dns劫持的问题发现和处理

Cristy

公司是需要v皮en登录的，是内网。内网配置host对应某个域名进行访问，外网查是有这个域名的，但是我们配置了host应该是不会访问到别人的网站下。

这个我也不知道是不是dns劫持，只是感觉像    ， 最近两周发现该域名的 某个端口A 会跳转到颜色网/度播网站， 只有这一个常用的web页面端口发现这个问题   另一个端口B 是统一认证登录门户页面  。 B端口目前没有这个情况 ，A端口情况比较频繁


也不止我一台电脑，旁边其他人的电脑（v屁en 通过不同的账户登录）都出现过这个情况。


我猜测是dns劫持 但是不知道是哪一层  我们没法动V屁en网络层 也没法动这个web页面的后台，仅从使用者的角度，我如何规避这个问题，如何在本机和本地路由器的内部网络这个范围内查找问题和解决问题。


请大佬给出排查思路和方案。我们只能动我们使用者的这个层面，无法动v皮en  也没法动访问的这个web服务后台。



网站名为 iuiu 这个网站


域名已经截图给出【非宣传，只解决此问题，其余内容全部打码】

kid2man

你公司的host配置在出口网关上，还是在各个员工机的系统里的host文件？
如果是采用员工机器本地加载host，那倾向于安装的（相信你们公司应该批量装的）操作系统内有这类广告aff内置劫持程序（特别是三方ghost系统）。
如果这个host在网关上，那要查查网关是否遭到入侵。
本地的优先级 > 网关
然后 host > 浏览器自带的dns（数字、firefox、edge都能配置内置的dns） > 系统层面的 dns > （*WAN口的dns（host）>） 网关的host或dns

*的wan口 可以是同一个区域的一个交换机，次交换机接入公司网关。

choujie1689

如果web页面的后台被挂马被黑了，那就有这个情况，如果web后台没问题，或者就是v皮的问题了

kid2man

增补：
定制网关往往自带后门，例如三方的基于Linux改的网关，此外还有公司本身网关的系统出厂bug就多，例如磊科，去官网看看有没有固件更新，如果有，更新之。

Cristy

kid2man 发表于 2024-11-4 20:42
你公司的host配置在出口网关上，还是在各个员工机的系统里的host文件？
如果是采用员工机器本地加载host， ...

我们的host是各个员工自己的电脑 在本地配置的 。  也不是一开始就有。而且有的人是新电脑也出现了这个情况

DD0515

个人觉得 如果都写了host就不存在DNS劫持了，都不需要去DNS服务器做DNS解析了，直接通过IP访问的。感觉应该是网站后台被人改了做了跳转，或者是你们VPN被人攻击了做了跳转，感觉网站的可能行更大，你这端应该没什么好的方法解决，最多只能禁掉去这个非法网站的访问

kid2man

Cristy 发表于 2024-11-5 09:16
我们的host是各个员工自己的电脑 在本地配置的 。  也不是一开始就有。而且有的人是新电脑也出现了这个情 ...

今天报了一条新闻，chrome的扩展应用 supercopy 会劫持流量，已经被列为滥用扩展，会将流量劫持到投入ad的网站。
检查一下浏览器本身。

120558

建议先从出问题的WEB页面找问题，查看一下主页文件的代码，都加载了什么目录文件逐个排查。

kid2man

Cristy 发表于 2024-11-5 09:16
我们的host是各个员工自己的电脑 在本地配置的 。  也不是一开始就有。而且有的人是新电脑也出现了这个情 ...

楼主，最后排查是何原因？