Outo domaini localhostissa?

Liittynyt
21.08.2022
Viestejä
3
Foliohattu päässäni huomasin juuri, että pystyn pingaamaan outoon domainiin jokaiselta laitteeltani, sekä myös puhelimen 4g verkosta.

Domaini on aliamaz.com ja se resolvaa localhostiin (127.0.0.1), joten jos vaikka pidän xampp testi palvelimen päällä ja laitan tuon domainin url bariin, yhdistyy se testi palvelimeen joka pyörii localhostissa.

Tämä siis tapahtuu myös eri modeemeilla, eri dns:illä sekä eri ip:eillä... Windowsin hosts tiedostossa ei ole mitään mikä liittyy kyseiseen domainiin.

Onko tämä siis normaalia?

aliamaz.jpg
 
Näyttäisi että ihan dns palvelimet antaa tuon aliamazin osoitteeksi tuon 127.0.0.1

Ei kai sitä mikään estä rekisteröimästä domainia yksityiseen osoitteeseen tai täsaä tapauksessa localhostiin.
 
Näyttäisi että ihan dns palvelimet antaa tuon aliamazin osoitteeksi tuon 127.0.0.1

Oho, ei tullut mieleen itse tarkistaa tuota.

Eli ihan normaalia siis :rolleyes:
Ei kyllä hirveästi ennen ole localhostiin yhdistäviä domaineja tullut vastaan.
 
Onpas jännä, esim google antaa kyllä tuolla osoitteella hakutuloksia johonkin kauppapaikkaan mutta itsellänikin resolvautuu localhostiin. Mikähän juttu tuo oikein on?

Eli google-haulla löytyy esimerkiksi tällainen:
Best goods from universe!: Universe of goods
hxxp://aliamaz.com
Universe of goods - Best goods from universe! Free shipping, fast check out!
(linkki tapettu varmuuden vuoksi)
 
Löysinpä syyn miksi tuo domaini tuli vastaan. Eli käytössä oli vanha versio Firefoxin lisäosaan "600% Sound Volume by Aliaksandr" joka yritti yhdistää tuohon domainiin. Näkyi Developer Toolsissa -> Storage -> Cookies kohdassa millä tahansa sivulla.

Tuon poistettua ei enää yritä yhdistää tuohon outoon domainiin, en tiedä oliko jotain haitta koodia, uusimmassa versiossa ei ole tullut vastaan ainakaan vielä.
 
Siellä on tosiaan tuon domainin A-recordissa osoite 127.0.0.1. Mikäänhän tuota ei siihen estä laittamasta.

Koodi:
> set query=A
> aliamaz.com
Server:  one.one.one.one
Address:  1.1.1.1

Non-authoritative answer:
Name:    aliamaz.com
Address:  127.0.0.1
 
Tuollainen localhost on oikeasti aika vaarallinen tai vastaava privaatti-osoitteisiin joten jos oma nimipalvelin tukee olisi hyvä vain estää tälläiset muissa kuin omissa tarvittavissa domaneissa. Näitä käytetty mm. reitittimiin javascript hyökkäyksiin haitallisissa sivuissa.
 
Löysinpä syyn miksi tuo domaini tuli vastaan. Eli käytössä oli vanha versio Firefoxin lisäosaan "600% Sound Volume by Aliaksandr" joka yritti yhdistää tuohon domainiin. Näkyi Developer Toolsissa -> Storage -> Cookies kohdassa millä tahansa sivulla.

Tuon poistettua ei enää yritä yhdistää tuohon outoon domainiin, en tiedä oliko jotain haitta koodia, uusimmassa versiossa ei ole tullut vastaan ainakaan vielä.

Näyttää lähtökohtaisesti vähän epäilyttävältä tuollainen lisäosa. Aikaisemmin se on "kerännyt klikkauksia" tietyille linkeille:

Ja kun googlaa tuolla lisäosan nimellä, se tulee vastaan niin monessa paikassa niin ylettömän positiivisesti "arvosteltuna" että herää epäilys arvostelujen aitoudesta.
Ilmeisesti sama valkovenäläinen tekijä on tehnyt vastaavan lisäosan myös Chromelle ja Edgelle, mutta ainakin Chrome-versio näyttää olevan arvosteltu pohjamutiin (vai olisiko Google onnistunut suodattamaan feikkiarvostelut Chrome-lisäosasivustolta Firefoxin vastaavaa paremmin?).

Tuo domainnimi "aliamaz.com" näyttää yhdistelmältä Aliexpressiä ja Amazonia, joten pahimmassa tapauksessa tuossa lisäosassa voi piileskellä proxy joka yrittää kaapata Aliexpressin ja/tai Amazonin käyttäjätunnuksia ja salasanoja. Jos käyttäjä yrittää olla valveutunut ja seuraa mihin kaikkialle selain on ottamassa yhteyttä, näihin kauppapaikkoihin mentäessä voi näkyä logissa nimi "aliamaz.com" joka saattaa harhauttaa käyttäjän luulemaan että kaikki on kunnossa... vaikka itse asiassa verkkokauppaan kirjautuminen kierrätetään uhrin koneessa pyörivän haittaproxyn läpi, jolloin proxy saa verkkokaupan salasanan ja tunnuksen selväkielisenä, ja voi lähettää ne eteenpäin mihin tahansa.

Jos jonkun videon äänenvoimakkuutta voi digitaalisesti kasvattaa 600% ilman että ääni leikkautuu pahasti, videon tekijä on yksiselitteisesti mokannut äänitason kanssa videota koodatessa ja äänenlaatu on todennäköisesti muutenkin surkeaa. Jos taas lisäosa säätää äänikortin analogisen ulostulon voimakkuutta, se ei tee mitään mitä ei voisi tehdä ihan käyttöjärjestelmän omaa äänenvoimakkuussäädintä käyttämällä. Kun tietää tämän, tuo lisäosa alkaa vahvasti vaikuttamaan vähintäänkin turhakkeelta.

Tuollainen localhost on oikeasti aika vaarallinen tai vastaava privaatti-osoitteisiin joten jos oma nimipalvelin tukee olisi hyvä vain estää tälläiset muissa kuin omissa tarvittavissa domaneissa. Näitä käytetty mm. reitittimiin javascript hyökkäyksiin haitallisissa sivuissa.

Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.
 
Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.

Voit poistaa DoH käytöstä mikäli haluat selaimesi asetuksista.
 
Voit poistaa DoH käytöstä mikäli haluat selaimesi asetuksista.
Onko yhden potentiaalisen uhan poistaminen toisen uhan arvoista?

Sinänsä tuohon localhostiin voi haittakoodissa kyllä viitata ihan sillä localhostillakin, ei siihen dns nimeä tarvii
 
Koska nykyisin selaimet yhä enemmän käyttävät omia DNS-over-HTTPS tai DNS-over-TLS ratkaisujaan ja ohittavat näin käyttöjärjestelmään konfiguroidut nimipalvelimet, tällaisen eston toteuttaminen ei välttämättä olekaan enää ihan niin yksinkertaista.
Chrome, Edge ja ainakin Firefox taitavat yhä oletusasetuksilla käyttää käyttäjän/DHCP:n määrittelemiä DNS-palvelimia. Toki DoH ja DoT ovat tuettuna, mutta ainakin toistaiseksi niiden käyttäminen vaati oletusasetusten muuttamista.
 

Statistiikka

Viestiketjuista
258 402
Viestejä
4 489 882
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom