Paczki, malware, złośliwe pliki, linki itp.

[bluszcz]

tarczakryzysowa.net/628
Przez ten link dostaniemy darmowe 5 tys

viivaldi zablokował, cloudflare zablokował,  ale adguard już przepuścił

Dlaczego Cloudflare by miał zablokować? Ich DNSy nie filtrują domen, przepuszczają wszystko z założenia.

nslookup tarczakryzysowa.net 9.9.9.9
Server:  dns9.quad9.net
Address:  9.9.9.9

*** dns9.quad9.net can't find tarczakryzysowa.net: Non-existent domain

nslookup tarczakryzysowa.net 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Non-authoritative answer:
Name:    tarczakryzysowa.net
Addresses:  2606:4700:3034::681b:80f6
          2606:4700:3036::681b:81f6
          104.27.129.246
          104.27.128.246


nslookup tarczakryzysowa.net 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Non-authoritative answer:
Name:    tarczakryzysowa.net
Addresses:  2606:4700:3036::681b:81f6
          2606:4700:3034::681b:80f6
          104.27.128.246
          104.27.129.246


nslookup tarczakryzysowa.net 1.0.0.1
Server:  one.one.one.one
Address:  1.0.0.1

Non-authoritative answer:
Name:    tarczakryzysowa.net
Addresses:  2606:4700:3034::681b:80f6
          2606:4700:3036::681b:81f6
          104.27.129.246
          104.27.128.246

[Quassar]

Jasne
https://www.cloudflare.com/learning/acce...filtering/

https://imgur.com/a/SNTG20P

Czerowne powiadomienie od vivaldi(tzn sie google filtr bo to fork chroma rzecz jasna)
Biały od CloudFlare.

A do adguarda wysłałem 4 min temu info aby dodali do listy...

[bluszcz]

Pobawiłem się chwilę i ich DNS nie filtrują domeny, nawet 1.1.1.2, ale chyba ich reverse proxy jak najbardziej.

[Quassar]

Dla mnie te filtry ich i tak słabe są nie to co k9

[bluszcz]

Dla mnie te filtry ich i tak słabe są nie to co k9

Nie mogę znaleźć dokładnego opisu co ma 1.1.1.2 i 1.0.0.2 blokować, jedynie tytuły albo nagłówki np "Protect your home against Malware". Jeśli rzeczywiście tylko malware mają blokować, a nie phishing to w zasadzie nie ma się co dziwić. W ogóle nie wiedziałem, że Cloudflare zaoferowało takie serwery z filtrowaniem. Przynajmniej się czegoś dowiedziałem.
Co do filtrowania na DNS to OpenDNS od Cisco kiedyś był najlepszy pod tym względem wśród darmowych DNS, ale Quad9 ma dobrą politykę prywatności, dlatego używam Quad9.

[Quassar]

Zgadza sie jednak Quad9 sporo opóźnia mi ping.
tamten link co wysłałeś raczej był phishingiem wyłudzał dane bankowe i przelew na konto podszywając sie pod instytucje, zbiórkę na rzecz..

[LiberumVETO]

http://allegro-blokada.pl
Strona do potwierdzenia danych (Rodo)

[bluszcz]

http://allegro-blokada.pl
Strona do potwierdzenia danych (Rodo)

Quad9 blokuje domenę.

Kod:

[email protected]:~$ kdig allegro-blokada.pl @1.0.0.2
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 13308
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; allegro-blokada.pl.         IN    A

;; ANSWER SECTION:
allegro-blokada.pl.     6998    IN    A    160.153.129.19

;; Received 70 B
;; Time 2020-05-11 14:22:31 CEST
;; From [email protected](UDP) in 42.8 ms
[email protected]:~$ kdig allegro-blokada.pl @8.8.8.8
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 26853
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; allegro-blokada.pl.         IN    A

;; ANSWER SECTION:
allegro-blokada.pl.     10799    IN    A    160.153.129.19

;; Received 52 B
;; Time 2020-05-11 14:14:50 CEST
;; From [email protected](UDP) in 36.0 ms
[email protected]:~$ kdig allegro-blokada.pl @9.9.9.9
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 64424
;; Flags: qr rd; QUERY: 1; ANSWER: 0; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; allegro-blokada.pl.         IN    A

;; Received 36 B
;; Time 2020-05-11 14:14:59 CEST
;; From [email protected](UDP) in 22.3 ms
[email protected]:~$ kdig allegro-blokada.pl @208.67.222.222
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 44146
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; allegro-blokada.pl.         IN    A

;; ANSWER SECTION:
allegro-blokada.pl.     10800    IN    A    160.153.129.19

;; Received 52 B
;; Time 2020-05-11 14:15:27 CEST
;; From [email protected](UDP) in 63.5 ms
[email protected]:~$

[LiberumVETO]

Quad9 ? Co to ?

[bluszcz]

Quad9 ? Co to ?

Publiczne serwery DNS.

[bluszcz]

Fałszywa strona logowania do poczty Interia:

Kod:

http://poland.com.otake0927.com/pol.com

Kod:

http://www.cupidtoys99.com/admin//model/Interia%20Poczta%20.php

Kod:

$ kdig www.cupidtoys99.com
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 45259
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; www.cupidtoys99.com.        IN    A

;; ANSWER SECTION:
www.cupidtoys99.com.    486    IN    A    118.193.33.145

;; Received 72 B
;; Time 2020-06-06 22:24:04 CEST
;; From [email protected](UDP) in 35.6 ms
$ kdig poland.com.otake0927.com
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 38643
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0

;; QUESTION SECTION:
;; poland.com.otake0927.com.        IN    A

;; ANSWER SECTION:
poland.com.otake0927.com.    523    IN    A    150.95.54.230

;; Received 82 B
;; Time 2020-06-06 22:29:03 CEST
;; From [email protected](UDP) in 46.5 ms

[LiberumVETO]

Te linki nie działają/ virustotal nic nie zgłasza

[bluszcz]

Te linki nie działają/ virustotal nic nie zgłasza

Pierwsza strona przekierowuje na drugą jak wczoraj. Na drugiej rzeczywiście nie widzę panelu logowania.
Wczoraj też sprawdziłem VirusTotal i też według niego czysto. Nie zmienia jednak tego, że to phishing, bo był tam formularz logowania do poczty Interia. Link dostałem na moje konto e-mail założone w Interii z adresu: edytap1967 malpa interia kropka pl oczywiście trzeba usunąć spacje i podstawić odpowiednie znaki.

[LiberumVETO]

virustotal.com nie wykrywa zagrożeń w linkach bo linki nie działają.

[bluszcz]

virustotal.com nie wykrywa zagrożeń w linkach bo linki nie działają.

Jak działały to też nie wykrywał.

[LiberumVETO]

pewnie coś nowego

[tommyklab]

[Malware Pack] 2020-07-10 #269

Treść widoczna jedynie dla zarejestrowanych użytkowników

[zord]

Webroot

232/269 86,24%

I po 3 godzinach:

266/269 98,88

[byku81]

Windows Defender

253/269  94,05%

[slav]

F Secure 263/268

Emsisoft Emergency Kit Scanner 267/268