Ongewenste pornosite bij ingeven foute URI

Plaats hier berichten die in eerste instantie niets te maken hebben met Mozilla, de activiteiten van ProMozilla en ThunderbirdNL of met de artikelen op MozBrowser.
Gebruikersavatar
Rides
Berichten: 14
Lid geworden op: 8 mei 2007, 11:26

Bericht door Rides » 7 december 2007, 19:07

adri schreef:Je zou er (voor de zekerheid) rkhunter eens op los kunnen laten.
Inmiddels is de RootkitHunter-taak achter mijn rug om uitgevoerd door de Unix-meester zelf. (Maar aangezien ik nooit in root werk en geen superuser ben kan er nix inzitten. Hieronder verslag van de run:

Mrs. Rides,

Ik kan het natuurlijk niet over mijn kant laten gaan dat half Firefox Nederland nu denkt dat Solaris gevoelig is voor rootkits, daarom heb ik maar even de "rkhunter" gedraaid. :-)
Hieronder een zeer korte weergave van de log nadat de anti-rootkit heeft gedraaid.

Ik kreeg enkele warnings over scripts die werden aangetroffen op plaatsen waar een binary werd verwacht, maar dat is in die gevallen de typische Solaris mores, zoals deze:
/usr/xpg4/bin/test

--------------------------------------------------------
#!/usr/xpg4/bin/sh -p
#
#ident "@(#)alias.xpg4.sh 1.1 01/09/19 SMI"
#
# Copyright (c) 2001 by Sun Microsystems, Inc.
# All rights reserved.
#
cmd=`basename $0`
$cmd "$@"
--------------------------------------------------------

Vervolgens een check op enkele bekende spooky-ones:

Sin Rootkit [ Not found ]
SInAR Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]

Performing additional rootkit checks
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ Skipped ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing trojan specific checks
Checking for enabled inetd services [ Warning ]
Checking for Apache backdoor [ Not found ]

De melding over inetd hierboven moet je natuurlijk wel met een korrel zout nemen: svc:/network/inetd:default staat op jouw systeem gewoon aan.

Ik ben geneigd mee te gaan met Manuels conclusie, die o.a. zegt: "Er zijn ook gewoon een heleboel domeinnamen-met-een-typfoutje gereigstreerd door porno- of malware sites, b.v., ....."
Maar: ik weet te weinig af van browser-technologie om hier iets zinnings over te roepen. Daar heeft Mrs. Rides jullie tenslotte voor, nietwaar?
Het enige waar ik vanuit kan gaan is, als de browser lek is, de ongewenste data ofwel via het geheugen gaat, ofwel wordt weggeschreven naar file. Beide kunnen niet veel kwaad omdat Mrs. Rides nooit als superuser is ingelogd.

Ik ben verder niet geneigd om de resolver van onze caching DNS server te richten op OpenDNS; ze filteren meer je lief is. Dan kan je ook een Internet Service Provider nemen die een Bijbel-filter voor al je Internetverkeer instelt. :-)
Tss.. men doet wat men kan. Wie weet er nog wat?

Thnx,
Rides
*Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.8.1.4) Gecko/20070622 Firefox/2.0.0.4
**Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.7) Gecko/20070606 Powered by SunOS 2.10 (Solaris 10)
***Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

common sense
Berichten: 686
Lid geworden op: 2 augustus 2006, 13:45

Bericht door common sense » 7 december 2007, 20:01

Erg vaag ja, bestaat idd helemaal niet. Welk IP hoort daarbij?
Probeer eens met

Code: Selecteer alles

curl -v vage_url
(curl zit geloof ik slechts bij de community versie van Solaris,
maar vervang curl -v anders door wget -v ) Dan krijg je ergens in de eerste regels het IP adres te zien waar die meuk vandaan komt.
Rides schreef: Wij hebben Solcon als provider (werken met Bind dns) Degelijker (en gristelijker) dan Solcon kan bijna niet: bijna de hele overheid host daar.
Hoop wel voor ze dat ze een beetje recente versie van BIND draaien... Gristelijk hoeft vandaag de dag echt niet meer zo degelijk te zijn, denk aan Donner met z'n notulen fratsen.

