تهدید dns unlocker
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
این ایمیلی هست که یک ماه پیش برای آسیاتک فرستادم
[quote]با سلام
متوجه مشکل امنیتی بزرگی شده ام.
به صورت فنی بگم وقتی که از دی ان اس سرور های 4.2.2.4 و یا مثلا سرورهای opendns درخواست آی پی سایت www.google-analytics.com میشه یک آی پی جعلی را بر میگردونه.
عکس شماره 1 را مشاهده کنید .
در این عکس ابتدا با شبکه آسیاتک از کامپیوتر خودم درخواست آی پی گوگل آنالایتیک را کرده ام که آی پی جعلی داده شد. سپس با دی ان اس سرور 8.8.8.8 امتحان کردم که آی پی صحیح داده شد. همچنین برای اینکه متوجه بشوید 4.2.2.4 مشکلی ندارد از یک سایت خارجی این مورد را چک کردم و آی پی صحیح داده شد. یعنی مشکل از 4.2.2.4 نیست و هرچه هست در شبکه آسیاتک این تغییر صورت میپذیرد.
درباره اهمیت این مشکل بگم که این سایت سرویس امارگیر گوگل است که در همه سایتهای اینترنتی از این سایت اسکریپتی اینکلود شده است و هکر با این کار اون اسکریپت را تغییر داده و کدهای خودشو درش جایگزین کرده. و با این کار میتونه هر سایتی که بخواد رو روی کامپیوتر قربانی لود کنه و اطلاعات امنیتیشو بدزده.
عکس 2 را مشاهده کنید.
امیدوارم متوجه مشکل شده باشید
در صورت نیاز با بنده با شماره *** میتوانید تماس بگیرید.
منتظر پاسختان هستم
ارادتمند
احسان چ
[/QUOTE]
[IMG]http://s6.uplod.ir/i/00683/m95wcfoe42jt_t.jpg[/IMG]
[IMG]http://s6.uplod.ir/i/00683/qvmztomabbbo_t.jpg[/IMG]
البته بعدا متوجه شدم که حتی با دی ان اس های گوگل هم این مشکل پیش میاد.
[quote]با سلام
متوجه مشکل امنیتی بزرگی شده ام.
به صورت فنی بگم وقتی که از دی ان اس سرور های 4.2.2.4 و یا مثلا سرورهای opendns درخواست آی پی سایت www.google-analytics.com میشه یک آی پی جعلی را بر میگردونه.
عکس شماره 1 را مشاهده کنید .
در این عکس ابتدا با شبکه آسیاتک از کامپیوتر خودم درخواست آی پی گوگل آنالایتیک را کرده ام که آی پی جعلی داده شد. سپس با دی ان اس سرور 8.8.8.8 امتحان کردم که آی پی صحیح داده شد. همچنین برای اینکه متوجه بشوید 4.2.2.4 مشکلی ندارد از یک سایت خارجی این مورد را چک کردم و آی پی صحیح داده شد. یعنی مشکل از 4.2.2.4 نیست و هرچه هست در شبکه آسیاتک این تغییر صورت میپذیرد.
درباره اهمیت این مشکل بگم که این سایت سرویس امارگیر گوگل است که در همه سایتهای اینترنتی از این سایت اسکریپتی اینکلود شده است و هکر با این کار اون اسکریپت را تغییر داده و کدهای خودشو درش جایگزین کرده. و با این کار میتونه هر سایتی که بخواد رو روی کامپیوتر قربانی لود کنه و اطلاعات امنیتیشو بدزده.
عکس 2 را مشاهده کنید.
امیدوارم متوجه مشکل شده باشید
در صورت نیاز با بنده با شماره *** میتوانید تماس بگیرید.
