[Linux] LuckyPapa.top

W Firefoksie, ze stron powiązanych z WP.PL, przekierowuje mnie na LuckyPapa. Jako, że to nie jest Windows, to nie mogłem zamieścić logów z FRST. Dotyczy to wyłącznie stron powiązanych z WP.PL.
Tutaj zamieściłem poprzedni temat: Błąd wczytywania komentarzy - #6 przez Radek68 . W dodatku, to nie mam dostępu do systemu komentarzy.
To nie jest raczej związane z przeglądarką (spis rozszerzeń wygląda normalnie; ostatnia pozycja to moje własne rozszerzenie):

Sprawdzałem w hosts.deny (by upewnić się, że nie działanie komentarzy nie jest spowodowane zawartością tego pliku - nie sprawdzałem w narzędziach debugowania przeglądarki w sekcji sieć, z czym się łączy, bo to nie miało sensu), jak również w hosts, by się przekonać, czy nie mam podmienionego aliasu na jakieś dziwne IP. Spingowałem wp.pl od siebie z kompa i z mojego serwera ssh, by sprawdzić czy mam ten sam adres. Sprawdziłem też resolv.conf i serwer dns widnieje pod bramą domyślną - 192.168.0.1 .

Nie jestem specjalistą od bezpieczeństwa, ale co mogłem, to sprawdziłem. Wątpię, by to było coś na kompie. Raczej coś mogło mi zainfekować router, albo coś z serwerem WP jest nie tak. Nie mniej, będę wdzięczny za okazaną pomoc - trzeba sprawdzić wszystko.

Zapoznałem się z tą stroną: https://malwaretips.com/blogs/remove-luckypapa-top/ . Przekierowywać może na LuckyPapa zainfekowany komp, m.in rozszerzenia, albo jakiś wirus. Nie mniej, to nie ma instrukcji dla Linuksa.

slawomir@localhost:~/.mozilla> find . -iname * -exec grep -Hi lucky {} ; 2> /dev/null > wynik-stronka

Nie ma sensu wklejać wynik-stronka. Nic nie znaleziono, choć może źle szukałem? Programiści mogli użyć różnych oszustw, jak różnych sposobów konkadenacji znaków adresu docelowego (LuckyPapa.top).

about:profiles

Zrób nowy profil i potestuj.

Linux to dośc oględne okreslenie.
Ale nawet jego dystrybucje mają dostęp do AV różnych producentów.
Jaki problem jakąś zainstalować i sprawdzić system.
Można również zainstalować inna przegladarkę i sprawdzić czy to samo sie dzieje
Można ewentualnie zajrzeć tu.

Tak. OpenSUSE Tumbleweed + Wszystkie aktualizacje z głównego repo. Część programów to Flatpaki u mnie. Pamiętam, że raz FF nie chciał chodzić, więc zainstalowałem Flatpaka, ale zwykły zaczął, więc odinstalowałem tego z Flathub.

Dzięki, przeczytam.

Spróbowałbym wykluczyć ingerencję w DNS (systemu czy routera) włączając DNS-over-HTTPS w przeglądarce.

Też myślałem o przejęciu routera i ingerencję w odpowiedzi DNS, ale nie spodziewałem się, że protokół jest na tyle stary, że leci czystym tekstem. Ustawione… Może nawet ktoś w PLUS zainstalował jakiegoś badware, co niekiedy zwraca rekord ALIAS (?) .

raczej mało prawdopodobne, to by była gruba sprawa…

Proponowałbym ustawić Quad9 → https://www.quad9.net
Dla DoH w przeglądarce będzie to „https://dns.quad9.net/dns-query”.

Strona jest na liście blokad nałożonych przez CERT Polska.

Zmień swoje rozszerzenie blokujące reklamy na uBlock Origin (+ filtry).


1 polubienie

Po ustawieniu na DNS over HTTPS problem zniknął. Teraz muszę utworzyć nowy profil FF w celu sprawdzenia, czy problem pojawi się ponownie.

To nie sprawka Twojej przeglądarki. :wink:

„Allegro, OLX, Gazeta, WP (w tym serwis Sportowe Fakty). To potwierdzone witryny, przy korzystaniu z których potrafiła nagle „wyskoczyć” strona z informacją o rzekomej wygranej. Skąd? Stawiamy na wstrzyknięcia z sieci reklamowych.” - CERT Orange Polska.

Wiedziałem, że to nie u mnie, a raczej na wp. Szczególnie, że na wielu stronach należących do wp się to działo, a na pozostałych jakoś nie.

Dzięki.
Temat do zamknięcia.