Forum MediaSwiat Strona Główna
FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Poprzedni temat «» Następny temat
Brak możliwości logowania od mbanku Połączenie nie jest bezp
Autor Wiadomość
estor 
Klikacz

Dołączył: 25 Paź 2016
Posty: 5
Wysłany: 25-10-2016, 07:21   Brak możliwości logowania od mbanku Połączenie nie jest bezp

Witam poddaje sie i pisze tutaj. Komp przeskanowałem gdata i spyhunter. nie mam nic jednak coś blokuj dostęp. Na internet explorer , firefox nie moge zalogować się do banku wskazuje Połączenie nie jest bezpieczne
Brak możliwości logowania od mbanku - Połączenie nie jest bezpieczne

Sprawdziłem router tzn połączyłem się przez udostępnienie sieci przez telefon i też nie działa.
Na innym laptopie w domu w sieci domowej działa
co to może być i czemu jest

Witryna online.mbank.pl; używa nieprawidłowego certyfikatu bezpieczeństwa. Ten certyfikat jest prawidłowym certyfikatem tylko dla następujących nazw: *.e-kei.pl, e-kei.pl Kod błędu: SSL_ERROR_BAD_CERT_DOMAIN

Oczywiscie data jest ok .. Bank eurkobank i wbk chodza.. Jedynie mbank nie dziala..2 dni temu zaistalowalem eset może on coś zblokował , na dziś odinstalowem wiekszosc programow i nadal nic.. Prosze o pomoc

Przechwytywanie.JPG
Plik ściągnięto 77 raz(y) 54,87 KB

 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 08:54   Re: Brak możliwości logowania od mbanku Połączenie nie jest

Mogłeś załapać się na Phishing lub jakiś malware podmieniający DNSy.

Najpierw sprawdź czy u Ciebie nazwa "online.mbank.pl" jest prawidłowo rozwiązywana na adres IP:
w Wierszu poleceń wykonaj "nslookup online.mbank.pl". Prawidłowy adres to: 193.41.230.98.

Sprawdzając :arrow: w RIPE.NET widać do kogo należy ten adres.

Ciekawe jaki jest u Ciebie?
I jakie info podaje http://ripe.net ?

Wpisz w przeglądarce https://193.41.230.98 , dostaniesz informacje, że certyfikat jest nieprawidłowy, pomimo tego dodaj wyjątek, ale nie zachowuj go na stałe. W informacji o stronie, bezpieczeństwo sprawdź certyfikat, ma m.in. takie prawidłowe info:
Nazwa (CN): online.mbank.pl
Numer seryjny: 26:7E:D7:C0:F2:F9:A2:E4:15:A2:B4:C2:03:97:C5:80
Wystawca: Symantec
Ważny do: 4 lutego 2017

A teraz wpisz w przeglądarce https://online.mbank.pl, dostaniesz informacje, że certyfikat jest nieprawidłowy, pomimo tego dodaj wyjątek, ale nie zachowuj go na stałe. Otworzenie samej strony na nic Cię nie naraża. W informacji o stronie, bezpieczeństwo sprawdź do kogo należy certyfikat.

Co tam jest ciekawego, do kogo należy, jaka jest nazwa CN?

Teoretycznie jest możliwe, że trafiasz nie na stronę mbanku tylko na jakąś inną z certyfikatem wystawionym przez "Krakowskie e-Centrum Informatyczne JUMP sp.j.", która m.in. :arrow: wystawia certyfikaty do stron i hostuje strony www.

Sprawdź jeszcze jakie efekty daje wyłączenie w ESET sprawdzania stron szyfrowanych (zależnie od wersji, może się nie dać wyłączyć) lub na chwilę wyłącz ESETa.
_________________
 
 
estor 
Klikacz

Dołączył: 25 Paź 2016
Posty: 5
Wysłany: 25-10-2016, 09:10   

Witam dzięki za pomoc .

ad 1 ) dostaje nieautoryzowana odpowiedz
nazwa online.mbank.pl
193.41.230.98

ad 2 ) przejście z dodaniem wyjątku skutkuje stroną 193.41.230.98/pl/Login

ad 3 ) certyfiakt od jakiegos e-kei.pl

ad 4) eset odinstalowałem wczoraj

[ Dodano: 25-10-2016, 09:18 ]
na tą chwile mam g-data testowe oraz bullguard i przeleciałem kompa hitmanpro oraz Malwarebytes Anti-Malware wiec jestem już bezsilny . zastanawia mnie ten certyfikat e-kei.pl

3.JPG
Plik ściągnięto 52 raz(y) 57,03 KB

2.JPG
Plik ściągnięto 56 raz(y) 54,1 KB

1.JPG
Plik ściągnięto 49 raz(y) 65,63 KB

 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 09:22   

Pomimo prawidłowego adresu IP z DNSu, przeglądarki otwierają stronę z certyfikatem od kei.pl.