منتظر پاسختان هستم
ارادتمند
احسان چ
[/QUOTE]
[IMG]http://s6.uplod.ir/i/00683/m95wcfoe42jt_t.jpg[/IMG]
![[IMG]http://s6.uplod.ir/i/00683/m95wcfoe42jt_t.jpg[/IMG]](http://uplod.ir/m95wcfoe42jt/1.png.htm){kind=link}
[IMG]http://s6.uplod.ir/i/00683/qvmztomabbbo_t.jpg[/IMG]
![[IMG]http://s6.uplod.ir/i/00683/qvmztomabbbo_t.jpg[/IMG]](http://uplod.ir/qvmztomabbbo/2.png.htm){kind=link}
البته بعدا متوجه شدم که حتی با دی ان اس های گوگل هم این مشکل پیش میاد.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
مشکل اینه که آی پی ها جعلی نیست، واقعا آی پی های تحت مالکیت گوگل هستن. منم دفعه اول که این رنج آی پی رو دیدم اصلا شک نکردم چون دیدم آی پی های خود گوگل هستن و مشکوک به نظرم نیومد. حتی یه دفعه کل رنج رو تست کردم واسه اسکریپت های آنالیتیکز اینجکت شده که چیزی پیدا نشد، اما امروز مثل اینکه روز فعالیتش بود. و حداقل توی یکی از سرور ها حوالی ظهر میشد نحوه فعالیت حمله رو مشاهده کرد که عکسش رو گزاشتم.
من فکر میکنم یه جورایی کاربران ایرانی هدف هستن بیشتر، چون هیچ گزارشی از هیچ شرکت امنیتی خارجی در این مورد نیست، یکم عجیبه.
من فکر میکنم یه جورایی کاربران ایرانی هدف هستن بیشتر، چون هیچ گزارشی از هیچ شرکت امنیتی خارجی در این مورد نیست، یکم عجیبه.
[quote="علیرضا حسنی"]مشکل اینه که آی پی ها جعلی نیست، واقعا آی پی های تحت مالکیت گوگل هستن. منم دفعه اول که این رنج آی پی رو دیدم اصلا شک نکردم چون دیدم آی پی های خود گوگل هستن و مشکوک به نظرم نیومد. حتی یه دفعه کل رنج رو تست کردم واسه اسکریپت های آنالیتیکز اینجکت شده که چیزی پیدا نشد، اما امروز مثل اینکه روز فعالیتش بود. و حداقل توی یکی از سرور ها حوالی ظهر میشد نحوه فعالیت حمله رو مشاهده کرد که عکسش رو گزاشتم.
من فکر میکنم یه جورایی کاربران ایرانی هدف هستن بیشتر، چون هیچ گزارشی از هیچ شرکت امنیتی خارجی در این مورد نیست، یکم عجیبه.[/QUOTE]
احیانا pcap از زمان حمله دارید؟
حتی اگر header http دریافتی را هم دارید در تحلیل حمله کمک میکند.
من دیروز بعد از صحبت شما هر چه تست کردم مشکلی ندیدم، ولی یک تئوری در این باره دارم که با دیدن این موارد میشود از آن مطمئن شد.
من فکر میکنم یه جورایی کاربران ایرانی هدف هستن بیشتر، چون هیچ گزارشی از هیچ شرکت امنیتی خارجی در این مورد نیست، یکم عجیبه.[/QUOTE]
احیانا pcap از زمان حمله دارید؟
حتی اگر header http دریافتی را هم دارید در تحلیل حمله کمک میکند.
من دیروز بعد از صحبت شما هر چه تست کردم مشکلی ندیدم، ولی یک تئوری در این باره دارم که با دیدن این موارد میشود از آن مطمئن شد.
من از ایرانسل اینترنت میگیرم. الان یه تست کردم ظاهرا واسه منم آلوده شده:
[img]http://up2www.com/uploads/fccdCapture.png[/img]
البته این آی پی ها دفعه قبل که تست گرفتم فرق داشت.
[img]http://up2www.com/uploads/fccdCapture.png[/img]
البته این آی پی ها دفعه قبل که تست گرفتم فرق داشت.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="Naficy"]احیانا pcap از زمان حمله دارید؟
حتی اگر header http دریافتی را هم دارید در تحلیل حمله کمک میکند.
[/QUOTE]
نمیدونم در هدر ریسپانس دنبال چی هستید ولی نه، ذخیره نکردم.