Gebruikersavatar
Rides
Berichten: 14
Lid geworden op: 8 mei 2007, 11:26

Bericht door Rides » 7 december 2007, 21:42

Ik ben er uit! :D
Met die spirituele crises dan: het zit 'm in het meervoud: enkelvoud -crisis (met I) bestaat niet en leidt dus tot redirect, maar meervoud met -crises (met E) leidt tot de juiste site. Hehe!
Gewoon slordigheid waar nette pornomiddenstanders slim gebruik van maken. Want onwettig is het niet wat ze doen, toch? Deze brave lieden met een gezonde VOC-mentaliteit..

Maar nog steeds is me niet duidelijk waarom mijn aanvraag (althans mijn van machientje) naar een niet bestaande uri word doorgeleidt naar de Katja's en een ander niet.
*Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.8.1.4) Gecko/20070622 Firefox/2.0.0.4
**Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.7) Gecko/20070606 Powered by SunOS 2.10 (Solaris 10)
***Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 7 december 2007, 22:00

Rides,

fij dat je er uit bent, maar volgens mij nog niet helemaal...

http://www.spirituelecrises.nl/ bestaat inderdaad gewoon, maar bij mij in firefox geeft http://www.spirituelecrisis.nl/ een melding dat het niet bestaat (volgens de DNS servers van mijn providers althans).

Jij zegt dat volgens SIDN www.spirituelecrisis.nl zou bestaan, gek is dan wel dat ik krijg: "spirituelecrisis.nl is vrij" : http://www.sidn.nl/ace.php/c,727,43,,,, ... mit=Submit

Afbeelding

BIND heb ik geen kaas van gegeten... Ik draai hier een simpel Linux Slackware bakkie zonder services. common sense weet er vast wel meer van :)

Hoe zat het trouwens met het hosts bestand: /etc/hosts ?
Rides schreef:Ik ben er uit! :D
Ik ben dus bang van niet: een niet bestaand adres hoort melding 'niet bestaand' te geven

Gebruikersavatar
Rides
Berichten: 14
Lid geworden op: 8 mei 2007, 11:26

Bericht door Rides » 7 december 2007, 22:55

Dat, Manuel, was precies mijn laatste conclusie: spirituelecrisis met een - i - bestaat niet, maar spirituelecrises met een - e - dus wel. Dat kleine maar doorslaggevende verschil had ik niet eerder opgemerkt. (Zo zie je maar hoe belangrijk de juiste spelling is..) En zoals ik ook zei, weet ik nog steeds niet waarom jij, en de verdere computers hier in huis, (achter dezelfde Solcon servers als ik) wel een melding krijgen dat dat domein niet bestaat, en ik niet. M.a.w. waarom ik terecht kom bij Tante Katja en jij of mijn huisgenoot niet. Dat kan 'm dus niet in de DNS zitten.. En mijn pc is ook niet bevuild met een rootkit. En mijn browsercache en -history zijn helemaal leeg en alle cookies zijn weg enzovoorts. Dus. En. Maar. Ik geef het gewoon op. Ik heb er genoeg van. En ik moet nodig weer 's verder met mijn werk. Dank tot zover voor jullie tijd en energie.

Rides
*Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.8.1.4) Gecko/20070622 Firefox/2.0.0.4
**Mozilla/5.0 (X11; U; SunOS i86pc; en-US; rv:1.7) Gecko/20070606 Powered by SunOS 2.10 (Solaris 10)
***Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 7 december 2007, 23:34

Rides,

nu al opgeven? Ik begrijp wel dat je ook verder moet met je werk, maar...

Er bevindt zich iets onprettigs op de pc waar je op werkt. Immers, de andere computers in je huis hebben er *geen* last van. Het is dus terug te voern tot jouw machine.

Wanneer jouw browserprofiel besmet is, dan kun je dat testen door een nieuw en schoon profiel aan te maken: http://www.mozbrowser.nl/wiki/index.php ... en#Firefox en daar tijdelijk van op te starten.

Is het probleem in het nieuwe profiel niet aanwezig, dan kan men je daarna hier verder helpen.

