Security Professionals - ipfw add deny all from eindgebruikers to any

telegraaf.nl redirect incidentieel naar ww25.telegraaf.nl

08-01-2015, 13:42 door pandorasan, 10 reacties
Voor de 2de maal in 1 maand gebeurt hier het volgende :

Ik type in Firefox telegraaf.nl ( zonder www ) en druk op enter. Ik zie heel snel dat ik een redirect krijg naar ww25.telegraaf.nl
Daarna ga ik naar een domein met de volgende url :

http://zb.zeroredirect1.com/zcvisitor/etcetc

en daarna naar :

http://zb.zeroredirect2.com/zcredirect?visitid= etcetc

Uiteindelijk eindig ik hier :
http://www.geld-winst-methode.com/?etcetc

etcetc = affiliate id en nog wat parameters en session id's


Ik werk op een Mac met Yoshemite met de laatste updates en de laatste versie van FireFox.

Het absurde is dat ik het daarna niet altijd kan reproduceren. Alle urls staan wel netjes achter elkaar in mijn history. Is dit een DNS hack bij de Telegraaf of heb ik een soort malware te pakken ?

Edit :

Net ww25.telegraaf.nl nog een keer ingetikt en nu ga ik naar :

http://www.frederikbervoets.com/?etcetc


Nog een keer ww25.telegraaf.nl intikken en ik krijg een 404. Het gebeurt dus maar heel af en toe.

Heeft iemand hier dit wel eens meegemaakt ?
Reacties (10)
08-01-2015, 15:26 door Anoniem
Nee, ik lees de Telegraaf niet.
Evengoed,...


Stappen die je kan proberen

1) DNS cache wissen

How to Flush DNS Cache in OS X Yosemite with discoveryutil
http://osxdaily.com/2014/11/20/flush-dns-cache-mac-os-x/


2) Je Mac op Adware laten controleren

Simpele gratis app (verzameling verwijder scriptjes maar dan verpakt) van Thomas Reed van TheSafeMac.com

Het programmaatje "AdwareMedic" is onder een ander domein te downloaden.
http://www.adwaremedic.com/index.php

Sommige adware blokkeert die site zelfs, pak dan de directe download link, dat is deze :

http://www.adwaremedic.com/AdwareMedic.dmg

Download dit programma (al browsend) met Safari omdat je niet weet wat er met je Firefox aan de hand is.


3) Firefox opschonen

Safe start Firefox
"Alt" toets ingedrukt houden, kies "Safe Start", dan de geschiedenis maar in ieder geval je caches wissen (voorzover de safe start dat al niet doet. Voor Safari is het de : "Shift" toets)

Daarna weer gewoon opstarten.


Nu maar afwachten wat er verder gebeurt.
Probeer het anders eens met een ander apparaat, misschien ligt het aan je modem of aan de telegraaf zelf?

NoScript en een Adblocker kunnen op zich geen kwaad (juist veiliger). Plus Ghostery voor de anti tracks.
Al past dat misschien niet helemaal bij de lol van het lezen van de Telegraaf...

Succes
08-01-2015, 16:09 door Anoniem
@Heeft iemand hier dit wel eens meegemaakt ?
Yep. Ooit eens als grap uitgehaald met een collega omdat hij teveel de telegraaf.nl op z'n scherm had staan.
08-01-2015, 17:21 door Anoniem
Kijk of je 'lynx' kunt installeren en doe het volgende:

"lynx -dump http://telegraaf.nl " (en schrik van de 502 links (op dit moment) die op die pagina staan) en kijk of je een redirect krijgt, als je dat periodiek doet vanuit een script zou je die in theorie wel een keer moeten vangen.
08-01-2015, 23:35 door Anoniem
Er gebeurt wel eens vaker iets geks op de telegraaf.nl website.
Bijvoorbeeld hier: https://www.security.nl/posting/403357#posting404008 en wat daarvoor en na komt.(scrollen)
(maar helaas heeft de poster zich teruggetrokken waardoor er veel info is verdwenen)

Meestal komt het door commerciële advertentietroep en dat je PC dit niet blokkeert, maar verder meestal niks bijzonders.
Je zou die websites die je zag eens aan de URL scanner van wwww.virustotal.com kunnen onderwerpen?
09-01-2015, 01:54 door Erik van Straten
Als je niet "bang" bent voor Wireshark raad ik je aan die te installeren en die elke keer, voordat je "telegraaf.nl" intikt, te starten. Gaat het dan fout dan weet je waarschijnlijk waarom.

Check ook welke DNS server(s) zijn geconfigureerd en of eventueel sprake is van een "DNS suffix". Dat laatste leidt ertoe dat als een domeinnaam niet resolvt (publieke DNS servers er geen IP-adres van kennen), zoals ww25.telegraaf.nl, er wat achter de domeinnaam geplakt wordt waarna nogmaals een DNS lookup plaatsvindt.
Voorbeelden:
DNS lookup: ww25.telegraaf.nl -> bestaat niet
DNS lookup: ww25.telegraaf.nl.com -> bestaat wel, maar heeft niets met de Telegraaf te maken

Na dit geschreven te hebben sluit ik het volgende niet uit: jouw DNS server is mogelijk wat traag met antwoorden. Om die reden besluit Fiorefox (of Mac OS X) er .com achter te zetten.

