Primeira página do tópico redirecionando para site perigoso

Rafael Favero · 20 de Junho de 2017, 12:53

Olá, estava navegando pelo fórum quando cai na última página do tópico "Instalação do Ubuntu", cliquei para ir para ver a primeira pagina do tópico e apareceu a seguinte mensagem:

http://imgur.com/xrZwTWN

Link: http://ubuntuforum-br.org/index.php/topic,19226.0.html

Isso é somente para eu ou acontece para todos?

Ubuntu 16.04
Navegador: Chrome

*Já que refere-se a algo do fórum postei aqui, mas caso necessário movam o tópico para a área correta.

Majoras · 20 de Junho de 2017, 13:23

Isso é normal do chorme, o site é seguro.

druidaobelix · 20 de Junho de 2017, 15:29

Citação de: Majoras online 20 de Junho de 2017, 13:23
Isso é normal do chorme, o site é seguro.

Sim, porém não deveria ter aparecido aquela tela que ele mostra, fazendo referência ao www.crystalxp.net

Alguma coisa estranha ocorreu ali. Melhor limpar o cache do seu navegador e ainda rever login e senha do roteador e se não há redirecionamento no dhcp proveniente de tentativa de invasão.

Sobretudo use no navegador um bloqueador de publicidade do tipo AdBlock, o que evita muitos problemas.

Rafael Favero · 21 de Junho de 2017, 22:25

Limpando cache a página continuou, dei um purge no chrome e instalei o chromium, o problema sumiu*, passei um scan com o eset 32 mas nada foi detectado.

Agora, antes de postar o tópico fui verificar o link do tópico. cliquei e surpresa, voltou,

No firefox e Opera não ocorre esse problema, seria adequado dar um purge no chromium e ficar só com o firefox? Pois está ocorrendo a pouco tempo, primeira vez depois de ter formatado há alguns meses e agora novamente, em pouco tempo.

Já desativei todas as extensões, mesmo acessando o problema continua.

Depois de arrumar isso daa vontade de baixar o Lubuntu e usar no virtual box para parar de me incomodar com isso. Uso adblocker, ghostery, popup blocker, mesmo assim sou infectado, não entendo como, cuido onde clico.

Rafael Favero · 21 de Junho de 2017, 23:04

Fiz um scan com o rkhunter e houve alguns "warnings".

Para não ficar longo está no paste bin: https://pastebin.com/THG2JUWJ

Caso queira de umaa olhada.

*Cache/histórico limpo e navegador redefinido para padrão, ainda persiste o aviso.

Dns do roteador com o OPEN DNS.

druidaobelix · 22 de Junho de 2017, 00:20

Não é o caso de rootkit, pois para infiltrar um rootkit precisaria ter aberto a senha do root, coisa que certamente você não fez.

Além disso o relatório no Pastebin não mostra nada de preocupante, os warnings são características da distribuição e não são nenhum problema.
É um script aqui e ali, que são adaptações da própria distribuição. Se faço aqui num live-iso se obtém o mesmo resultado, então, nada com o que se preocupar quanto a isso.

Desinstale o Chrome de forma física, direta, para além do --purge, semelhante ao que sugeri fazer aqui nesse tópico:

http://ubuntuforum-br.org/index.php/topic,120748.msg669496.html#msg669496

Ou seja, use o remove --purge, depois localiza a "sujeira' que ficou e aí remove 'na unha', pra não ficar nenhum vestígio.

Em tempo: entrei lá na página ca crystalxp.net, não parece ter nenhum problema (para um Linux, num Windows pode ter).

Citação de: Rafael Favero online 21 de Junho de 2017, 22:25
Depois de arrumar isso daa vontade de baixar o Lubuntu e usar no virtual box para parar de me incomodar com isso. Uso adblocker, ghostery, popup blocker, mesmo assim sou infectado, não entendo como, cuido onde clico.

Usar uma máquina virtual para navegar é sempre uma boa ideia, uma enorme tranquilidade.

Na dúvida apaga-se a VM e pronto, tá resolvido.

druidaobelix · 22 de Junho de 2017, 01:35

Só esclarecendo aqui para ver se estamos falando a mesma coisa e não criar confusão desnecessária: o objeto do estranhamento não é o fato de aparecer a mensagem de alerta quando se tenta entrar na página do site crystalxp.net, esse não é o problema, a mensagem de alerta também aparece aqui quando acesso aquele endereço, isso mesmo usando o Firefox, a mensagem aparece.

Essa mensagem de alerta aparece naquela página porque a página possui características de programação estranhas, que eventualmente podem ser enganosas mesmo (embora possa também ser falso positivo), e além disso, pode ser que já esteja incluída nos tais "radares" dos navegadores e base de dados de phising de empresas de antivírus e congêneres.

