אני חושב שנפלתי קורבן להתקפת DNS Poisoning.

קוד:

http://dl.dropbox.com/u/26836391/thankyou.png

כשאני נכנס ללינק הזה אני אמור לראות תמונה. אבל במקום זאת, הוא מנסה להוריד קובץ.

שימו לב, הנה שתי תמונות שלקחתי, מהאתר שבו התמונה היתה (והאתר בטוח, הבעיה היא אצלי איפשהו). אתם רואים ששני חלונות הורדה קופצים כי יש עוד תמונה מ-dropbox בעמוד. שניהם סביר להניח סוסים טרויאניים.

[תמונות הוסרו לבקשת פותח האשכול]

שימו לב ל-BIND.

אח"כ גלשתי מפרוקסי, וה-BIND עדיין היה שם, אבל לא קפץ החלון של ההורדת קבצים.

מסקנה: כנראה DNS Poisoning, לפי מה שהבנתי.

בדקתי את קובץ ההוסטס שלי, במחשב שלי ובזה שמחובר לראוטר, כמו גם את כל ההגדרות, לחפש משהו בהגדרות DNS, עשיתי גם flushdns אבל עדיין זה קורה.

ייתכן שהשרת DNS של הספק שלי "הורעל"?

אגב, ה-IP של השרת שעליו נמצאים הקבצים החשודים הוא כמובן מישראל.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

DNS Poisoning לא בודקים איפה שאתה בודק (אני בכלל לא יודע מה צילום המסך הזה, והשגיאות האלה חסרות ערך בעיני)

השאלה הפשוטה היא כזו: האם שרת ה DNS שהוא Authoritative לדומיין שאליו אתה גולש, מגיש את ה IP-ים שאתה מקבל - או לא.

באופן כללי אני יכול להגיד לך שההוסט dl.dropbox.com מצביע לענן של אמאזון (S3/EC2), וכיוון שכך, לא אמור להיות לכתובת ישראלית. (אמאזון עדיין לא מספקת שירותי ענן מישראל, כולל לא בשירות ה CDN שלהם, CloudFront... היכן שאידאלי להתחיל לספק שירות כלשהוא...)

הכלי שבו אתה צריך להשתמש כדי לראות לאן המחשב שלך מגיע, הוא nslookup (ואחריו ההוסט). ככה תראה מה קיבלת ומאיפה.

הכי טוב, זה להריץ sniffer כגון Wireshark, בזמן שאתה מבצע את הגישה (עדיף ששום דבר אחר שמשתמש באינטרנט לא ירוץ ברקע על המחשב הזה, כולל לא תוכנות מסרים מיידיים/סקייפ וכו', שגם מעבירות זבל ברקע אפילו שאתה לא מדבר עם אף אחד), ולשמור קובץ pcap של מה שהלך שם. בקובץ תוכל לראות בדיוק איזו שאילתא נעשתה, ואיזו תשובה חזרה, ומה הדפדפן ביקש, ומה הוא קיבל, ו... הכל בעצם.

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי, תודה על התשובה.

מה שהראיתי היה רק בשביל "העשרה חזותית" ותו לא.

הדרך שבה בדקתי אם אכן נפגעתי מסוג כזה של התקפה היא כניסה לעמוד עם ובלי פרוקסי. כשהייתי בלי, החלון קפץ. כשהייתי עם, החלון לא קפץ.

אגב, כשניסיתי ממספר מחשבים בבית ללכת לעמוד הזה, בכולם קפץ החלון הורדה. כשהתחברתי מכולם ל-AP של ראוטר אחר, התמונות הופיעו (כלומר העמוד עלה בצורה תקינה).

מהפעולות האלה הבנתי שזו עלולה להיות הבעיה.

עשיתי NSLOOKUP וגם TRACERT לראות מה אני עובר בדרך, והכל תקין.
העניין הוא שאני מסוגל לגלוש ל-dl.dropbox.com, ורק כשאני גולש ל-URL הספציפי של שתי התמונות שעושות REDIRECT לקבצים החשודים, אני מקבל את חלון ההורדה.

אין לי שמץ איך לתקן את העניין/מה הלאה.

המצב לכשעצמו לא תקין, מה ניתן לעשות?

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

אם אתה מגיע ל IP הנכון, למה אתה חושב שזו בעיית DNS?

אולי זה סתם וירוס / סוס טרוייאני על המחשב הבעייתי?

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי makaveli_il הדרך שבה בדקתי אם אכן נפגעתי מסוג כזה של התקפה היא כניסה לעמוד עם ובלי פרוקסי. כשהייתי בלי, החלון קפץ. כשהייתי עם, החלון לא קפץ. אגב, כשניסיתי ממספר מחשבים בבית ללכת לעמוד הזה, בכולם קפץ החלון הורדה. כשהתחברתי מכולם ל-AP של ראוטר אחר (וספק אחר), התמונות הופיעו (כלומר העמוד עלה בצורה תקינה).

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.