fenomenet, som alltså handlade om att NSLOOKUP returnerade 77.235.41.163 vid sökning efter www.google.se, en adress som går till drogakuten.com.

 

[Cecilia]

Okej, kan hålla med dig i så fall, fast det finns skadliga program som loggar in på routrar och ändrar DNS-inställningen för att någon ska tjäna pengar på att reklam visas.

 

[Lars Hornborg]

Visst finns det det, fast de inställningarna var inte ändrade i routern.

 

[Stud]

arp -spoof din router var inte din router