[quote] من دیروز بعد از صحبت شما هر چه تست کردم مشکلی ندیدم، ولی یک تئوری در این باره دارم که با دیدن این موارد میشود از آن مطمئن شد. [/QUOTE]
عجیب نیست، پیشتر هم عرض کردم حمله هر چند روز یکبار اتفاق میفته، فکر میکنم الان مشکل اصلی مهاجمین اینه که حمله نو نره وگرنه با توجه به سطوح دسترسی که دارن میتونن حجم عظیمی از کاربرها در مدت زمان اندک آلوده کنن. صحبت های
دوستمون ehsanch هم این موضوع رو تایید میکنه. همون روز هم از رو همون سرور 173.194.113.39 تقریبا در حدود بیست سی تا رکویست داشتم فقط تو دو تاش اسکریپت آلوده واسم برگشت. من که به عینه دیدم اما شما اگه شک دارید، یه راه میتونه این باشه که با یه اسکریپت کپچر ساده هر دقیقه یکبار محتوای analytics.js و ga.js رو تو آی پی های اون رنج لاگ کنید، فکر میکنم طی چند روز آینده حداقل در چندین مورد بتونید نتیجه دلخواه رو مشاهده کنید. یک نکته دیگه اینکه ممکنه با توجه به آی پی کاربر، اسکریپت اینجکت بشه یا خیر، واسه همین حتما از یکی از آی پی های ای دی اس ال مخابرات هم برای لاگ گیری استفاده بکنید ضرر نداره.
الان فقط برای من یک سوال مونده، در گذشته و یا حال آیا آی پی های رنج 173.194.113 مرسوم بوده که به عنوان آی پی های گوگل آنالیتیکز به کاربر باز گردونده بشه یا خیر؟ اگه پاسخ خیر باشه که اولین هینت حمله همین موضوع هست. چطور مهاجمین می تونن این رنج آی پی رو به کاربر برگردونن وقتی DNS کاربر روی 8.8.8.8 ست میشه که DNS سرور معتبر خود گوگل هست.
دوم اینکه اینجکت کد آلوده به ریزالت بازگشتی از سرورهای رنج 173.194.113 و یا حداقل سرور 173.194.113.39 که خودم به عینه مشاهده کردم، نیازمند دسترسی سطح بالا به اون سرور یا حداقل به اینفراستراکچر اون بخش داره. که باز هم سوالی که باید گوگل در موردش پاسخ گو باشه.
نمیدونم ترجیح میدید من این موضوع رو به گوگل گزارش بدم یا دست نگه دارم؟ چون اونا چه موضوع رو قبول کنن که چه نکنن، یقین دارم میگردن و مشکل رو پیدا میکنن و سریعا برطرفش میکنن.
اما به نظرم بهتره ابعاد این حمله در کشور به درستی بررسی شه، اینکه همچین حمله ی تابلویی به کاربران ایرانی بشه (در حدی که میبینید تمام خبر گزاری ها بهش پرداختن و خیلی از مردم در گیر شدن) اما بعد گذشت یک ماه هنوز اقدام قابل قبولی انجام نشده و من و سایر کاربرانی که کارمون چیز دیگست باید بشینیم و ابعاد حمله رو بررسی کنیم، و در نهایت که پاسخ به دست میاد همچنان شما حتی به صحبت های منی که شش هفت سال همکار شما در امن پرداز بودم شک دارید به نظرم زیاد جالب نیست. این حمله و حمله های مشابه اگه به جای مقاصد تجاری (نمایش تبلیغات) مقاصد سیاسی و یا جاسوسی پشتش باشه کی میتونه به این سادگی ها تشخیصش بده؟ مگه اینکه امروز به درستی ابعاد این حمله بررسی شه و راه حل واقعی برای جلوگیری از حمله فعلی و تکرارش پیش بینی بشه، موید باشید.
حتی اگر header http دریافتی را هم دارید در تحلیل حمله کمک میکند.
[/QUOTE]
نمیدونم در هدر ریسپانس دنبال چی هستید ولی نه، ذخیره نکردم.
