Outo domaini localhostissa?

[jjenna986]

Foliohattu päässäni huomasin juuri, että pystyn pingaamaan outoon domainiin jokaiselta laitteeltani, sekä myös puhelimen 4g verkosta.

Domaini on aliamaz.com ja se resolvaa localhostiin (127.0.0.1), joten jos vaikka pidän xampp testi palvelimen päällä ja laitan tuon domainin url bariin, yhdistyy se testi palvelimeen joka pyörii localhostissa.

Tämä siis tapahtuu myös eri modeemeilla, eri dns:illä sekä eri ip:eillä... Windowsin hosts tiedostossa ei ole mitään mikä liittyy kyseiseen domainiin.

Onko tämä siis normaalia?

 

[Pakana]

Näyttäisi että ihan dns palvelimet antaa tuon aliamazin osoitteeksi tuon 127.0.0.1

Ei kai sitä mikään estä rekisteröimästä domainia yksityiseen osoitteeseen tai täsaä tapauksessa localhostiin.

 

[jjenna986]

Näyttäisi että ihan dns palvelimet antaa tuon aliamazin osoitteeksi tuon 127.0.0.1

Oho, ei tullut mieleen itse tarkistaa tuota.

DNS Checker - DNS Check Propagation Tool

Check DNS Propagation worldwide. DNS Checker provides name server propagation check instantly. Changed nameservers so do a DNS lookup and check if DNS and nameservers have propagated.

dnschecker.org

Eli ihan normaalia siis
Ei kyllä hirveästi ennen ole localhostiin yhdistäviä domaineja tullut vastaan.

 

[Hyrava]

Onpas jännä, esim google antaa kyllä tuolla osoitteella hakutuloksia johonkin kauppapaikkaan mutta itsellänikin resolvautuu localhostiin. Mikähän juttu tuo oikein on?

Eli google-haulla löytyy esimerkiksi tällainen:
Best goods from universe!: Universe of goods
hxxp://aliamaz.com
Universe of goods - Best goods from universe! Free shipping, fast check out!
(linkki tapettu varmuuden vuoksi)

 

[jjenna986]

Löysinpä syyn miksi tuo domaini tuli vastaan. Eli käytössä oli vanha versio Firefoxin lisäosaan "600% Sound Volume by Aliaksandr" joka yritti yhdistää tuohon domainiin. Näkyi Developer Toolsissa -> Storage -> Cookies kohdassa millä tahansa sivulla.

Tuon poistettua ei enää yritä yhdistää tuohon outoon domainiin, en tiedä oliko jotain haitta koodia, uusimmassa versiossa ei ole tullut vastaan ainakaan vielä.

 

[Desgorr]

Siellä on tosiaan tuon domainin A-recordissa osoite 127.0.0.1. Mikäänhän tuota ei siihen estä laittamasta.

> set query=A
> aliamaz.com
Server:  one.one.one.one
Address:  1.1.1.1

Non-authoritative answer:
Name:    aliamaz.com
Address:  127.0.0.1

 

[olkitu]

Tuollainen localhost on oikeasti aika vaarallinen tai vastaava privaatti-osoitteisiin joten jos oma nimipalvelin tukee olisi hyvä vain estää tälläiset muissa kuin omissa tarvittavissa domaneissa. Näitä käytetty mm. reitittimiin javascript hyökkäyksiin haitallisissa sivuissa.

 

[telcoM]

Löysinpä syyn miksi tuo domaini tuli vastaan. Eli käytössä oli vanha versio Firefoxin lisäosaan "600% Sound Volume by Aliaksandr" joka yritti yhdistää tuohon domainiin. Näkyi Developer Toolsissa -> Storage -> Cookies kohdassa millä tahansa sivulla.

Tuon poistettua ei enää yritä yhdistää tuohon outoon domainiin, en tiedä oliko jotain haitta koodia, uusimmassa versiossa ei ole tullut vastaan ainakaan vielä.

Näyttää lähtökohtaisesti vähän epäilyttävältä tuollainen lisäosa. Aikaisemmin se on "kerännyt klikkauksia" tietyille linkeille:

Reddit - Dive into anything

www.reddit.com

Ja kun googlaa tuolla lisäosan nimellä, se tulee vastaan niin monessa paikassa niin ylettömän positiivisesti "arvosteltuna" että herää epäilys arvostelujen aitoudesta.
Ilmeisesti sama valkovenäläinen tekijä on tehnyt vastaavan lisäosan myös Chromelle ja Edgelle, mutta ainakin Chrome-versio näyttää olevan arvosteltu pohjamutiin (vai olisiko Google onnistunut suodattamaan feikkiarvostelut Chrome-lisäosasivustolta Firefoxin vastaavaa paremmin?).

Tuo domainnimi "aliamaz.com" näyttää yhdistelmältä Aliexpressiä ja Amazonia, joten pahimmassa tapauksessa tuossa lisäosassa voi piileskellä proxy joka yrittää kaapata Aliexpressin ja/tai Amazonin käyttäjätunnuksia ja salasanoja. Jos käyttäjä yrittää olla valveutunut ja seuraa mihin kaikkialle selain on ottamassa yhteyttä, näihin kauppapaikkoihin mentäessä voi näkyä logissa nimi "aliamaz.com" joka saattaa harhauttaa käyttäjän luulemaan että kaikki on kunnossa... vaikka itse asiassa verkkokauppaan kirjautuminen kierrätetään uhrin koneessa pyörivän haittaproxyn läpi, jolloin proxy saa verkkokaupan salasanan ja tunnuksen selväkielisenä, ja voi lähettää ne eteenpäin mihin tahansa.

Jos jonkun videon äänenvoimakkuutta voi digitaalisesti kasvattaa 600% ilman että ääni leikkautuu pahasti, videon tekijä on yksiselitteisesti mokannut äänitason kanssa videota koodatessa ja äänenlaatu on todennäköisesti muutenkin surkeaa. Jos taas lisäosa säätää äänikortin analogisen ulostulon voimakkuutta, se ei tee mitään mitä ei voisi tehdä ihan käyttöjärjestelmän omaa äänenvoimakkuussäädintä käyttämällä. Kun tietää tämän, tuo lisäosa alkaa vahvasti vaikuttamaan vähintäänkin turhakkeelta.

Tuollainen localhost on oikeasti aika vaarallinen tai vastaava privaatti-osoitteisiin joten jos oma nimipalvelin tukee olisi hyvä vain estää tälläiset muissa kuin omissa tarvittavissa domaneissa. Näitä käytetty mm. reitittimiin javascript hyökkäyksiin haitallisissa sivuissa.

Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.

 

[olkitu]

Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.

Voit poistaa DoH käytöstä mikäli haluat selaimesi asetuksista.

 

[Pakana]

Voit poistaa DoH käytöstä mikäli haluat selaimesi asetuksista.

Onko yhden potentiaalisen uhan poistaminen toisen uhan arvoista?

Sinänsä tuohon localhostiin voi haittakoodissa kyllä viitata ihan sillä localhostillakin, ei siihen dns nimeä tarvii

 

[escalibur]

Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.

Chrome, Edge ja ainakin Firefox taitavat yhä oletusasetuksilla käyttää käyttäjän/DHCP:n määrittelemiä DNS-palvelimia. Toki DoH ja DoT ovat tuettuna, mutta ainakin toistaiseksi niiden käyttäminen vaati oletusasetusten muuttamista.