Als ik (W7, Firefox met speciale config) als URL intik: http://telegraaf.nl.com./ (let op de punt tussen com en /, daarmee forceer je dat er geen DNS suffixes achter gezet mogen worden), dan vindt (in de achtergrond) een lookup plaats van telegraaf.nl.com. met als resultaat IP-adres 69.43.161.174.
Als antwoord op het Firefox verzoek voor GET http://telegraaf.nl.com/ stuurt bovengenoemde server een "302 Found" code, met "Location: http://ww38.telegraaf.nl.com/". Daardoor ga je naar IP-adres 185.53.177.20.

Die laat je (als je geen NoScript gebruikt) Javascript ophalen vanaf http://parkingcrew.net/assets/scripts/js3.js en ook iets goochelen met https://pc1.dntrck.com/.

Anyway, als dit aan de hand is, kun je dit soort problemen vermijden (als je perse de Telegraaf wilt lezen) door telegraaf.nl. als URL in te tikken (beter: een snelkoppeling aan te maken).

Alternatief: om te voorkomen dat Firefox zelf .com etc. achter domeinnamen gaat plakken kun je about:config openen, in de zoekbalk intikken: fixup
en verolgens dubbelklikken op "browser.fixup.alternate.enabled" zodat de waarde wijzigt van true in false.

Laat je SVP even weten wat het probleem was en de oplossing is voor jou?
09-01-2015, 13:27 door pandorasan
Bedankt voor alle reacties en tips zover.
Het lijkt er op dat ik het probleem niet kan reproduceren in Chrome als ik ww25.telegraaf.nl intik of telegraaf.nl

@Erik van Straten, als ik zoals je zegt www.telegraaf.nl.com intik in Chrome dan krijg ik idd de redirect, zelfde in FireFox.

Het reproduceren in FireFox door telegraaf.nl in te tikken lukt incidentieel. Dat zou kloppen met jouw uitleg over een trage DNS server en FireFox die er zelf .com achter zet.

Ik ga verder testen en Wireshark installeren en kom hier op terug.
09-01-2015, 14:37 door Anoniem
"een trage DNS server"

Wanneer je de DNS van je provider gebruikt, zou je denken dat dan meer mensen last van dit probleem moeten hebben.

Of heb je dan zelf een andere DNS server ingesteld dan je provider / modem je standaard voorschotelt?
Standaard DNS dan weer instellen een optie?
Lijkt me een stuk eenvoudiger dan met Wireshark analyses te gaan uitvoeren.

'Schrik niet'
Wireshark maakt stiekem een extra (verborgen) permissie groep aan met Rootrechten.
Na installatie zal je onder een willekeurig file de info ("cmd i" command voor oproepen file info) de 'user' group " access_bpf " aantreffen.
Dat je dat weet en niet plotseling je rot schrikt en denkt sporen van vage rottige malware op je systeem te hebben aangetroffen.
10-01-2015, 16:39 door Anoniem
09-01-2015, 01:54 door Erik van Straten: Alternatief: om te voorkomen dat Firefox zelf .com etc. achter domeinnamen gaat plakken kun je about:config openen, in de zoekbalk intikken: fixup
en ver[v]olgens dubbelklikken op "browser.fixup.alternate.enabled" zodat de waarde wijzigt van true in false.
Lijkt me een uitstekende tip Erik, die bij handmatig ingetypte URL's "autocompletion" (zowel suffix als prefix) voorkomt.
Dank je! :-)

Voor de rest nog een beetje vaag wat er bij pandorasan exact gebeurt.
Ik denk dit: volgens mij linkt telegraaf.nl automatisch door (niet op initiatief van de browser)
naar www.telegraaf.nl. Dit zal daarna niet tot gevolg hebben dat browser prefix/suffix wordt gebruikt,
omdat www.telegraaf.nl in dit geval geen hand-ingetypte URL is, maar een redirect van telegraaf.nl.
Ook een bookmark is geen hand-ingetypte URL, en vormt geen probleem.

Tik je echter rechtstreeks "www.telegraaf.nl" in, dan is het wél een handgetypte URL, en zou er indien de pagina niet voorspoedig laadt een automatische retry met toegevoegde ".com -suffix" kunnen optreden.
(klinkt als een truuk met hetzelfde doel als "typosquatting"?...)
Trage DNS kan een oorzaak zijn, maar er zou misschien ook wat anders aan de hand kunnen zijn
waardoor de pagina niet snel genoeg laadt/reageert? (misschien drukte op de website?)

Dat het soms ook met hand-ingetikt "telegraaf.nl" gebeurt, kan betekenen dat ook deze verbinding niet altijd voorspoedig lukt. En dan wordt op initiatief van de browser automatisch uitgeprobeerd: "telegraaf.nl.com" (= +suffix) of "www.telegraaf.com" (= + prefix) en/of "www.telegraaf.nl.com" (= +prefix & suffix).
(en van de laatste heeft pandorasan dus al geconstateerd dat ze sowieso naar de "vreemde" websites zullen leiden)

Mvg, cluc-cluc
10-01-2015, 21:22 door Anoniem
oops... foutje
In mijn bericht van 16:39 moet de op één na laatste regel natuurlijk zijn:

"www.telegraaf.nl" (= + prefix) en/of "www.telegraaf.nl.com" (= +prefix & suffix).

Mvg, cluc-cluc
12-01-2015, 16:08 door pandorasan
Update:

Wireshark en HttpFox geinstalleerd. Het verder niets veranderd aan mijn computer. Het bizarre is dat ik het niet meer kan reproduceren. Ik blijf het proberen en zal posten wat ik vind.

De verklaring van Erik van Straten over 'browser.fixup.alternate.enabled' en .com wat er door FireFox achter wordt gezet lijkt logisch. In Chrome heb ik het verschijnsel van de redirect namelijk nooit gehad. Chrome plakt er volgens mij ook geen .com achter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.