[quote] من دیروز بعد از صحبت شما هر چه تست کردم مشکلی ندیدم، ولی یک تئوری در این باره دارم که با دیدن این موارد میشود از آن مطمئن شد. [/QUOTE]
عجیب نیست، پیشتر هم عرض کردم حمله هر چند روز یکبار اتفاق میفته، فکر میکنم الان مشکل اصلی مهاجمین اینه که حمله نو نره وگرنه با توجه به سطوح دسترسی که دارن میتونن حجم عظیمی از کاربرها در مدت زمان اندک آلوده کنن. صحبت های
دوستمون ehsanch هم این موضوع رو تایید میکنه. همون روز هم از رو همون سرور 173.194.113.39 تقریبا در حدود بیست سی تا رکویست داشتم فقط تو دو تاش اسکریپت آلوده واسم برگشت. من که به عینه دیدم اما شما اگه شک دارید، یه راه میتونه این باشه که با یه اسکریپت کپچر ساده هر دقیقه یکبار محتوای analytics.js و ga.js رو تو آی پی های اون رنج لاگ کنید، فکر میکنم طی چند روز آینده حداقل در چندین مورد بتونید نتیجه دلخواه رو مشاهده کنید. یک نکته دیگه اینکه ممکنه با توجه به آی پی کاربر، اسکریپت اینجکت بشه یا خیر، واسه همین حتما از یکی از آی پی های ای دی اس ال مخابرات هم برای لاگ گیری استفاده بکنید ضرر نداره.
الان فقط برای من یک سوال مونده، در گذشته و یا حال آیا آی پی های رنج 173.194.113 مرسوم بوده که به عنوان آی پی های گوگل آنالیتیکز به کاربر باز گردونده بشه یا خیر؟ اگه پاسخ خیر باشه که اولین هینت حمله همین موضوع هست. چطور مهاجمین می تونن این رنج آی پی رو به کاربر برگردونن وقتی DNS کاربر روی 8.8.8.8 ست میشه که DNS سرور معتبر خود گوگل هست.
دوم اینکه اینجکت کد آلوده به ریزالت بازگشتی از سرورهای رنج 173.194.113 و یا حداقل سرور 173.194.113.39 که خودم به عینه مشاهده کردم، نیازمند دسترسی سطح بالا به اون سرور یا حداقل به اینفراستراکچر اون بخش داره. که باز هم سوالی که باید گوگل در موردش پاسخ گو باشه.
نمیدونم ترجیح میدید من این موضوع رو به گوگل گزارش بدم یا دست نگه دارم؟ چون اونا چه موضوع رو قبول کنن که چه نکنن، یقین دارم میگردن و مشکل رو پیدا میکنن و سریعا برطرفش میکنن.
اما به نظرم بهتره ابعاد این حمله در کشور به درستی بررسی شه، اینکه همچین حمله ی تابلویی به کاربران ایرانی بشه (در حدی که میبینید تمام خبر گزاری ها بهش پرداختن و خیلی از مردم در گیر شدن) اما بعد گذشت یک ماه هنوز اقدام قابل قبولی انجام نشده و من و سایر کاربرانی که کارمون چیز دیگست باید بشینیم و ابعاد حمله رو بررسی کنیم، و در نهایت که پاسخ به دست میاد همچنان شما حتی به صحبت های منی که شش هفت سال همکار شما در امن پرداز بودم شک دارید به نظرم زیاد جالب نیست. این حمله و حمله های مشابه اگه به جای مقاصد تجاری (نمایش تبلیغات) مقاصد سیاسی و یا جاسوسی پشتش باشه کی میتونه به این سادگی ها تشخیصش بده؟ مگه اینکه امروز به درستی ابعاد این حمله بررسی شه و راه حل واقعی برای جلوگیری از حمله فعلی و تکرارش پیش بینی بشه، موید باشید.
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="saman"]من فکر میکنم فعلا به گوگل گزارش ندید تا معلوم شه داستان چیه
من برای مرکز ماهر هم درخواست بررسی فرستادم.
