8/1/2011
Jednen z naszych czytelników, Łukasz, informuje, że bangladeskie Google zostało zaatakowane. Firma do tej pory nie wystosowała oficjalnego stanowiska. Nie podejrzewamy jednak aby atakujący znalazł na serwerach Google jakąś dziurę — wszystko wskazuje zwykłe zatrucie części DNS-u.
Google Bangladesh OwN3D by TiGER-M@TE
My obecnie pod http://google.com.bd widzimy normalną stornę Google. Nasze DNS-y tak rozwiązują tę domenę:
niebezpiecznik$ host google.com.bd
google.com.bd has address 74.125.230.82
[poll id=”18″]
Osoby, które ciągle widzą zmodyfikowaną przez atakującego wersję Google, posiadają inny wpis w DNS-ach, wskazujący na serwer hostowany w Albany, USA. To sugeruje, że atak tak naprawdę nie został wymierzony w serwery Google, a w któryś z serwerów DNS domeny:
google.com.bd has address 173.233.68.2
Jak jest u Was? Nie zapomnijcie o wrzceniu w komentarz wyniku polecenia dig lub nslookup lub host wykonanego na google.com.bd
Czyli jednym słowem “atak” “hakera”?
U mnie narazie widać zhackowaną stronę :)
Nslookup daje:
Serwer: 224-160.mm.pl
Address: 217.172.224.160
Nieautorytatywna odpowiedź:
Nazwa: google.com.bd
Address: 173.233.68.2
błąd w temacie
Cache Bing’a (gdyby Google zdjęło swój): http://cc.bingj.com/cache.aspx?q=tiger-m%40te&d=68924869027&mkt=en-ww&setlang=en-US&w=248c07dc,713e14d8 ;)
Sądząc po jego deface’ach ( http://www.zone-h.org/archive/notifier=TiGER-M@TE – głównie masowe), wygląda na to, że specjalizuje się w “zabawie” z DNSami ;)
nslookup wypluwa mi coś takiego:
Non-authoritative answer:
Name: google.com.bd
Addresses: 66.102.13.103
66.102.13.147
66.102.13.105
66.102.13.99
66.102.13.106
66.102.13.104
U mnie podmieniona z miłą muzyczką :)
Nslookup:
Server: UnKnown
Address: 192.168.1.1
Nieautorytatywna odpowiedź:
Name: google.bagladesh.com
Addresses: 75.126.240.131
67.228.205.131
Miła muzyczka owszem, ale i okno przeglądarki robi bardzo ładne kółeczko przy wczytaniu strony :)
ja dalej widze hacka
nieautoryzowana odpowiedż
Nazwa: google.com.bd
Addressess: 74.125.230.83
74.125.230.84
74.125.203.81
74.125.230.82
krzysiek@nb:~$ host google.com.bd
google.com.bd has address 173.194.37.104
google.com.bd mail is handled by 10 google.com.s9a1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b2.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a2.psmtp.com.
krzysiek@nb:~$ nslookup google.com.bd
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
Name: google.com.bd
Address: 173.194.37.104
krzysiek@nb:~$ cat /etc/resolv.conf
nameserver 208.67.222.222
nameserver 208.67.220.220
Wyciągnijmy wnioski.
na dns astera jeszcze wisi
; DiG 9.7.1-P2 http://www.google.com.bd @212.76.34.50
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 34794
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.com.bd. IN A
;; ANSWER SECTION:
http://www.google.com.bd. 1444 IN CNAME google.com.bd.
google.com.bd. 1445 IN A 173.233.68.2
;; AUTHORITY SECTION:
google.com.bd. 73445 IN NS ns24b.turnkeywebspace.com.
google.com.bd. 73445 IN NS ns24a.turnkeywebspace.com.
;; Query time: 9 msec
;; SERVER: 212.76.34.50#53(212.76.34.50)
;; WHEN: Sat Jan 8 18:31:03 2011
;; MSG SIZE rcvd: 124
Widzę stronę hakera.
nslookup google.com.bd
Server: 157.158.171.254
Address: 157.158.171.254#53
Non-authoritative answer:
Name: google.com.bd
Address: 173.233.68.2
potwierdzam, ffox zatacza kółko ;)
nslookup google.com.bd
Serwer: pl-waw4a-dns04.chello.pl
Address: 62.179.1.63
Nieautorytatywna odpowied«:
Nazwa: google.com.bd
Addresses: 66.102.13.105, 66.102.13.103, 66.102.13.99, 66.102.13.147
66.102.13.106, 66.102.13.104
[kwpolska@kwpolska-lin ~]$ nslookup google.com.bd
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: google.com.bd
Address: 74.125.230.82
Name: google.com.bd
Address: 74.125.230.80
Name: google.com.bd
Address: 74.125.230.83
Name: google.com.bd
Address: 74.125.230.81
Name: google.com.bd
Address: 74.125.230.84
[kwpolska@kwpolska-lin ~]$
u mnie działa prawidłowo http://www.google.com.bd/ działa :)
jaki tytuł ma ta muzyczka i kto jest wykonawca ??
Serwer: dns1.vectranet.pl
Address: 82.139.8.7
Nieautorytatywna odpowied«:
Nazwa: google.com.bd
Address: 173.233.68.2
Ta bardzo ładna muzyczka to to: http://64.131.74.215/dating_forum/cache/movie/0wn3d.swf
Nawet przyjemna, niestety tylko z cache zhakerowana strona się u mnie wyświetla.
Tutaj strona wyglada normalnie:
http://img20.imageshack.us/img20/3502/snapshot037m.png
[andrzejl@wishmacer ~]$ host google.com.bd
google.com.bd has address 173.194.37.104
google.com.bd mail is handled by 10 google.com.s9b1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b2.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a2.psmtp.com.
[andrzejl@wishmacer ~]$ dig google.com.bd
; <> DiG 9.7.2-P3 <> google.com.bd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28679
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;google.com.bd. IN A
;; ANSWER SECTION:
google.com.bd. 272 IN A 173.194.37.104
;; AUTHORITY SECTION:
google.com.bd. 86023 IN NS ns3.google.com.
google.com.bd. 86023 IN NS ns4.google.com.
google.com.bd. 86023 IN NS ns2.google.com.
;; Query time: 7 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Sat Jan 8 18:32:59 2011
;; MSG SIZE rcvd: 111
[andrzejl@wishmacer ~]$
Pozdrawiam.
Andrzej
Non-authoritative answer:
Name: google.com.bd
Addresses: 74.125.230.84
74.125.230.81
74.125.230.80
74.125.230.83
74.125.230.82
Microsoft Windows [Wersja 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.
C:\Users\Dawid>nslookup google.com.bd
Serwer: google-public-dns-a.google.com
Address: 8.8.8.8
Nieautorytatywna odpowiedź:
Nazwa: google.com.bd
Address: 173.194.37.104
___
Mam normalne Google…
Korzystam z OpenDNS i strona wygląda normalnie.
Serwer: RT-0026f2cb34b0
Address: 10.10.9.1
Nieautorytatywna odpowiedź:
Nazwa: google.com.bd
Addresses: 209.85.149.104
209.85.149.99
209.85.149.103
209.85.149.106
209.85.149.147
209.85.149.105
C:\Users\Tomecek
This Account Has Been Suspended u mnie jest to zamiast strony
host google.com.bd
google.com.bd has address 209.85.148.147
google.com.bd has address 209.85.148.99
google.com.bd has address 209.85.148.103
google.com.bd has address 209.85.148.104
google.com.bd has address 209.85.148.105
google.com.bd has address 209.85.148.106
google.com.bd mail is handled by 10 google.com.s9b2.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a2.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b1.psmtp.com.
Nieautorytatywna odpowiedź:
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Serwer: UnKnown
Address: 192.168.1.1
Nazwa: google.com.bd
Addresses: 74.125.39.104
74.125.39.105
74.125.39.103
74.125.39.147
74.125.39.99
74.125.39.106
Banglijskie google, banglijskie
motionplanetbd.com/index.html.bak920
także podmieniona :)
ten skrypt jest super , nieźle denerwuje ludzi jak otwieraja taką strone :)
skad ja to znam hmm :)
nslookup google.com.bd
Server: 89.248.166.198
Address: 89.248.166.198#53
Non-authoritative answer:
Name: google.com.bd
Address: 66.102.13.106
Name: google.com.bd
Address: 66.102.13.103
Name: google.com.bd
Address: 66.102.13.147
Name: google.com.bd
Address: 66.102.13.99
Name: google.com.bd
Address: 66.102.13.104
Name: google.com.bd
Address: 66.102.13.105
nslookup google.com.bd
Server: 62.179.1.62
Address: 62.179.1.62#53
Non-authoritative answer:
Name: google.com.bd
Address: 74.125.79.104
Name: google.com.bd
Address: 74.125.79.99
Name: google.com.bd
Address: 74.125.79.147
nslookup google.com.bd
Server: 83.142.61.130
Address: 83.142.61.130#53
Non-authoritative answer:
Name: google.com.bd
Address: 209.85.148.99
Name: google.com.bd
Address: 209.85.148.103
Name: google.com.bd
Address: 209.85.148.104
Name: google.com.bd
Address: 209.85.148.105
Name: google.com.bd
Address: 209.85.148.106
Name: google.com.bd
Address: 209.85.148.147
w wszystkich trzech powyższych przypadkach strona wygląda normalnie – jest OK
u mnie jest normalna strona googla
zajrzałem za to do tego cache, jest tam taki link: http://64.131.74.215/dating_forum/cache/movie/0wn3d.swf – cóż ten ‘haker’ ma wspólnego z randkami? :P
Może na tym portalu randkowym robi z niczego kase? ;) Albo też się włamał by muzykę mieć w “głębokim ukryciu”.
Ta ankieta i wrzucenie diga w komentarz to prawie jak “wpisujcie miasta!” z onetu ;)
Na DNSie tepsy jest dalej podmieniony wpis:
dotnokato@none:~$ nslookup google.com.bd
Server: 194.204.159.1
Address: 194.204.159.1#53
Non-authoritative answer:
Name: google.com.bd
Address: 173.233.68.2
I jeszcze:
dotnokato@none:~$ dig google.com.bd
(…)
;; ANSWER SECTION:
google.com.bd. 14362 IN A 173.233.68.2
;; AUTHORITY SECTION:
google.com.bd. 43363 IN NS ns24b.turnkeywebspace.com.
google.com.bd. 43363 IN NS ns24a.turnkeywebspace.com.
(…)
http://img826.imageshack.us/img826/9527/20110108224946.jpg – a u mnie nie działa poprawnie. Niestety mój isp na siłe forwarduje zapytania dns na jakieś szalone serwery dns i tak to wygląda.
@atom,mam teraz to samo,lecz ta strone działała dobrze tak gdzies do 20:00 :)
Mi daje takie cos:
nslookup google.com.bd
*** Nie moľna znale«┼ nazwy serwera dla adresu 192.168.1.1: Non-existent domain.
*** Domy_lne serwery nie sĄ dostcpne.
Serwer: UnKnown
Address: 192.168.1.1
Nieautorytatywna odpowied«:
Nazwa: google.com.bd
Addresses: 74.125.43.103, 74.125.43.104, 74.125.43.105, 74.125.43.106
74.125.43.147, 74.125.43.99
; <> DiG 9.7.0-P1 <> google.com.bd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58582
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.com.bd. IN A
;; ANSWER SECTION:
google.com.bd. 8055 IN A 173.233.68.2
;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Jan 8 23:23:29 2011
;; MSG SIZE rcvd: 47
W przeglądarce komunikat: This Account Has Been Suspended
dig @62.179.1.63 google.com.bd
google.com.bd. 155 IN A 66.102.13.147
google.com.bd. 155 IN A 66.102.13.99
google.com.bd. 155 IN A 66.102.13.103
google.com.bd. 155 IN A 66.102.13.105
google.com.bd. 155 IN A 66.102.13.106
google.com.bd. 155 IN A 66.102.13.104
dig @62.179.1.62 google.com.bd
google.com.bd. 300 IN A 74.125.79.104
google.com.bd. 300 IN A 74.125.79.147
google.com.bd. 300 IN A 74.125.79.99
Root-serwery odpowiadają dobrze.
Chello w pl schodzi na psy.
Może redakcja N poruszy temat limitowania p2p dla *.dynamic.chello.pl
Ewentualnie jak wykonać WIARYGODNY test?
Nazwa: google.com.bd
Addresses: 74.125.43.103
74.125.43.104
74.125.43.105
74.125.43.106
74.125.43.147
74.125.43.99
[lysysoft@kolejorz ~]$ dig google.com.bd
;; QUESTION SECTION:
;google.com.bd. IN A
;; ANSWER SECTION:
google.com.bd. 89 IN A 209.85.135.99
google.com.bd. 89 IN A 209.85.135.103
google.com.bd. 89 IN A 209.85.135.104
google.com.bd. 89 IN A 209.85.135.105
google.com.bd. 89 IN A 209.85.135.106
google.com.bd. 89 IN A 209.85.135.147
;; AUTHORITY SECTION:
google.com.bd. 505 IN NS ns3.google.com.
google.com.bd. 505 IN NS ns1.google.com.
google.com.bd. 505 IN NS ns2.google.com.
;; ADDITIONAL SECTION:
ns3.google.com. 574 IN A 216.239.36.10
ns1.google.com. 574 IN A 216.239.32.10
ns2.google.com. 574 IN A 216.239.34.10
U mnie na domyślnych DNS-ach TP jest ok. W przeglądarce również działa.
—–
pscorek@ursus:/> host google.com.bd
google.com.bd has address 74.125.43.103
google.com.bd has address 74.125.43.99
google.com.bd has address 74.125.43.147
google.com.bd has address 74.125.43.105
google.com.bd has address 74.125.43.106
google.com.bd has address 74.125.43.104
google.com.bd mail is handled by 10 google.com.s9a1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b1.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9b2.psmtp.com.
google.com.bd mail is handled by 10 google.com.s9a2.psmtp.com.
pscorek@ursus:/> nslookup google.com.bd
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
Name: google.com.bd
Address: 74.125.43.104
Name: google.com.bd
Address: 74.125.43.103
Name: google.com.bd
Address: 74.125.43.99
Name: google.com.bd
Address: 74.125.43.147
Name: google.com.bd
Address: 74.125.43.105
Name: google.com.bd
Address: 74.125.43.106
pscorek@ursus:/> dig google.com.bd
; <> DiG 9.6.1-P3 <> google.com.bd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<
Jasne watta, pokolenie NEO ;) Myślę że komentarze powinny pozostać nieruszone, bo piękny tutorial można z nich zrobić “jak używać nslookup czy dig”.
Tak naprawdę to tytuł naciągany, przynajmniej jak już teraz wiadomo co się stało. Koleś się włamał do BTCL dla .bd i zmienił nsy wielu stronom, między innymi Google (innymi słowy, Google nie było jedyne).
http://www.banglanews24.com/detailsnews.php?nssl=680c256fb6e2c27e27a9d268e8379690&nttl=2011010824237
wskazywalo na serwer hostowany w Albany (miasto) w USA (panstwo), a nie w Albani (panstwo)
Widzę, że nikt nie zrobił screena dla potomności, tak więc jakby się już ktoś nie załapał na cache google, czy binga to: http://fotowrzut.pl/CCAOVEKYL5
w takim razie czy np gdyby przekierowywało do fikcyjnej strony gmaila to dało by się wykraść hasla:>?
U mnie jest OK.
209.85.148.105,
209.85.148.106,
209.85.148.147,
209.85.148.99,
209.85.148.103,
209.85.148.104
Tu lista wszystkich hostów dotkniętych zatruciem DNS
http://www.robtex.com/ip/173.233.68.2.html
Nazwa: ey-in-f147.1e100.net
Address: 74.125.79.147
U mnie jest Ok, oto log z nslookup :
Name: google.com.bd
Addresses: 74.125.79.99
74.125.79.104
74.125.79.147
Ja dostaję: 74.125.230.* więc jest ok (oni to chyba całą pulę mają… bo rózne te ipiki widzę za każdym razem. Lamersko bo ping’iem sprawdzałem, ale działa.
Korzystam z OpenDNS
U mnie wyświetla się skrypt cgi informujący: This Account Has Been Suspended
; <> DiG 9.6-ESV-R3 <> google.com.bd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8512
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 3, ADDITIONAL: 3
;; QUESTION SECTION:
;google.com.bd. IN A
;; ANSWER SECTION:
google.com.bd. 300 IN A 66.102.13.106
google.com.bd. 300 IN A 66.102.13.147
google.com.bd. 300 IN A 66.102.13.99
google.com.bd. 300 IN A 66.102.13.103
google.com.bd. 300 IN A 66.102.13.104
google.com.bd. 300 IN A 66.102.13.105
;; AUTHORITY SECTION:
google.com.bd. 86400 IN NS ns2.google.com.
google.com.bd. 86400 IN NS ns4.google.com.
google.com.bd. 86400 IN NS ns3.google.com.
;; ADDITIONAL SECTION:
ns2.google.com. 287611 IN A 216.239.34.10
ns3.google.com. 287297 IN A 216.239.36.10
ns4.google.com. 289183 IN A 216.239.38.10
;; Query time: 275 msec
a mi dziś, tj. 10 sty 2011
na DNS’ie TPSA
Serwer: google.com.bd
Addresses: 74.125.230.81, 74.125.230.80, 74.125.230.83, 74.125.230.82, 74.125.230.84
DNS request timed out.
timeout was 2 seconds.
*** Up_ynĄ_ limit czasu dla ľĄdania do google.com.bd.
Mam nadzieję, że komentarz jest wg Was na temat. Otóż przymiotnik odrzeczownikowy brzmi BENGALSKI a nie BANGLADESKI.
http://pl.wikipedia.org/wiki/Bangladesz oraz słownik języka polskiego są spójne w tej materii, ale jeszcze sprawdźcie jeśli nie macie takiej pewności.
Nie jest to wycieczka osobista, a raczej uwaga, mająca na celu dbanie o nasz piękny język, jak również o szacunek dla BENGALCZYKÓW żyjących w Polsce i czytających niebezpiecznik.
Pozdrowienia