Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Mosqueperro en 20 Marzo 2021, 19:27 pm



Título: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 20 Marzo 2021, 19:27 pm
Buenas tardes, últimamente me salta "frecuentemente" aviso en el Bitdefender de conexión sospechosa bloqueada desde firefox. El causante parece ser "gitcdn.xyz".
Por lo que he podido leer puede ser algo de ublock origin, peor no estoy seguro.
¿Alguien sabe algo?
Gracias.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Danielㅤ en 20 Marzo 2021, 20:16 pm
Hola, esa página te hace ejecutar este script:

https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js (https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js)


Saludos


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 20 Marzo 2021, 20:24 pm
Hola, esa página te hace ejecutar este script:

https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js (https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js)


Saludos

Pero yo no entré a esa página.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Danielㅤ en 20 Marzo 2021, 20:30 pm
Citar
Pero yo no entré a esa página.

Pero tú antivirus te informa que está bloqueando una conexión sospechosa de ésta página "gitcdn.xyz" y en esa página hay un script en javascript con la URL sospechosa.


Saludos


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 20 Marzo 2021, 20:49 pm
Pero tú antivirus te informa que está bloqueando una conexión sospechosa de ésta página "gitcdn.xyz" y en esa página hay un script en javascript con la URL sospechosa.


Saludos

Luego, si no estoy entrando en esa página ni nada parecido ¿cómo puede ser posible?


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Xyzed en 20 Marzo 2021, 23:14 pm
Luego, si no estoy entrando en esa página ni nada parecido ¿cómo puede ser posible?
Hay varias posibilidades, una puede ser que alguna página a la que si accedes puede estar interceptada, y están enviando peticiones sin que te des cuenta a gitcdn.xyz.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 00:27 am
Hay varias posibilidades, una puede ser que alguna página a la que si accedes puede estar interceptada, y están enviando peticiones sin que te des cuenta a gitcdn.xyz.

Puede ser, lleva ya horas sin salirme el aviso, así que debe ser de alguna web que tuviera abierta. Aunque no tenía ninguna web sospechosa abierta.

He encontrado este hilo no sé qué opinión tenéis.
https://www.reddit.com/r/uBlockOrigin/comments/ivwx4v/what_is_gitcdnxyz/ (https://www.reddit.com/r/uBlockOrigin/comments/ivwx4v/what_is_gitcdnxyz/)


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 11:22 am
Acabo de hacer una nueva prueba, Bitdefender me ha puesto el siguiente mensaje:
"Característica:
Prevención de amenazas online

firefox.exe ha intentado establecer una conexión confiando en un certificado que no coincide con gitcdn.xyz. Hemos bloqueado la conexión para mantener sus datos a salvo ya que el certificado utilizado se emitió para una dirección web diferente a la del sitio de destino."

Las únicas páginas que tenía abierta en Firefox eran Twitch (con varias pestañas de streams) en navegación normal y en vetana privada el foro de elhacker.net.

¿Alguien que pueda echarme una manilla? me gustaría salir de dudas y descifrar el enigma  ;D


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: kub0x en 21 Marzo 2021, 15:23 pm
Acabo de hacer una nueva prueba, Bitdefender me ha puesto el siguiente mensaje:
"Característica:
Prevención de amenazas online

firefox.exe ha intentado establecer una conexión confiando en un certificado que no coincide con gitcdn.xyz. Hemos bloqueado la conexión para mantener sus datos a salvo ya que el certificado utilizado se emitió para una dirección web diferente a la del sitio de destino."

Las únicas páginas que tenía abierta en Firefox eran Twitch (con varias pestañas de streams) en navegación normal y en vetana privada el foro de elhacker.net.

¿Alguien que pueda echarme una manilla? me gustaría salir de dudas y descifrar el enigma  ;D

Si visitamos gitcdn.xyz nos damos cuenta de que su certificado no incluye en el campo CN o SAN el nombre del dominio gitcdn.xyz, por lo tanto Firefox o cualquier programa que sepa como evaluar certificados a la hora de conectarnos a un sitio remoto nos dará un aviso de que el sitio no es confiable.

