VOL sofreu sequestro de DNS e foi apontado para um site FAKE

1. VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Fábio Berbert de Paula
fabio

(usa Debian)

Enviado em 23/11/2016 - 12:58h

Boa tarde pessoal.

Ontem a noite o Viva o Linux sofreu um sequestro de DNS e os visitantes estavam sendo redirecionados para um site fake com código javascript malicioso. Quem baixou e executou o código, favor tomar as devidas providências com relação à segurança de seu PC.

Tive que aguardar o registro.br iniciar seu atendimento hoje pela manhã para resolver o problema. Foram muito solícitos e restauraram meu ID administrativo. Em algumas horas o DNS correto já deve ter propagado para todos vocês.

Quem ainda estiver acessando um "VOL" que solicita atualização de browser, favor fechar a janela e tentar novamente mais tarde.

O cracker conseguiu acesso ao meu ID do registro.br usando minha conta de e-mail. Semana passada foi divulgada uma brecha de segurança no Gmail, ele pode ter usado esse caminho. Sendo assim aqui fica a dica, se você usa Gmail, configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Não dá mais pra confiar apenas em senhas "seguras".

Também descobri por força do destino que o sistema do Registro.br também tem suporte a Google Authenticator.

Desculpem o transtorno.

Um abraço.


  


2. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Fábio Berbert de Paula
fabio

(usa Debian)

Enviado em 23/11/2016 - 13:52h

fernandojsouza escreveu:


O problema foi normalizado alguém sabe me dizer ?

Medidas de segurança:

Altera a senha do seu e-mail cadastrado aqui no site.

Altera a senha do login no viva o linux



Quanto a isso acredito não haver necessidade. O ataque foi à minha conta no registro.br, não tem nenhuma relação com o servidor do site ou o banco de dados.


3. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Sandro
sandromilgrau

(usa Debian)

Enviado em 23/11/2016 - 14:14h

KKKKKKKKKKKKKKKKKKK

Recomendo banir os Kali Linux Users.

Essas pestes não respeitam as recomendação para não usar o Kali porque Kali é só para usuarios avançados.

Eles ficam testando os sites com o metasploit e burp suite que são ferramentas terríveis para sites como esse vivaolinux.

Todo dia tem uma nova brecha encontrada no nginx , apache, wordpress e etc pelas comunidades dessas ferramentas.


O problema pedindo atualizar site ainda persiste.

Pode ser problema no seu site.


4. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 23/11/2016 - 14:17h

Ainda bem que uso no-script, algo que recomendo todos usarem.



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


5. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Fábio Berbert de Paula
fabio

(usa Debian)

Enviado em 23/11/2016 - 14:24h


O problema pedindo atualizar site ainda persiste.


Isso aí é resíduo de cache de DNS. O servidor DNS público da Google, que geral usa, ainda acusa o DNS fake como sendo o atual em algumas consultas.


6. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 23/11/2016 - 19:58h

Esse tipo de ataque é mais frequente do que parece, e é bem perigoso. Reforçar a segurança é sempre bom.





______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/


7. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 23/11/2016 - 20:46h

Não sei se o Fabio vai tomar medidas legais, mas imagino que esse elemento deve ter deixado o ip no registro.br, será que esse ataque tem relação com XSS? A algumas semanas atrás meu no-script detecto um ataque do tipo na pagina do vol, vindo das propagandas.





--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


8. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/11/2016 - 20:58h

Giovanni_Menezes escreveu:

Não sei se o Fabio vai tomar medidas legais, mas imagino que esse elemento deve ter deixado o ip no registro.br, será que esse ataque tem relação com XSS? A algumas semanas atrás meu no-script detecto um ataque do tipo na pagina do vol, vindo das propagandas.





--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


A última vez que me loguei na minha conta foi há cinco dias, e mesmo tendo acessado o site vez ou outra só fiquei sabendo desse ataque agora; esse script malicioso aparecia só para quem ia na área de login ou aparecia para qualquer um que acessava o site? não me lembro de ter baixado (muito menos executado) nada, porém também não me lembro de ter visto nenhum pedido disso (suposta atualização, vindo do VOL)


9. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/11/2016 - 21:12h

Eu vi agora a pouco um outro post falando desse arquivo de atualização, em pacote .zip, e realmente não baixei nada do tipo (e nem baixaria, mas gosto de estar sempre com dupla certeza); mas minha pergunta do outro post ainda vale: qualquer um recebia essa "atualização" ou só quem tentava se logar?


10. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

felipe silva
lipman

(usa Debian)

Enviado em 23/11/2016 - 21:23h

unnslacker escreveu:

Eu vi agora a pouco um outro post falando desse arquivo de atualização, em pacote .zip, e realmente não baixei nada do tipo (e nem baixaria, mas gosto de estar sempre com dupla certeza); mas minha pergunta do outro post ainda vale: qualquer um recebia essa "atualização" ou só quem tentava se logar?


tentei entrar hoje cedo e o script foi baixado altomaticamente...
eu abri ele em um editor de texto e tirei um print...
não tenho o arquivo js mas tenho o print


11. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/11/2016 - 21:24h

O número deixado pelo cracker http://pastebin.com/raw/ihNWct9d pertence a uma conta de What's App©. O status foi modificado há 5 dias e não tem como saber qual foi a última vez que o indivíduo ficou on-line. Além disso, o DDD pode ser do estado de Goiás ou do Distrito Federal http://www.ddi-ddd.com.br/Codigos-Telefone-Brasil/DDD61/

Partiu encher ele com put4r1@ bizarra!!!

Digito, logo existo!



12. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/11/2016 - 21:29h

lipman escreveu:

unnslacker escreveu:

Eu vi agora a pouco um outro post falando desse arquivo de atualização, em pacote .zip, e realmente não baixei nada do tipo (e nem baixaria, mas gosto de estar sempre com dupla certeza); mas minha pergunta do outro post ainda vale: qualquer um recebia essa "atualização" ou só quem tentava se logar?


tentei entrar hoje cedo e o script foi baixado altomaticamente...
eu abri ele em um editor de texto e tirei um print...
não tenho o arquivo js mas tenho o print


Eu vi agora outra pergunta sobre isso, e pelo que deu a entender esse download aparecia em qualquer área do site;
Ontem eu acessei o fórum (sem me logar) algumas vezes e não recebi nenhuma notificação do tipo






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts