如何查出被ESET阻止的网址是哪个程序引起的

tianwenw

我系统是WIN10（1903），杀软是ESET的eav不带防火墙，最近eav时不时的给出这个提示，我没有浏览这个网，想知道怎么查出肇事者？请大佬解惑



******************************
用了一段时间的chrome，没有这情况了，看来是火狐某个扩展或脚本的问题。
chrome还是用不惯，特别是字体效果太差，鼠标手势也不爽，还是换回火狐，也懒得查是哪个扩展脚本，反正有杀软拦截。

神龟Turmi

然而你好像没发截图和网址啊。。。

tianwenw

神龟Turmi 发表于 2019-10-7 09:29
然而你好像没发截图和网址啊。。。

就是想问这个jspenguin.com怎么回事

神龟Turmi

小伞也拦了


访问了之后会出现一个cookie，看样子像base64，一解密果然
{"version":1,"subId":3,"folderId":1,"feedId":22,"ts":1570412235,"hash":"392744cf"}
用途未知，可能是为了让访问者每次访问到不同的跳转结果

然后跳转到了https://rsalcch.com/performance/bdv_rd.dbm?*****************
猜测用于推广返利


跳转到了几个随机的不可描述网站（有菠-菜有色-情），其中大部分都带了AFF ID

建议楼主找找哪个程序访问的吧。。。这肯定不是正常东西

神龟Turmi

另外 尝试从全球解析该域名，总共发现了3个A解析结果
213.247.47.190 美国纽约州加登城reasonnet.com
173.239.8.164 美国纽约州加登城webair.com
173.239.5.6 美国纽约州加登城webair.com

从x-cti烽火台安全情报查询到，这三个ip都有对外DDoS（僵尸网络）的情况
均为2019-08-13被捕获，猜测是已经废弃的肉鸡


从知道创宇的公开情报可以看到其中一个ip上已知网站有24955个，应该曾经是开设虚拟主机的服务器
但是目前反解出的网站均被恶意跳转
随手列出几个
mxseatpro.com
ransomvillevfc.com
scirocco16v.com
等等，均和楼主提到的网站情况完全相同

a939707506

sep miss

tianwenw

神龟Turmi 发表于 2019-10-7 09:55
另外 尝试从全球解析该域名，总共发现了3个A解析结果
213.247.47.190 美国纽约州加登城reasonnet.com
173 ...

谢谢大神

软爱

羡慕你们懂编程的

LovelyTim

卡巴 Ban

落华无痕

换个浏览器看看，指不定是浏览器扩展问题。