не наблюдаете ли вы "A? 76046.ipread.com" и смену DNS у клиентов на 194.67.57.104

[umike]

у нескольких обратившихся подряд пользователей наблюдается перестройка DNS с выданных и даже прописанных вручную на единственный 194.67.57.104=ns2.mail.ru. Даже после принудительного прописывания DNS ручками, с машин запросы продолжают ходить на этот адрес чуть ли не со всеми запросами к ns. Пачками по десятку фигурирует x.x.x.x > 194.67.57.104.53: A? 76046.ipread.com. Похоже на какого-то очередного зверька.

 

Ни у кого больше не наблюдается?

Edited February 2, 2007 by umike

[nuclearcat]

мож mail.ru agent?

[umike]

агент на дрегие адреса ломится - его сразу видно, да и к томуже какие чудаки будут свой днс нагружать всякой бурдой?

[GateKeeper]

Очередные происки касперского, может быть? Аля: "Создадим вирь, разошлём всем подписчикам через сеть партнёров (тот же мыло.ру), а потом мужественно этот вирь у всех вылечим. О чем, естественно, не преминём ударить себя пяткой в грудь."

[semerkin]

Открыть диспетчер задач у этих пользователей и проследить, что там загружается.

[nuclearcat]

Посмотрел более подробнo, погуглил - имхо трояны или черви.

[umike]

итого получено 4 комментария за 3 дня (продуманные и прогугленные до написания вопроса), ни одного ответа на вопрос.

В связи с тем, что в эпидемию не переросло - вопрос исчерпан. Смутило то, что случилось это у нескольких абонентов в абсолютно разных сегментах сети буквально в одно и тоже время.

[damned]

у меня сегодня таких было пару десятков... никто никакой конкретики не узнал по этому вопросу, господа?

[@ngel]

ТОже столкнулись с этой проблемой у многих клиентов из разных подсетей меняется днс на 194.67.57.104=ns2.mail.ru . Задолбались уже его менять.

ИМХО Червь сто пудняк.

[builder]

Был аналогичный случай в воскресенье, клиент пожаловался что "часть сайтов не открываются" в результате по телефону выяснилось что у него этот адрес днс-ом прописан. Незаслуженно сказали клиенту насчёт блудливых ручек.

[GluckMaker]

Если б такой червячок при этом ещё и новые корневые сертификаты в браузер прописывал... Открывается широкий простор для творчества!

[umike]

за сегодня еще с десяток случаев мелькнуло в пределах нашей сети но в другом городе. Тенденция однако.

[Прохожий]

Чем не способ завалить инфраструктурный элемент, натравив на него пару десятков миллионов юзверей... Кучеряво...

[krab]

1

[Saalan]

Таже фигня, куча клиентов - уже начинает надоедать.

 

У последнего не возможно исправить - свойства TCP\IP заблокированы (хотя он Администратор на компе). Либо новая версия, либо еденичный случай.

 

Человек утверждает, что недавно обновлял агента MAIL.RU

Edited February 2, 2007 by Saalan

[@ngel]

Ну что кто нибудь понял, что это за зараза? И как её найти и удалить?

[Прохожий]

Сперва подумал было, что кто-то обкатывает новый вариант ДОСа на ДНС сервера... Что-то давно никто корневые сервера не валил :) По размышлении зрелом понял, что не может быть, создать высокую плотность атаки таким образом не получится. Нагрузку вызовет, но не более... Может как раз это автор сейчас и выяснил? Рассчитывал на много-много запросов, а получилось - ерунда?

 

А вот как инструмент мидльмена - очень даже, прикиньте, это же простейший способ перенаправить весь веб-трафик пользователя куда хочешь, причем если это делается нераспространяющимся нерезидентным кодом, не оставляющим следов... АФАИК, целостность сетевых настроек большинство антивирей и файров не контролирует... Чисто и надежно. Может очень долго работать, совершенно бесшумно.

 

Жить все страшнее...

 

Ну-ка, спецы тут есть в деталях протокола DNS? Простой, сделанные на уровне IP редирект 53tcp/udp на свой сервер DNS будет работать прозрачно для юзверя?

[AlexKh7000]

А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил.

Edited February 3, 2007 by AlexKh7000

[Прохожий]

А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил.

Если это делается скриптом или неизвестным триппером, который тут же себя уничтожает - и будет тишина... Надо смотреть логи, где люди были последнее время, чудес-то не бывает...

[umike]

Сперва подумал было, что кто-то обкатывает новый вариант ДОСа на ДНС сервера... Что-то давно никто корневые сервера не валил :)

DDOS на единичный ns2.mail.ru это бред. Кому он сдался? Тем более большой паники у ребят из мейла это не вызовет - ns держит совсем не одна машина ))))

 

ЗЫ: Агент это первое на что я подумал, но я им пользуюсь и сам (есть такая необходимость) и такого не замечено.

Edited February 3, 2007 by umike

[@ngel]

А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил.

У вас один а у нас сотня за 1 день да позвонит =( . Напрягает малясь.

[umike]

народ, ну посмотрите кто-нибудь от этих абонентов трафик на ns2.mail.ru. Есть там A? 76046.ipread.com или еще что подозрительное?

[@ngel]

народ, ну посмотрите кто-нибудь от этих абонентов трафик на ns2.mail.ru. Есть там A? 76046.ipread.com или еще что подозрительное?

А смысл??? Запрос может быть любым, ведь комп думает что это его ДНС, вот и посылает запрос на ns2.mail.ru что бы тот сказал какой ip у такогото сайта

[umike]

у выправленных посмотрите - от них и на правильные и на мейловский ходить начинают. Причем на мейловский - странные запросы встречаются.

[GateKeeper]

А это... Симптоматика с операционкой на стороне клиента как-либо связана?