[Csaladtortenet 2] honlapeltérítés

_R-Istvan-Mögling(eu) R.Istvan.moegling at rakovszky.eu
2014. Már. 13., Cs, 11:28:27 CET


Kedves Csaba!
Saj nos a mi esetünkben nem egészen így van, mert akkor nálam is felugrana egy ww2.macse.org oldal. 
De naálam azt mutatja, hogy egy nemlétezo "beszélo" címet keresek. és nem jön fel semmilyen oldal, vagyis a t-online kereso oldala.
Vagyis ez a támadás nem az IP címet változtatja meg, hanem a beszélo címet, ahol a 3. w-t állítja át 2-re.
Ezen a DNS server lookup-table frissítése sem fog segíteni., hacsak nem váltják le az egész software-t.

Üdv.
István

If something is worth doing, it is worth doing it well.

Strive for excellence, not for perfection.
But be aware of the supporters of mediocrity. 
They will attack you because they are afraid of excellence in any form.

Ha valamit érdemes csinálni, érdemes azt jól csinálni.

- * -  A Rakovszky család honlapja / Web-site of the family Rakovszky / Website der Familie Rakovszky:    www.rakovszky.eu    - * -


-----Ursprüngliche Nachricht-----
Von: Dr. Hatvany Béla Csaba [mailto:csaba at hatvany.de]
Gesendet: Mittwoch, 2014 März 12 22:46
An: macse at googlegroups.com; csaladtortenet at levlista.theka.hu
Betreff: [Csaladtortenet 2] honlapeltérítés


Kedves Listatársak,

 

sok szó esett a www.macse.org portálunkat eltérítő vírusról, de legalább ketten is jelezték (Kónya Zsuzsa és Lerch Jancsi – ő volt az első, aki erre rájött) nem csak a saját gépen levő vírus okozza az eltérítést: van akinek a gépe nincs megfertőzve és mégis azt a bizonyos ww2.macse.org oldalt látja, amikor a portálunkat hívja le.

 

Mielőtt megpróbálom, végtelenül leegyszerűsítve, elmagyarázni miről is van szó, hadd említsem meg még egyszer azt, amit (Papcsik) Béla nagyon helyesen kihangsúlyozott: használjunk egy jó minőségi vírusirtó programot. Akkor tekinthető egy vírusirtó program jó minőségűnek, ha legalább a következőknek megfelel: rendszeresen frissíti a vírusszignatúrákat, biztosítja a biztonságos email kommunikációt és web navigációt, támogat egy tűzfalat. Sok ilyen vírusirtó program létezik a piacon, ha nem tudjuk, melyiket válasszuk, forduljunk egy szakemberhez. A ingyenes vírusprogramoknak inkább reklám szerepük van, mintsem képesek az összes veszélytől megóvni.

 

Most áttérek az eltérítés kérdésére. Itt egy jó összefoglaló olvasható (sajnos csak angolul): http://palizine.plynt.com/issues/2006Mar/pharming/. Megpróbálom a cikkben foglalt második kép (How Pharming Works) alapján röviden elmagyarázni miről is van szó. Nézzünk a képre és először csak a következőket jegyezzük meg:

a)     felhasználó (User) bead a böngészőjébe egy honlap címét (www.macse.org vagy a képen www.nicebank.com)

b)    a felhasználó gépe az internet szolgáltatója segítségével megkérdezi a DNS szervert (ezt úgy kell elképzelni, mint egy régi telefonközpontot, ahova bemondták a kívánt kapcsolat telefonszámát), mi is az IP címe a lekért „beszélő” címnek? (a gépek nem értik a „beszélő” címet, csak az IP címet, amely így néz ki 123.123.123.123). A képen ezt a lépést a 3. nyíl jelképezi.

c)    A DNS szerver „belenéz” a saját listáiba (lookup table) ahol azt találja, hogy a lekért www.macse.org címnek az 123.123.123.123 IP cím felel meg és ezt visszaküldi a felhasználó gépének (4. nyíl)

d)    a felhasználó gépe most a megkapott IP címet kéri a szolgáltatótól, aki lehozza neki a kívánt honlapot (www.macse.org, a képen www.nicebank.com) (2. nyíl)

 

Most vegyük észre a kép felső részén levő piros ábrákat: egy hacker (Attacker, támadó) és egy hamis weboldal (Fake Website), a képen www.n1cebank.com, esetünkben ww2.macse.org. 

Ha a támadó beférkőzik a DNS szerverre és ott módosítja a „beszélő” nevek és IP címeket tartalmazó listát (a képen az 1. nyíl), akkor a felhasználó rossz IP címet kap vissza a DNS szervertől, pld. 123.123.123.123 helyett 111.123.123.123-at kap, ami viszont a ww2.macse.org-nak felel meg (a képen www.n1cebamk.com) és következésképpen a felhasználó a kívánt honlap helyett a hamis honlapra lesz elterelve (5. nyíl).

 

Összefoglalva: ha már nincs is eltérítő vírus a gépünkön, a DNS szervereken (sok ilyen szerver van hierarchikus felépítésben) lehetnek korrumpált listák és ezért leszünk eltérítve.

A DNS szerverek listái viszont elég gyakran frissülnek és határos időn belül, megint hibátlan listákat fognak tartalmazni és az eltérítés megszűnik.

 

Mindezek mellet ceterum censeo virus esse delendam <http://hu.wikiquote.org/wiki/Latin_sz%C3%A1ll%C3%B3ig%C3%A9k#C> .

 

Üdv,

Csaba

  ==  ==  ==  ==  ==
Támogatott csatolmányok:jpg, jpeg, gif, png, pdf; Max. méret: ~3 MB
_____________________________________________________________________________
levelező lista honlap: http://levlista.theka.hu/mailman/listinfo/csaladtortenet
Levlista fórum: http://levlista.theka.hu/csaladtortenet/smfor/


További információk a(z) csaladtortenet levelezőlistáról