redirigir localhost a otro sitio ... ¿troyano?

3

Como título, parece que hay un troyano en mi servidor
cuando pongo una URL como

localhost / mysite

redirige al sitio free-merchants.com y luego regresa a mi sitio ...
Pero si pongo

127.0.0.1/mysite

todo funciona correctamente ...
Entonces, ¿qué es? Escaneo con avast y malwarebytes y sin virus ...
Con HijackThis no puedo ver nada extraño ... Los hosts de archivos solo tienen fila

127.0.0.1 localhost

Puede ser un error de mi servidor web que se ejecuta con

Apache / 2.2.21 (Win32) PHP / 5.4.32

¿O qué debo escanear?

apache-http-server  localhost  trojan 
Onofrio De Divitiis
fuente
Tal vez el navegador está comprometido?
Moab
1
¿Qué sucede si haces ping localhost? ¿Sale a una IP externa?
ethanwu10

Respuestas:

2

Yo también tengo el mismo problema.

Parece un troyano oculto en una de las extensiones de Chrome. Simplemente no sé cuál.

He encontrado esta página web sobre el mismo tema: http://www.eenyhelp.com/answer/bug-811371-chromium-unwanted-redirection-chromium-help-215926861.html

Manera rápida y sucia de bloquearlo: bloquea el acceso a www.free-merchants.com (ya sea en el enrutador o al menos en el archivo de hosts en la PC local)

Forma correcta: encuentre la extensión culpable y desactívela.

Honza Skýpala
fuente
Gracias, el problema era la extensión "Traducir selección" ... Desactivado no hay problema ahora
Onofrio De Divitiis
La gran pregunta ahora es si eso es solo lo que hizo o si debería considerar su PC comprometida. (por ejemplo, ya no confía en nada. No hay banca por Internet, ni Amazon, ni paypall, ... ....). Al menos no hasta la eliminación y la reinstalación completas
Hennes
Supongo que la PC no está comprometida. Chrome Extension se está ejecutando en el sandbox de la página web y de lo contrario no debería poder infectar la PC. La otra pregunta sería si sus contraseñas se vieron comprometidas, lo que podría suceder a través de la redirección. Tal vez sea hora de cambiar las contraseñas en las páginas web que usa con frecuencia. Y eventualmente habilite la autenticación de dos factores, si el servicio lo permite.
Honza Skýpala
Extensión de "incógnito esto" en mi caso.
Zenklys
En mi caso también fue 'Traducir selección'. ¿Podría ser que algún tipo de programa de malware modifica estas extensiones después de la instalación? No creo que vengan infectados de la tienda ...
ebutusov
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.