d6tizftlrpuof.cloudfront.net of browser-hijack?

maandag 14 mei 2018 01:17

Acties:

0 Henk 'm!

Topicstarter

Hoi, ik wil zojuist een aangifte via politie.nl doen en ik krijg ineens bij het klikken op de titel van een van de pagina's een blauw kpn nepvirus in een nieuw tabje. Dus ik kijk gelijk via ublock origin (met adblock functie uitgeschakeld) naar de sources die geladen zijn en vind deze: d6tizftlrpuof.cloudfront.net. Ik ben ook al gaan kijken wat ik kan vinden door de link te bezoeken, maar ik kom nergens en bij refreshen is deze source ook weer weg.

Ook op een andere pc kwam deze link een enkele keren naar boven en na een aantal keer refreshen niet meer. Is dit KPN nep virus popupje nou een gevolg van adware op politie.nl of iets anders. Ik kan namelijk op mijn PC, in mijn chrome extensions en op internet niets vinden wat leid tot een conclusie. Ik zie bij de poltie.nl namelijk ook google analytics en en tagmanager staan.

Ik hoop dat iemand hier meer over weet en mij kan helpen (without judging of cource).

code:

1	https://cldsecure.info/system_purebe/?c=41z3b9uz1qz0&k=188a13278270a2676ec73bc202c0b80e&city=Arnhem&isp=KPN%20B.V.&os=Windows%2010&osv=&country_name=Netherlands#

[ Voor 10% gewijzigd door iisschots op 14-05-2018 02:28 ]

maandag 14 mei 2018 01:32

Acties:

+1 Henk 'm!

True

Dislecticus

LNDN schreef op maandag 14 mei 2018 @ 01:17:
Ik zie bij de poltie.nl namelijk ook google analytics en en tagmanager staan.

P-o-l-i-t-i-e, je mist een i, wellicht dat je euvel hierin zit? Ben je niet gewoon naar de verkeerde website gegaan?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

maandag 14 mei 2018 01:34

Acties:

0 Henk 'm!

BLACKfm

o_O

Ik klik mijzelf een ongeluk op de site, maar krijg niks van dat alles. Zijn al je pc's niet zelf gewoon besmet met iets?

@True. ik neem aan dat dit gewoon een tikfout is. De foute variant toont geen website (of in ieder geval zeker niks wat op politie.nl moet lijken).

Litebit.eu voorraad check :).

maandag 14 mei 2018 01:37

Acties:

+2 Henk 'm!

ShitHappens

Ik zie 'm ook verschijnen in de Developer console in Chrome op www.politie.nl (de legitieme site dus). Dit betreft de "Feedback" knop rechts in beeld, afkomstig van Usabillia. Er zijn nog meer bronnen die afkomstig zijn van usabillia, en klikken op die knop veroorzaakt meer requests naar dat CloudFront domein.
Traffic naar d6tizftlrpuof.cloudfront.net is dus legitiem.

De adware-achtige popup krijg ik hier niet gereproduceerd.

[ Voor 7% gewijzigd door ShitHappens op 14-05-2018 01:38 ]

maandag 14 mei 2018 02:26

Acties:

0 Henk 'm!

LNDN

Topicstarter

True schreef op maandag 14 mei 2018 @ 01:32:
[...]

P-o-l-i-t-i-e, je mist een i, wellicht dat je euvel hierin zit? Ben je niet gewoon naar de verkeerde website gegaan?

Is een tikfout idd

BLACKfm schreef op maandag 14 mei 2018 @ 01:34:
Ik klik mijzelf een ongeluk op de site, maar krijg niks van dat alles. Zijn al je pc's niet zelf gewoon besmet met iets?

Ik heb mijn laptop en de geleende laptop (ter referentie) gecheckt met Malwarebytez (voor adware vooral) en de Windows Scanner gedraaid. Maar die vind niets aan malware of adware op beide pc's. Heb voor nu maar ook ff controlled folder access aangegooid en alle mappen geblokkeerd voor nu. Toen ben ik even alle CFA logs na gaan lopen en zag geen bijzonderheden als malware of onbekende software geblokkeerd worden.

Wat betreft de source: d6tizftlrpuof.cloudfront.net. Je hebt gelijk, deze is idd clean.

Vraag me ff af wat ik nu moet doen. Dit is hoe het browsen is verlopen. Foto

[ Voor 6% gewijzigd door LNDN op 14-05-2018 02:41 . Reden: toevoegingen ]

maandag 14 mei 2018 02:47

Acties:

+1 Henk 'm!