Wanneer het niet in het browserprofiel zit, dan kan het eigenlijk alleen maar op root-niveau op je machine zitten, omdat alleen daar dingen mogelijk zijn om je om te leiden naar foute sites.

Mocht het laaste het geval zijn dan heeft het niks met de browser te maken, en zou je man het probleem (makkelijk) op moeten kunnen lossen? (En anders wij wel).

Succes!

common sense
Berichten: 686
Lid geworden op: 2 augustus 2006, 13:45

Bericht door common sense » 8 december 2007, 10:21

Rides schreef:Ik ben er uit! :D
Met die spirituele crises dan: het zit 'm in het meervoud: enkelvoud -crisis (met I) bestaat niet en leidt dus tot redirect,
:?: Wie zou die redirect dan uitvoeren? Het crisis domein is niet eens bij SIDN bekent... Daar zit toch echt een luchtje aan...
Rides schreef: Gewoon slordigheid waar nette pornomiddenstanders slim gebruik van maken. Want onwettig is het niet wat ze doen, toch? Deze brave lieden met een gezonde VOC-mentaliteit..
Dat klopt, maar niet voor alle domeinen die jij noemde. Of er is echt iets mafs aan de hand met een name-cache, hosts file, proxy of desnoods de browser. Dat willen wij graag ff uitsluiten, maar als jij daar geen tijd of zin in hebt moet je het maar uitbesteden aan je locale expert. :?

@Manuel:
Ben absoluut geen BIND expert. :)
Met je eigen common sense kom je ook een heel eind. :lol:

Curl en wget geven met de extra uitvoer (-v) op je terminal toch echt een aantal belangrijke clues (zoals het IP adres waar het vandaan komt). Als deze tools dezelfde meuk ophalen als Firefox bij dezelfde URLs, dan lijkt me er eerder iets mis is met de netwerk configuratie. Dat kan lokaal op de machine zijn, maar dat hoeft niet. Zoals je zelf al aangaf is de hosts file de eerste die je zou kunnen checken, maar vergeet ook niet dat er ergens lokaal of in het LAN een caching name server kan draaien die wel onder besturing van de duivel staat :twisted:

Hoe je erachter komt of BIND op je systeem draait:

Code: Selecteer alles

ps ax | grep named
En check dan de named configuratie file /etc/named.conf (maar dat is meer iets voor een echte BIND expert, vanaf hier moet ik me redden door man pages te gaan lezen) Wat evt ook helpt zijn de dig of host commando's.

't gaat denk ik nu wat ver allemaal, ik stop er maar mee, tenzij er nog animo is om de onderste steen boven te halen...

Edit; huiswerk van het college DNS voor beginners voor Solaris:
http://www.learning-solaris.com/index.p ... ns-server/

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 8 december 2007, 15:47

@ common sense: er zit ook een luchtje aan, daarom vraagt het erom om opgelost te worden, tenzij Rides dat echt niet wil...

Mijn eigen 'common sense'. Ja, die heb ik wel, maar van BIND heeft iedereen echt meer verstand dan ik. Ik verdiep me me eigenlijk nooit in zaken waar ik zelf (nog) niet mee te maken heb.

wget http://www.spirituelecrisis.nl/ is niks moeilijks aan. Wanner de output daarvan

Code: Selecteer alles

~$ wget http://www.spirituelecrisis.nl/
--15:41:58--  http://www.spirituelecrisis.nl/
           => `index.html'
Resolving www.spirituelecrisis.nl... failed: Name or service not known.
is, dan is er kennenlijk met het netwerk in z'n algemeenheid niks aan de hand, maar zit het waarschijnlijk in de browser.

@ rappie pappie: ik krijg gewoon dat het niet bestaat:

Code: Selecteer alles

~$ traceroute www.spirituelecrisis.nl
traceroute: unknown host www.spirituelecrisis.nl
Jij krijgt iets anders!?

Gebruikersavatar
rappie pappie
Berichten: 1503
Lid geworden op: 19 januari 2006, 14:01

Bericht door rappie pappie » 8 december 2007, 16:10

@ Manuel

Ja sorry!
Ik had het bericht al verwijderd.Omdat het niks zou bijdragen.Maar hier nog een keer.