Nie używasz jakiegoś PROXY? On jest pośrednikiem w przekazywaniu certyfikatu. Tak działają programy antywirusowe podczas sprawdzania stron szyfowanych.
_________________
Ostatnio zmieniony przez Pitrek 25-10-2016, 09:42, w całości zmieniany 1 raz  
 
 
estor 
Klikacz

Dołączył: 25 Paź 2016
Posty: 5
Wysłany: 25-10-2016, 09:30   

wczorja za pierwszym razem zalogowałem się przez nią i po zalogowaniu dostałem inlo że mam pobrac plik w celu ochrony komputera plik był zipem, skasowałem go nie otwierałem.
//mbank.pl/pl/Login.html tak nie powinna wyglądać logowanie , teraz sprawdziłem
jak się wchodzi przez ten likn wpisuje w logowani co się chce to jest takie coś

[ Dodano: 25-10-2016, 09:32 ]
tracer daje to

[ Dodano: 25-10-2016, 09:33 ]
tracer 2

[ Dodano: 25-10-2016, 09:34 ]
musze wyjechac na 40 mi będe działał jak wrócę :)

6.JPG
Plik ściągnięto 67 raz(y) 35,24 KB

5.JPG
Plik ściągnięto 55 raz(y) 41,46 KB

4.JPG
Plik ściągnięto 85 raz(y) 57,71 KB

 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 09:45   

Pitrek napisał/a:
Pomimo prawidłowego adresu IP z DNSu, przeglądarki otwierają stronę z certyfikatem od kei.pl.

Nie używasz jakiegoś PROXY? On jest pośrednikiem w przekazywaniu certyfikatu. Tak działają programy antywirusowe podczas sprawdzania stron szyfowanych.
Chyba masz problem.
Koniecznie poczytaj to:
https://www.mbank.pl/info...katach-ssl.html

I SKONTAKTUJ SIĘ Z BANKIEM.

Sprawdź w ustawieniach WSZYSTKICH przeglądarek czy nie masz ustawionego jakiegoś PROXY.
Jeżeli tak to wywal ten adres i zaznacz nie używaj proxy.
W ustawieniach zabezpieczeń usuń wszystkie certyfikaty od kei.pl
_________________
Ostatnio zmieniony przez Pitrek 25-10-2016, 09:50, w całości zmieniany 2 razy  
 
 
januszmk 
plus master

Pomógł: 7 razy
Dołączył: 18 Cze 2016
Posty: 426
Wysłany: 25-10-2016, 09:49   

estor, po tym co widac w screenie 6.JPG, online.mbank.pl ma u Ciebie inny adres niz powinno. Masz jakiś router? sprawdź ustawienia dns, ustaw ręcznie w ustawieniach windowsa 8.8.8.8 i 8.8.4.4 i zobacz ponownie.
 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 09:54   

estor
"tracert online.mbank.pl" korzysta z DNSu do rozwiązania nazwy na IP.
Wcześniej pisałeś, że "nslookup online.mbank.pl" daje adres 193.41.230.98 a teraz w tracert jest 94.152.53.245 ?

KONIECZNIE SPRAWDŹ PLIK HOST , TAM PEWNO JEST DODANY TEN ADRES.

Jak widać adres: 94.152.53.245 należy do firmy KEI. Ktoś na ich hostingu założył tę stronę.

A to jest ta strona: http://94.152.53.245 - ładna :evil:

i już wiemy skąd certyfikat: :evil:
https://94.152.53.245

To jest ciekawe:
http://94.152.53.245/kontakt/oferta-indywidualna/


Tak wygląda fałszywe logowanie:
http://94.152.53.245/pl/Login.html

Koniecznie poczytaj to:
https://www.mbank.pl/info...katach-ssl.html

I SKONTAKTUJ SIĘ Z BANKIEM.

I mam nadzieję, że nie instalowałeś programu z tej strony:
http://www.ochrona-bankowa.pl
_________________
 
 
estor 
Klikacz

Dołączył: 25 Paź 2016
Posty: 5
Wysłany: 25-10-2016, 10:45   

witam pliku nie instalowałem .
do banku dzwoniłem 2 razy powiedział że to po mojej stronie problem bo na drugim lapku działa.
strony nie mogę otworzyc tej do poczytania .

gdzie znajde host .
teraz cos przypoaminał sobie eset który miałem był z chomika :( i plik który dawał licencje kazal coś zmienić w pliku hosta . ale ja chyba tego nie zrobiłem ale pewien nie jestem czy one tego nie zrobił.

[ Dodano: 25-10-2016, 10:47 ]
odpowiedź na problem ?

[ Dodano: 25-10-2016, 10:54 ]
usunięcie tego wpisu z host pomogło. czy coś jeszcze zrobić ? sam głupi wpis w tym plik tyle namieszał ? 3 antywirusy i programy szukające malware nic nie pomogły . dziekuje za pomoc !!

8.JPG
Plik ściągnięto 94 raz(y) 74,54 KB

7.JPG
Plik ściągnięto 70 raz(y) 70,43 KB

 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 11:40   

W pliku C:\Windows\System32\drivers\etc\hosts zostaw tylko:
Kod:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost

No cóż, zemściło się pobieranie programów z Chomika, crack do ESETa był z trojanem/malwarem.
Nie wiem co jeszcze złego zrobił oprócz podmiany pliku host. Wpisy w "host" mają priorytet przed DNSem, więc pomimo rozwiązania prawidłowego przez DNS, odwołania do online.mbank.pl kierowane były na phishingową stronę http://94.152.53.245/pl/Login.html.

