search

FiltersHeroes / KAD

Filtry do uBlocka Origin i AdGuarda, chroniące przed różnymi zagrożeniami w polskiej sieci, takimi jak wirusy, fałszywe sklepy i subskrypcje SMS.
https://kadantiscam.netlify.app/
Creative Commons Attribution Share Alike 4.0 International
56 stars 8 forks source link

`puronicssanantonio.com` | `panel.home-*.dramag.webd.pl` #2125

Closed PolishRoboDog closed 2 years ago

PolishRoboDog commented 2 years ago

Link bezpośredni

t.co

Dodatkowe informacje mogące mieć znaczenie

Otrzymałem scam dotyczący przedłużenia domeny na home.pl z linkiem do https://t.co/8L8BkXi7Fl, który to przekierowywał do domeny homee.pl (subdomenę 3 poziomu z katalogiem /home.pl).

Zgłoszenie opublikowane anonimowo przez użytkownika.

krystian3w commented 2 years ago

homee.pl otwiera stronę wentylacja24 - możliwe że autor nie łączy się z pomocą polskiej ip-lokalizacji.

dramag wygląda na odcięty od usług webd.

krystian3w commented 2 years ago

https://github.com/FiltersHeroes/KAD/commit/466b686362a0db4ac5953e8acc85b5fb5426de41

infoneo commented 2 years ago

Przy analizie ruchu na https://t.co/8L8BkXi7Fl fiddlerem z wykorzystaniem vpn opery w pewnej chwili pojawia się request:

POST https://sitecheck.opera.com/api/v2/check HTTP/1.1
Host: sitecheck.opera.com
Connection: keep-alive
Content-Length: 50
Content-Type: application/x-protobuf
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36 OPR/87.0.4390.45
Accept-Encoding: gzip, deflate, br
homee.pl       "m 7    aΨ   fj`l( :OPR@

i odpowiedź serwera:

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 22 Jun 2022 15:15:46 GMT
Content-Type: application/x-protobuf
Transfer-Encoding: chunked
Connection: keep-alive
Allow: POST, OPTIONS
Strict-Transport-Security: max-age=31536000; includeSubDomains

13

homee.pl 
   ̕
0

Nie potrafię namierzyć skąd bierze się ten request, być może z jakiegoś certyfikatu. Zresztą przy wykorzystaniu vpnopery, gdy następują redirecty przez chwilę pojawia się w pasku adresu homee.pl. Skoro frad związny jest z home.pl to zbyt duży przypadek. Domena homee.pl jest wysoce podejrzana.

krystian3w commented 2 years ago

WHOIS niby wskazuje, że kupiona prawie celowo:

Abonent | Maxair
 Arkadiusz Dragun
 Kokotów 703 32-002 Kokotów,
 PL  
 Typ abonenta: organizacja 
 Ostatnia modyfikacja: 2020.07.17 16:06:22

Pewnie sporność na poziomie #2013

Być może chodziło o autorskie rozwiązania Hörmann https://www.hormann.pl/homee/

github-actions[bot] commented 2 years ago

Ten wątek został automatycznie zablokowany, ponieważ po jego zamknięciu nie było żadnej aktywności. Proszę otworzyć nowe zgłoszenie dla powiązanych problemów.