Eerste link kom ik netjes op de website.

De tweede link word omgeleid.En word dus geblockt door m'n hostfile.

Maar als ik de server opzoek van de tweede link. (Traceroute) Is dit de output.Er bestaat dus wel wat.

Tracing the path to www.spirituelecrisis.nl

www.spirituelecrisis.nl A 208.67.217.130


1 10.0.1.13 (10.0.1.13) 0.107 ms 0.103 ms 0.047 ms
2 chi-bb1-link.telia.net (213.248.104.85) 0.639 ms 0.648 ms 0.643 ms
3 p16-0-2-1.r20.chcgil09.us.bb.gin.ntt.net (129.250.9.21) 1.357 ms 1.332 ms 1.330 ms
4 p64-0-0-0.r21.nycmny01.us.bb.gin.ntt.net (129.250.5.5) 26.512 ms 37.147 ms 27.162 ms
5 po-3.r02.nycmny01.us.bb.gin.ntt.net (129.250.2.41) 25.048 ms 25.566 ms 25.076 ms
6 fa-0.opendns.nycmny01.us.bb.gin.ntt.net (129.250.12.250) 26.692 ms 26.499 ms 26.371 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

IP: 208.67.217.130
Hostname: 208.67.217.130
Internet provider: 217.130
IP-range provider: 0.0.0.0 - 255.255.255.255
WHOIS: whois opzoeken
Computernaam: 208
Abuse: abuse@217.130
Land: UNITED STATES
Plaats: New York, NY
Webserver: Niet aanwezig
FTP server: Niet aanwezig
SMTP server: Niet aanwezig
Gevonden info: www.surmunity.com/showthread.php?p=271764
www.computerservicesnc.it/ wop/2007/11/19/internet-va-a-singhiozzo/


PING.
Pinging www.spirituelecrisis.nl

www.spirituelecrisis.nl A 208.67.217.130


PING www.spirituelecrisis.nl (208.67.217.130) 56(84) bytes of data.
64 bytes from 208.67.217.130: icmp_seq=1 ttl=56 time=26.7 ms
64 bytes from 208.67.217.130: icmp_seq=2 ttl=56 time=26.5 ms
64 bytes from 208.67.217.130: icmp_seq=3 ttl=56 time=26.4 ms

--- www.spirituelecrisis.nl ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 26.496/26.616/26.799/0.229 ms



Ik zou in solaris ook eens het bestand /etc/hosts en /etc/hosts.allow eens na kijken of daar iets vreemds instaat.
Afbeelding

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 8 december 2007, 17:28

@ rappie pappie: nee, er bestaat niet zo'n domein...

Het feit dat jij terecht komt bij 208.67.217.130 komt omdat omdat opendns dat voor je afvangt.

Op: http://en.wikipedia.org/wiki/Opendns#Services
Other features include a phishing filter and typo correction (for example, typing wikipedia.og instead of wikipedia.org)
Met opendns zie je dus nooit wat er echt bestaat of niet. En je kunt nooit eens gezellig een foute site site bezoeken om te zien wat daar is:

Afbeelding

Gebruikersavatar
rappie pappie
Berichten: 1503
Lid geworden op: 19 januari 2006, 14:01

Bericht door rappie pappie » 8 december 2007, 18:31

:?

Okéé ik ben misschien een beetje kort van stof. :oops:

Maar!
Misschien kun je me dat is beter uitleggen.

Ik gebruik géén Opendns meer.Je shiet er weinig mee op.

Of draait tegenwoordig het hele internet op Opendns.

Gebruikt die zogenaamde niet bestaande server opendns.

Ik moet me eigen er maar eens weer wat beter in gaan verdiepen. :(
Afbeelding

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 8 december 2007, 21:50

rappie pappie schreef::?

Okéé ik ben misschien een beetje kort van stof. :oops:

Maar!
Misschien kun je me dat is beter uitleggen.
Ik weet 'r ook maar weinig van, hoor... :wink:

Jij zei:
Maar als ik de server opzoek van de tweede link. (Traceroute) Is dit de output.Er bestaat dus wel wat.