O objeto do estranhamento é o fato de você colocar na barra de endereço do navegador, no caso o Chrome, um endereço que é daqui de uma página do Fórum e ao invés de acessar o Fórum, como normalmente se faz, aparecer o alerta da crystalxp.net, é isso que estou estranhando, sugerindo um redirecionamento automático a partir de um endereço válido, como é o do Fórum.

Rafael Favero · 22 de Junho de 2017, 12:41

Exato, a questão do aviso eu entendo, o problema é o estranho redirecionamento para aquela página, com o chrome reinstalado não redirecionava, mas depois usei pouco tempo e começou novamente, isso que incomoda-me. Como você testou no firefox e citou a questão da página estou mais aliviado. Farei como sugerido, darei um purge e apagarei os vestígios, instalarei o Chrome pois o Chromium da o mesmo problema então eu uso logo o meu browser preferido.

Em breve retorno com os resultados.

*
Fiz o procedimento: http://paste.ubuntu.com/24925459/

Pretendia deixar os arquivos do system back no sistema já que o problema foi posterior a ele, mas penso que seja melhor retirar, só não sei se não dará problema depois, mas isso verei.

Terei de executar cada comando separadamente ou posso criar um script ou algo do gênero?

!#/bin/bash
sudo rm "endereço de cada vestígio"

Script funciona com sudo?

druidaobelix · 22 de Junho de 2017, 13:38

Funciona normal, só que o sudo não é usado dentro do script e sim para chamá-lo, da forma como você mencionou, porque colocando o sudo vai precisar da senha, então precisa ser na chamada do script.

Só precisa do sudo se for apagar arquivos os quais o usuário não é o proprietário, isto é, que não estejam dentro do /home.

Aí então é só usar sudo ./nome_script.sh ou ainda sudo /bin/bash nome_script.sh

Porém tendo usado o remove --purge devem restar poucas linhas para serem apagadas, é só copiar, colar, rm nelas e <enter> e tá pronto, coisa pouca.

Note que, em princípio, é só para apagar onde aparece qualquer coisa em relação ao google-chrome, não em relação ao chromium, ao menos por enquanto.

Limpou tudo, reinicia, então reinstala e usa para navegar, vamos ver o que resulta da limpeza.

Não tem cabimento uma coisa dessa, entra com um endereço aqui do Fórum e é redirecionado para aquela página.

Esse redirecionamento é típico de invasão de roteador.

Como é sua conexão, é por cabo ou wi-fi?

Rafael Favero · 22 de Junho de 2017, 19:33

Fiz mas não saiu como esperado:

Citarsudo ./sck.sh
./sck.sh: 1: ./sck.sh: !#/bin/bash: not found
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/rec.2.2.ubuntu.com,api,1.0,recommend_app,google-chrome-stable,,ab8e25bc835f33c6ca5c580b6a249704.trashinfo': Arquivo ou diretório não encontrado
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/rec.2.ubuntu.com,api,1.0,recommend_app,google-chrome-stable,,ab8e25bc835f33c6ca5c580b6a249704.trashinfo': Arquivo ou diretório não encontrado
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/rec.ubuntu.com,api,1.0,recommend_app,google-chrome-stable,,ab8e25bc835f33c6ca5c580b6a249704.trashinfo': Arquivo ou diretório não encontrado
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/reviews.2.2.ubuntu.com,reviews,api,1.0,reviews,filter,pt_BR,any,any,any,google-chrome-stable,page,1,helpful,,0d5ebeae3e815f2f5f97d7b4d509aa65.trashinfo': Arquivo ou diretório não encontrado
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/reviews.2.ubuntu.com,reviews,api,1.0,reviews,filter,pt_BR,any,any,any,google-chrome-stable,page,1,helpful,,0d5ebeae3e815f2f5f97d7b4d509aa65.trashinfo': Arquivo ou diretório não encontrado
rm: não foi possível remover '/home/rafael/.local/share/Trash/info/reviews.ubuntu.com,reviews,api,1.0,reviews,filter,pt_BR,any,any,any,google-chrome-stable,page,1,helpful,,0d5ebeae3e815f2f5f97d7b4d509aa65.trashinfo': Arquivo ou diretório não encontrado

Estou no pc, via cabo, no notebook ainda não instalei o chrome para testar.

FaBMak · 22 de Junho de 2017, 21:18

Resolvido. Isso aconteceu devido a um avatar externo usado por um usuário. Provavelmente, esse site crystalxp deve ter sido invadido, daí o link para lá era malicioso.

druidaobelix · 22 de Junho de 2017, 23:25

Citação de: FaBMak online 22 de Junho de 2017, 21:18
Resolvido. Isso aconteceu devido a um avatar externo usado por um usuário. Provavelmente, esse site crystalxp deve ter sido invadido, daí o link para lá era malicioso.

Ótimo, tanto melhor, agora sabemos a origem do problema.

Rafael Favero · 23 de Junho de 2017, 18:39

Obrigado pelo auxilio e pelo esclarecimento.