--- ویرایش شده ---
من چون سواد بررسی این موضوع رو ندارم کنجکاو شدم بپرسم، ممکنه این حرکت توسط یه هکر داخلی باشه؟(داخل ایران) البته شما صحبت از رژیم صهیونیستی کردید در اولین پست ها[/QUOTE]
به شخصه فکر نمیکنم کار هکر داخلی باشه چون منفعتی نداره واسش، همونطوری که دوستمون گفت ارزش چنین حملاتی میلیون دلاری هست، یه ایرانی نمیتونه بازار فروش مناسب برای چنین حمله ای پیدا کنه و بعید به نظر میرسه کسی حاضر باشه به خاطر چند ده میلیون تومان چنین ریسکی بکنه، حتی وجود سرور های dns unlocker در اسراییل هم نمیتونه یقینا این پیغام رو بده که اسراییلی ها پشت این حمله هستن. تا اینجا که حمله صرفا منافع اقتصادی (همون نمایش تبلیغات) پشتش بوده.
من برای مرکز ماهر هم درخواست بررسی فرستادم.
--- ویرایش شده ---
من چون سواد بررسی این موضوع رو ندارم کنجکاو شدم بپرسم، ممکنه این حرکت توسط یه هکر داخلی باشه؟(داخل ایران) البته شما صحبت از رژیم صهیونیستی کردید در اولین پست ها[/QUOTE]
به شخصه فکر نمیکنم کار هکر داخلی باشه چون منفعتی نداره واسش، همونطوری که دوستمون گفت ارزش چنین حملاتی میلیون دلاری هست، یه ایرانی نمیتونه بازار فروش مناسب برای چنین حمله ای پیدا کنه و بعید به نظر میرسه کسی حاضر باشه به خاطر چند ده میلیون تومان چنین ریسکی بکنه، حتی وجود سرور های dns unlocker در اسراییل هم نمیتونه یقینا این پیغام رو بده که اسراییلی ها پشت این حمله هستن. تا اینجا که حمله صرفا منافع اقتصادی (همون نمایش تبلیغات) پشتش بوده.
[quote="ehsanch"]این حمله به صورت رندوم صورت میگیره و اینطور نیست که همیشه آی پی غیر صحیح برگرده.
این عکسی که بالا فرستادید آی پی صحیح را برگردونده . و زمانی که آی پی گوگل برمیگرده مشکلی نیست و به هیچ وجه سرورهای گوگل مشکلی نداره.
برای دیدن آی پی جعلی به پست قبلی من در بالا مراجعه کنید.[/QUOTE]
درسته من اولین بار که این دستور رو زدم توی خروجی این آی پی رو دیدم :173.194.113.39
من از مرورگر کروم استفاده میکنم وقتی نشان گر ماوس رو روی یک عکس میبردم یک پنجره کوچیک ظاهر میشد و تبلیغ نرم افزار میکرد که احتمالا یه بد افزار بود.
بعدا رفتم توی تسک منیجر و فایلی با نام :ShopperPro.exe رو پیدا کردم و کلا پاکش کردم.
این همون بدافزاری بود که تبلیغ میکرد.از وقتی این برنامه رو پاک کردم DNS ها به حالت اول برگشته و دیگه آی پی 173.194.113.39 داخلش نیست.
این عکسی که بالا فرستادید آی پی صحیح را برگردونده . و زمانی که آی پی گوگل برمیگرده مشکلی نیست و به هیچ وجه سرورهای گوگل مشکلی نداره.
برای دیدن آی پی جعلی به پست قبلی من در بالا مراجعه کنید.[/QUOTE]
درسته من اولین بار که این دستور رو زدم توی خروجی این آی پی رو دیدم :173.194.113.39
من از مرورگر کروم استفاده میکنم وقتی نشان گر ماوس رو روی یک عکس میبردم یک پنجره کوچیک ظاهر میشد و تبلیغ نرم افزار میکرد که احتمالا یه بد افزار بود.
بعدا رفتم توی تسک منیجر و فایلی با نام :ShopperPro.exe رو پیدا کردم و کلا پاکش کردم.
این همون بدافزاری بود که تبلیغ میکرد.از وقتی این برنامه رو پاک کردم DNS ها به حالت اول برگشته و دیگه آی پی 173.194.113.39 داخلش نیست.