Sprawdź ustawienia proxy we wszystkich przeglądarkach i usuń wpisy i wyłącz proxy.
Pousuwaj wszystkie certyfikaty we wszystkich przeglądarkach.

Pisałeś wcześniej: nie moge zalogować się do banku, później wczorja za pierwszym razem zalogowałem się przez nią i po zalogowaniu dostałem inlo że mam pobrac plik w celu ochrony komputera plik był zipem, skasowałem go nie otwierałem.


Z tego wynika, że podałeś swoje dane na tej fałszywej stronie.
Jeżeli tak jest to skontaktuj się jednak z bankiem.

Teraz już możesz, to koniecznie poczytaj to:
https://www.mbank.pl/info...katach-ssl.html
_________________
 
 
estor 
Klikacz

Dołączył: 25 Paź 2016
Posty: 5
Wysłany: 25-10-2016, 13:35   

witam tak tyle że logowanie tam można zrobić podają co się chce wiec myślę zę nie zbierają danych logowania tylko przenoszą do pobrania pliku , ale i tka już wczoraj zablokowałem I zmieniłem dostęp. Dziękuje bedę obserwował komputer.
 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 25-10-2016, 14:04   

To ja wiem, sam podałem cokolwiek i pojawia się ta strona: http://94.152.53.245/pl/aplikacja.html . Na pewno to nie jest jedyny cel tej strony (apka na telefon) , raczej zbierają dane logowań. Jeżeli podałeś fikcyjne dane to nie masz powodu martwić się o stan swojego konta.

Na zimne trzeba dmuchać. Dobrze, że zmieniłeś dane logowania.

Po twoim pliku host widać że na cel wzięli także pekao24.pl i ipko.pl
http://94.152.53.248/ClientLogon.html
efekt: http://94.152.53.248/aplikacja.html

http://94.152.53.246 , ale zapomnieli o obrazku.
Po "zalogowaniu" (cokolwiek wpisać) pojawia się:
http://94.152.53.246/aplikacja.html
_________________
 
 
KOCUREK1970 
chello guru


Pomógł: 65 razy
Dołączył: 30 Maj 2010
Posty: 5339
Skąd: a żebym to ja wiedział:)
Wysłany: 26-10-2016, 04:22   

Podziwiam ludzi, którzy żałują 150 zł na oryginalnego antywirusa, ale potem płaczą, że złodzieje go okradają...

Oprócz tego co napisał Pitrek - format c i instalacja Windowsa na czysto - inaczej to wróci prędzej czy później, albo przejmie wszystko co robisz w przeglądarce - to już siedzi na dysku.
_________________
 
 
Pitrek 
chello guru


Pomógł: 210 razy
Dołączył: 08 Lis 2013
Posty: 4608
Skąd: Zielona Góra
Wysłany: 26-10-2016, 08:04   

Z tym formatem to nie przesadzajmy, po tylu programach zabezpieczających już nie powinno być zagrożenia. Wpisy w pliku "host" zostały bo program antywirusowy nie jest w stanie rozpoznać, które wpisy są zagrożeniem, a które nie. Podobnie wpisy PROXY nie są rozróżniane na złe czy dobre. Jeżeli to zagrożenie było rezydentem to jeżeli by nadal "siedziało" w systemie to wpisy w pliku "host" i "proxy" by powróciły. Trzeba poobserwować zachowanie systemu.

Dla pewności proponuję zainstalować 30 dniowego Kaspersky Anty-Virus, przeskanować system. Dodatkowo wygenerować boot'ującą płytę "Kaspersky Rescue Disk" i przeskanować wszystko.

Jeżeli ktoś chce mieć darmową ochronę to polecam "360 Total Security" (ang.) lub "AVASTa".
Niestety AVG i AVIRA kiepsko radzą sobie z zagrożeniami w Polsce.
_________________
 
 
KOCUREK1970 
chello guru


Pomógł: 65 razy
Dołączył: 30 Maj 2010
Posty: 5339
Skąd: a żebym to ja wiedział:)
Wysłany: 26-10-2016, 14:44   

Pitrek napisał/a:
Trzeba poobserwować zachowanie systemu.

Ja osobiście nie wierze w to, że jest bezpieczny - może przez takiego babola zagnieździć mu się coś jeszcze, raz się już udało.

I nie tylko PŁATNY legalny antywirus, ale też wszystkie łatki bezpieczeństwa pobrać z serwerów MS do swojego systemu.
_________________
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Komentarze napisane przez użytkowników tego forum są ich prywatnymi opiniami.
Wortal chelloPL oraz MediaŚwiat jak również żaden z administratorów/moderatorów nie ponosi odpowiedzialności za treść komentarzy.

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,05 sekundy. Zapytań do SQL: 15
Polecane serwisy

Grupa


Aktualności: