[Techinfo] Fwd: Firefox, Chrome: Felrevezeto oldal

Fodor Zsolt fzs1969 at gmail.com
2019. Feb. 18., H, 22:17:42 CET 

Üdv Mindenkinek!

Ma 10:30-kor több kollégát a fenti üzenet fogadta szép piros alapon.
A Google Safe Browsing "üzent" így: "A Firefox blokkolta az oldalt, mert
megpróbálhatja veszélyes tevékenységre rávenni, például..." A részleteknél
tényleg veszélyesként van megítélve az oldal.

A jelzett cím egy webszerverre mutat, ami kb. 2 tucat kolléga által
használt ősi webes openwebmail (2.53) levelező kliensé. Más szolgáltatás és
más adat ott nincs.

Ha megnézem a
https://transparencyreport.google.com/safe-browsing/search?url=x.y.hu -t,
akkor tényleg azt mondja, hogy
----
Jelenlegi állapot
*warning* A webhely bizonyos oldalai nem biztonságosak

A(z) x.y.hu webhelyen káros tartalom található, köztük olyan oldalak,
amelyek:

   - Személyes információ megosztására vagy szoftver letöltésére próbálják
   rávenni a látogatókat

Lehetséges, hogy a kockázatosnak ítélt tartalom csak a webhely bizonyos
oldalain jelenik meg. Ha részletesebb biztonsági információkat szeretne
kapni, ellenőrizze a meglátogatni kívánt címtár vagy weboldal URL-jét.
----

Az apache logban nem igazán találtam érdekeset, voltak próbálkozások, de
semmi érdemi. A gép a 80-as porton elérhető, de csak átdobja az érkezőt a
https-es címre.

Az ssl_access logot megtisztítottam (az utolsó 2 nap tekintetében) az
ismert felhasználóktól, maradt 267 sor. Ebből gyanús 231+4+1 sor volt.

A 231 sor
146.148.115.29
ip-ről jött, ami
canonical name 29 <http://www.29.115.148.146.bc.googleusercontent.com/>.115
<http://www.115.148.146.bc.googleusercontent.com/>.148
<http://www.148.146.bc.googleusercontent.com/>.146
<http://www.146.bc.googleusercontent.com/>.bc
<http://www.bc.googleusercontent.com/>.googleusercontent.com
<http://www.googleusercontent.com/>.
volt. Ezek nem böngészőtől, hanem python scripttől származtak.
python-requests/2.18.4

A 236 gyanús sorból 231 404-et, 1 403-at, 3 405-öt kapott válaszul. 1 darab
volt, amit kiszolgált a szerver, de az a nyitólapot kérte le.
Ez lett volna valami teszt? 191 esetben zip, 36-szor txt fájlt próbáltak
letölteni. Volt még 1-1 rar, 7z és lekérték a belépő oldalt is.

A log mellett fájlok tekintetében semmilyen gyanús dolgot nem láttam.

Az utóbbi 5 évben egy CMS-sel volt problémám.

Volt már valakinek hasonló esete? Mennyire lehet hinni a jelzésnek? A
fentiek mellett mit nézzek meg?

Üdv: Fodor Zsolt
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20190218/90ef195a/attachment.html>

További információk a(z) Techinfo levelezőlistáról