Tracing the path to www.spirituelecrisis.nl

www.spirituelecrisis.nl A 208.67.217.130
En 208.67.217.130 IS een afvangadres van opendns, want wanneer ik 208.67.217.130 in de adrsbalk plak, dan kom ik uit op http://guide.opendns.com/?url=208.67.217.130
rappie pappie schreef:Ik gebruik géén Opendns meer.Je shiet er weinig mee op.
Kennenlijk staat het nog wel ergens ingesteld.
rappie pappie schreef:Of draait tegenwoordig het hele internet op Opendns.
Nee :)
rappie pappie schreef:Gebruikt die zogenaamde niet bestaande server opendns.
Ook niet. Opendns geeft i.p.v. een foutmelding wanneer een domein niet bestaat, een afvanpagina, ook zo bij een wel bestaand, maar ongewenst domein. Dat lees ik ook maar op http://en.wikipedia.org/wiki/Opendns#Services
rappie pappie schreef:Ik moet me eigen er maar eens weer wat beter in gaan verdiepen. :(
Misschien... : http://nl.wikipedia.org/wiki/Dns 8)

Gebruikersavatar
adri
Moderator
Berichten: 11543
Lid geworden op: 5 maart 2005, 14:00
Locatie: Diessen

Bericht door adri » 9 december 2007, 22:54

Rides schreef: Ik kan het natuurlijk niet over mijn kant laten gaan dat half Firefox Nederland nu denkt dat Solaris gevoelig is voor rootkits, daarom heb ik maar even de "rkhunter" gedraaid. :-)
Natuurlijk is Solaris ook gevoelig voor rootkits, welk OS is dat niet?
Goed trouwens dat je niet als root werkt, dat scheelt inderdaad een slok op een borrel. Maar ga mij nou niet wijsmaken dat je op Solaris geen rootkit binnen kunt smokkelen. ;)

Overigens ben ik -met de meeste anderen- van mening dat je probleem bepaald niet opgelost is.
Maar da's jouw keus.
Afbeelding

common sense
Berichten: 686
Lid geworden op: 2 augustus 2006, 13:45

Bericht door common sense » 10 december 2007, 20:03

Manuel schreef: is, dan is er kennenlijk met het netwerk in z'n algemeenheid niks aan de hand, maar zit het waarschijnlijk in de browser.
Mhwoah, dat durf ik zo niet aan te nemen. Dat je deze response kreeg bevestigt alleen alles wat we tot dusverre al weten, er zit een luchtje aan. (knijp-in-de-neus-smily :D )

De oorspronkelijke post was toch vrij duidelijk:
Rides schreef: (in beide Mozilla browsers en in Opera)
Dat ze beide besmet zijn sluit ik niet uit, maar da zou wel heel erg bont zijn. Alleen een wget of curl in het locale netwerk van de Rides kan het e.a.a. uitsluiten, IMho.

Gebruikersavatar
Manuel
Berichten: 2539
Lid geworden op: 21 december 2004, 20:16
Locatie: Alkmaar, Nederland

Bericht door Manuel » 13 december 2007, 23:53

common sense schreef:
Manuel schreef: is, dan is er kennenlijk met het netwerk in z'n algemeenheid niks aan de hand, maar zit het waarschijnlijk in de browser.
Mhwoah, dat durf ik zo niet aan te nemen. Dat je deze response kreeg bevestigt alleen alles wat we tot dusverre al weten, er zit een luchtje aan. (knijp-in-de-neus-smily :D )
Ik lees verder...
common sense schreef:De oorspronkelijke post was toch vrij duidelijk:
Rides schreef: (in beide Mozilla browsers en in Opera)
Je hebt volkomen gelijk. Ik heb er gewoon overheen gelezen, en later niet de hele topic nog eens doorgenomen... :oops:
common sense schreef:Dat ze beide besmet zijn sluit ik niet uit, maar da zou wel heel erg bont zijn. Alleen een wget of curl in het locale netwerk van de Rides kan het e.a.a. uitsluiten, IMho.