Salandur

Software Engineer

Cloudfront is een service van AWS die website statische assets (javascript, css, plaatjes etc) cached en aan de bezoeker serveert vanaf een locatie die het dichts bij de computer is. Cloudfront reduceert het verkeer naar de eigen web server en wordt veelvuldig gebruikt door diverse grote website.
Het is dus niet iets om je zorgen om te maken.

Wel kan het zo zijn dat de politie website hun Cloudfront niet goed geconfigureerd heeft in de resource policies van hun eigen website en om die reden kan een adblocker een melding geven dat er iets van een verkeerde website geladen wordt.

Assumptions are the mother of all fuck ups | iRacing Profiel

maandag 14 mei 2018 03:00

Acties:

0 Henk 'm!

LNDN

Topicstarter

Maar het gaat meer om de popup die ik kreeg toen ik randomly text begon te selecteren op de website.

https://imgur.com/a/UhDwqoO

Ik er gewoon totaal niet achter komen waar dit vandaan komt. De extensies die ik tijdens het verschijnen draaide waren: Ublock Origin, Adblock Plus, Looper for YouTube, Acrobat Plugin, Audio Equalizer - EQ, Chrono Download Manager (uit), Tunnelbear VPN (niet aan) en enkele standaard Google extensies. (Nu allemaal verwijderd op Ublock na).

[ Voor 9% gewijzigd door LNDN op 14-05-2018 03:16 . Reden: extensions toegevoegd in de lijst ]

maandag 14 mei 2018 16:39

Acties:

0 Henk 'm!

biomass

Volgens DuckDuckGo is het een browser redirect ding.
https://duckduckgo.com/?q...ecure.info&t=hg&ia=answer

maandag 14 mei 2018 17:00

Acties:

0 Henk 'm!

MsG

Forumzwerver

Niet toevallig Chrome met bepaalde extensies? Ik heb maandenlang een malafide add-on gehad (Bookmarks checker) die blijkbaar opgekocht was door een malafide persoon met een zak geld, die bij Aliexpress altijd voor een gekke redirect zorgde, verder niks. Is pas maanden later door Google verwijderd en Malwarebytes, ADWCleaner, en virusscanners gaven compleet niks aan. Probeer dus eens een leeg Chrome profiel (incognito is zeker niet genoeg) of een andere browser om dit soort zaken uit te sluiten.

Is steeds vaker een probleem: https://www.express.co.uk...er-attack-malware-Radware

https://www.techradar.com...kers-off-the-chrome-store

https://www.wired.com/story/chrome-extension-malware/

https://www.mattmaldre.co...are-in-chrome-extensions/

Kijk anders eens bij je extensies, daar staat soms al bij "this extension contains malware".

[ Voor 9% gewijzigd door MsG op 14-05-2018 17:01 ]

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

maandag 14 mei 2018 17:48

Acties:

0 Henk 'm!

LNDN

Topicstarter

biomass schreef op maandag 14 mei 2018 @ 16:39:
Volgens DuckDuckGo is het een browser redirect ding.
https://duckduckgo.com/?q...ecure.info&t=hg&ia=answer

Ja dat zag ik idd. Alleen rest me nu de vraag, ligt het een extensie die ik nu niet meer gebruik of aan de browser zelf wat onwaarschijnlijk lijkt want politie.nl zou niet zomaar gecompromitteerd kunnen zijn.

Niet toevallig Chrome met bepaalde extensies?

Dat zou best kunnen maar dan zou het waarschijnlijk adblock of een van de eerder genoemde extensies moeten zijn. Ik heb daarna ook niet meer de pop-up kunnen reproduceren helaas. Ik hoop dat nog een keer boven water komt drijven, want anders blijft het natuurlijk hangen in me achterhoofd dat me laptop een hele sneaky virus heeft.

maandag 14 mei 2018 18:02

Acties:

0 Henk 'm!

biomass

LNDN schreef op maandag 14 mei 2018 @ 17:48:
[...]

Ja dat zag ik idd. Alleen rest me nu de vraag, ligt het een extensie die ik nu niet meer gebruik of aan de browser zelf wat onwaarschijnlijk lijkt want politie.nl zou niet zomaar gecompromitteerd kunnen zijn.

[...]

Dat zou best kunnen maar dan zou het waarschijnlijk adblock of een van de eerder genoemde extensies moeten zijn. Ik heb daarna ook niet meer de pop-up kunnen reproduceren helaas. Ik hoop dat nog een keer boven water komt drijven, want anders blijft het natuurlijk hangen in me achterhoofd dat me laptop een hele sneaky virus heeft.

De *.cloudfront.net hostnaam op de site van de politie heeft niets te maken met de browser-hijack waar je last van hebt.
Als je dringend aangifte wilt doen, zoek een ander apparaat met webbrowser, of start een Live Linux op je huidige pc.

Onderwerpen

Vraag

Alle reacties