联通DNS解析故障了[半小时后杯具加剧,2011-02-22 14:37更新]

in 笔记 with 10 comments

刚才大约十分钟以前,点击任何链接,均指向一个“Windows XP 安全更新程序 (KB929969)”页面,刷新后正常,但首次访问必然被劫持,第一反应是被万恶的猥琐ISP玩儿劫持了。然后尝试用IP直接访问网站,发现无碍,基本判断是dns出了问题[坚持标题党-_-!!!],更换联通自己的dns服务器到Google的8.8.8.8,一切症状消失。

此次具体表现为:

1:国内外任何网站首次访问被劫持,刷新后正常
2:不是一般的访问转向,因为补丁无法下载
3:更换DNS服务器后,问题得到解决
4:应该与Jasmine无关,因为不具有针对性

截图如下

099.png

100.png

101.png

102.png

103.png

2011-02-22 14:37更新

半个小时后问题严峻了,只开启远程dns能解析正确,首页正确,但一切下载均被替换。比如柴子刚才找的巨盾补补和xuetr最新版,下载后解压,均为某274K小程序,因为是在店里,手头没有HIPS,未作行为分析跟进。手动用ark查看了一下,本机无碍[还没傻逼到运行该程序]。

目前症状如下:

1:仅开启远程DNS解析,页面正确,但下载被替换。比较智能化的是,下载后文件名不变,下载的rar和压缩包内文件名不变,但压缩包内仅一exe文件,命名为setup.exe

2:该样本文件信息如下:

大小: 280620 字节
修改时间: 2011年2月22日, 12:11:12
MD5: 5E91FF55DC270D00DA95FBE7B2745216
SHA1: BEEE3BAA3E6F9505AAA4D221E066603B1891698B
CRC32: 68AB0A95

3:开启远程dns解析+全局ssh或者直接开启VPN全局,一切正常

初步判断是联通机房除了问题,比如机房arp神马的,哈哈,很欢乐的一天,已经给联通的朋友打电话反馈-_-!!!

[该文件系从绿软家园下载的李鬼版,http://www.downg.com/default.html]:

样本下载: http://www.hipschina.com/thread-3127-1-1.html

附comodo在线分析[VIA:username]:http://camas.comodo.com/cgi-bin/submit?file=522c619e098050d316c3c2165f5609595afed2c62f29f2caeed30c22e27f81e9

Responses
  1. up

    分配到美国的cdn还不好么
    还敢经过国内的服务器?

    Reply
    1. @up

      - -# hotmail对各个区域的线路都做有优化,如果把你识别为美国服务器,那就会牺牲掉很大的速度。挂代理才能勉强正常使用,我这样用没有问题,但是让其他同事也这样用,麻烦得要死(从代理服务器到翻墙,甚至就一句“以前没这么麻烦”都能把你烦死)。这样说就明白了吧

      Reply
      1. pq
        @天毅

        一般不推荐设置公司电脑和其他人的电脑
        公司邮箱用软件管理有效率
        挂代理dns远程解析不需要修改本地dns

        Reply
    2. @up

      ……

      Reply
  2. 以前遇到过这种情况,不过除非遇到最新的木马病毒,一般都不会有什么太大问题

    Reply
    1. @天毅

      对我本地没什么问题,基本用户不能穿掉我的Shadow Defender,店里机器还是很安全滴

      Reply
  3. 必须8.8.8.8啊。。。

    Reply
    1. @Terry Chen

      用8.8.8.8这个国外dns也有弊端,打开hotmail试试看,速度会下降。因为一些大的服务商对dns服务器有地域区分,用了google提供的dns,hotmail会认为你在国外,所以给你分配线路的时候分配的是老美的线路,我是之前发现这个问题的 - -#

      Reply
      1. @天毅

        首次解析会慢点,解决办法就是自行开启dns缓存。 :lol:

        Reply
  4. 这个很常见的,所以一般都用国外DNS了 :eek:

    Reply