En realidad gitcdn.xyz es confiable, solo que su certificado esta asignado a *.herokuapp.com (wildcard) y no a gitcdn.xyz. El autor de la website podría arreglarlo para que en los AV o navegadores web no salten alertas.

Resumiendo, no hay peligro alguno.

Saludos.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 15:40 pm
Si visitamos gitcdn.xyz nos damos cuenta de que su certificado no incluye en el campo CN o SAN el nombre del dominio gitcdn.xyz, por lo tanto Firefox o cualquier programa que sepa como evaluar certificados a la hora de conectarnos a un sitio remoto nos dará un aviso de que el sitio no es confiable.

En realidad gitcdn.xyz es confiable, solo que su certificado esta asignado a *.herokuapp.com (wildcard) y no a gitcdn.xyz. El autor de la website podría arreglarlo para que en los AV o navegadores web no salten alertas.

Resumiendo, no hay peligro alguno.

Saludos.

Gracias por tu mensaje y aclaración.
La cuestión es ¿cómo interactúa esa web con Firefox? sin estar yo en ella directamente. Es lo que me tiene intrigado.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Danielㅤ en 21 Marzo 2021, 16:18 pm
Porque podes tener un adware, o tal vez la web que visitas tiene incluido algún script o iframe de esa web.


Saludos


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 19:29 pm
Porque podes tener un adware, o tal vez la web que visitas tiene incluido algún script o iframe de esa web.


Saludos

Pues no sé, adware en principio no tengo.
La web como te dije era Twitch, o este foro.
ASí que o fue una de esas dos, o el ublock origin o algo de eso, la verdad que estoy intirgado.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Danielㅤ en 21 Marzo 2021, 20:10 pm
Hola, usa esta herramienta:

https://es.malwarebytes.com/adwcleaner/


Saludos


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 21:02 pm
Hola, usa esta herramienta:

https://es.malwarebytes.com/adwcleaner/


Saludos

Acabo de ejecutar el análisis un par de veces y en las dos me ha dicho que no ha detectado nada.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: #!drvy en 21 Marzo 2021, 21:33 pm
Esa página parece ser un CDN para repositorios github. En esos repos puede haber javascript que se incluya en X páginas. Es totalmente normal que tu antivirus salte cuando se intenta hacer una petición a un SSL no valido, y siendo un CDN es normal que ciertas páginas intenten incluir contenido de ahí.

No creo que estes infectado ni que le tengas que dar mayor importancia.

Saludos


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 21 Marzo 2021, 21:40 pm
Esa página parece ser un CDN para repositorios github. En esos repos puede haber javascript que se incluya en X páginas. Es totalmente normal que tu antivirus salte cuando se intenta hacer una petición a un SSL no valido, y siendo un CDN es normal que ciertas páginas intenten incluir contenido de ahí.

No creo que estes infectado ni que le tengas que dar mayor importancia.

Saludos

Gracias por la aclaración. El caso es que antes no me saltaba y ahora sí, estoy casi 100% seguro que no estoy infectado pero por curiosidad me gustaría saber si hay alguna forma de saber qué páginas están alojadas ahí o conocer el motivo de dicha conexión.


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: Mosqueperro en 24 Marzo 2021, 20:59 pm
Sigo con la duda ¿alguien para descifrar por fin este enigma?  :xD :xD


Título: Re: gitcdn.xyz ¿amenaza?
Publicado por: kub0x en 2 Abril 2021, 14:42 pm
gitcdn indexa el contenido de repos en la página web que visitas. El propio creador lo dice en el post de reddit, además que ublock parece ser que hace uso también de ese dominio.

La alerta del AntiVirus (AV) ya dije que era por el certificado, pues el dueño del site no lo tiene bien configurado para matchear o coincidir el dominio. Pero no me preocuparia por eso.

Saludos.