VOL sofreu sequestro de DNS e foi apontado para um site FAKE

fabio
(usa Debian)

Enviado em 23/11/2016 - 12:58h

Boa tarde pessoal.

Ontem a noite o Viva o Linux sofreu um sequestro de DNS e os visitantes estavam sendo redirecionados para um site fake com código javascript malicioso. Quem baixou e executou o código, favor tomar as devidas providências com relação à segurança de seu PC.

Tive que aguardar o registro.br iniciar seu atendimento hoje pela manhã para resolver o problema. Foram muito solícitos e restauraram meu ID administrativo. Em algumas horas o DNS correto já deve ter propagado para todos vocês.

Quem ainda estiver acessando um "VOL" que solicita atualização de browser, favor fechar a janela e tentar novamente mais tarde.

O cracker conseguiu acesso ao meu ID do registro.br usando minha conta de e-mail. Semana passada foi divulgada uma brecha de segurança no Gmail, ele pode ter usado esse caminho. Sendo assim aqui fica a dica, se você usa Gmail, configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Não dá mais pra confiar apenas em senhas "seguras".

Também descobri por força do destino que o sistema do Registro.br também tem suporte a Google Authenticator.

Desculpem o transtorno.

Um abraço.

fabio
(usa Debian)

Enviado em 23/11/2016 - 13:52h

Quanto a isso acredito não haver necessidade. O ataque foi à minha conta no registro.br, não tem nenhuma relação com o servidor do site ou o banco de dados.

sandromilgrau
(usa Debian)

Enviado em 23/11/2016 - 14:14h

KKKKKKKKKKKKKKKKKKK

Recomendo banir os Kali Linux Users.

Essas pestes não respeitam as recomendação para não usar o Kali porque Kali é só para usuarios avançados.

Eles ficam testando os sites com o metasploit e burp suite que são ferramentas terríveis para sites como esse vivaolinux.

Todo dia tem uma nova brecha encontrada no nginx , apache, wordpress e etc pelas comunidades dessas ferramentas.


O problema pedindo atualizar site ainda persiste.

Pode ser problema no seu site.

Giovanni_Menezes
(usa Devuan)

Enviado em 23/11/2016 - 14:17h

Ainda bem que uso no-script, algo que recomendo todos usarem.



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/

fabio
(usa Debian)

Enviado em 23/11/2016 - 14:24h

Isso aí é resíduo de cache de DNS. O servidor DNS público da Google, que geral usa, ainda acusa o DNS fake como sendo o atual em algumas consultas.

ctw6av
(usa Nenhuma)

Enviado em 23/11/2016 - 19:58h

Esse tipo de ataque é mais frequente do que parece, e é bem perigoso. Reforçar a segurança é sempre bom.





______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/

Giovanni_Menezes
(usa Devuan)

Enviado em 23/11/2016 - 20:46h

Não sei se o Fabio vai tomar medidas legais, mas imagino que esse elemento deve ter deixado o ip no registro.br, será que esse ataque tem relação com XSS? A algumas semanas atrás meu no-script detecto um ataque do tipo na pagina do vol, vindo das propagandas.





--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/

removido
(usa Nenhuma)

Enviado em 23/11/2016 - 20:58h

A última vez que me loguei na minha conta foi há cinco dias, e mesmo tendo acessado o site vez ou outra só fiquei sabendo desse ataque agora; esse script malicioso aparecia só para quem ia na área de login ou aparecia para qualquer um que acessava o site? não me lembro de ter baixado (muito menos executado) nada, porém também não me lembro de ter visto nenhum pedido disso (suposta atualização, vindo do VOL)

removido
(usa Nenhuma)

Enviado em 23/11/2016 - 21:12h

Eu vi agora a pouco um outro post falando desse arquivo de atualização, em pacote .zip, e realmente não baixei nada do tipo (e nem baixaria, mas gosto de estar sempre com dupla certeza); mas minha pergunta do outro post ainda vale: qualquer um recebia essa "atualização" ou só quem tentava se logar?

lipman
(usa Debian)

Enviado em 23/11/2016 - 21:23h

tentei entrar hoje cedo e o script foi baixado altomaticamente...
eu abri ele em um editor de texto e tirei um print...
não tenho o arquivo js mas tenho o print

removido
(usa Nenhuma)

Enviado em 23/11/2016 - 21:24h

O número deixado pelo cracker http://pastebin.com/raw/ihNWct9d pertence a uma conta de What's App©. O status foi modificado há 5 dias e não tem como saber qual foi a última vez que o indivíduo ficou on-line. Além disso, o DDD pode ser do estado de Goiás ou do Distrito Federal http://www.ddi-ddd.com.br/Codigos-Telefone-Brasil/DDD61/

Partiu encher ele com put4r1@ bizarra!!!

removido
(usa Nenhuma)

Enviado em 23/11/2016 - 21:29h

Eu vi agora outra pergunta sobre isso, e pelo que deu a entender esse download aparecia em qualquer área do site;
Ontem eu acessei o fórum (sem me logar) algumas vezes e não recebi nenhuma notificação do tipo