umike Опубликовано 30 января, 2007 (изменено) · Жалоба у нескольких обратившихся подряд пользователей наблюдается перестройка DNS с выданных и даже прописанных вручную на единственный 194.67.57.104=ns2.mail.ru. Даже после принудительного прописывания DNS ручками, с машин запросы продолжают ходить на этот адрес чуть ли не со всеми запросами к ns. Пачками по десятку фигурирует x.x.x.x > 194.67.57.104.53: A? 76046.ipread.com. Похоже на какого-то очередного зверька. Ни у кого больше не наблюдается? Изменено 2 февраля, 2007 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 30 января, 2007 · Жалоба мож mail.ru agent? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 30 января, 2007 · Жалоба агент на дрегие адреса ломится - его сразу видно, да и к томуже какие чудаки будут свой днс нагружать всякой бурдой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 31 января, 2007 · Жалоба Очередные происки касперского, может быть? Аля: "Создадим вирь, разошлём всем подписчикам через сеть партнёров (тот же мыло.ру), а потом мужественно этот вирь у всех вылечим. О чем, естественно, не преминём ударить себя пяткой в грудь." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semerkin Опубликовано 31 января, 2007 · Жалоба Открыть диспетчер задач у этих пользователей и проследить, что там загружается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 1 февраля, 2007 · Жалоба Посмотрел более подробнo, погуглил - имхо трояны или черви. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 1 февраля, 2007 · Жалоба итого получено 4 комментария за 3 дня (продуманные и прогугленные до написания вопроса), ни одного ответа на вопрос. В связи с тем, что в эпидемию не переросло - вопрос исчерпан. Смутило то, что случилось это у нескольких абонентов в абсолютно разных сегментах сети буквально в одно и тоже время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
damned Опубликовано 1 февраля, 2007 · Жалоба у меня сегодня таких было пару десятков... никто никакой конкретики не узнал по этому вопросу, господа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
@ngel Опубликовано 1 февраля, 2007 · Жалоба ТОже столкнулись с этой проблемой у многих клиентов из разных подсетей меняется днс на 194.67.57.104=ns2.mail.ru . Задолбались уже его менять. ИМХО Червь сто пудняк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 1 февраля, 2007 · Жалоба Был аналогичный случай в воскресенье, клиент пожаловался что "часть сайтов не открываются" в результате по телефону выяснилось что у него этот адрес днс-ом прописан. Незаслуженно сказали клиенту насчёт блудливых ручек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GluckMaker Опубликовано 2 февраля, 2007 · Жалоба Если б такой червячок при этом ещё и новые корневые сертификаты в браузер прописывал... Открывается широкий простор для творчества! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 2 февраля, 2007 · Жалоба за сегодня еще с десяток случаев мелькнуло в пределах нашей сети но в другом городе. Тенденция однако. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 2 февраля, 2007 · Жалоба Чем не способ завалить инфраструктурный элемент, натравив на него пару десятков миллионов юзверей... Кучеряво... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krab Опубликовано 2 февраля, 2007 · Жалоба 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saalan Опубликовано 2 февраля, 2007 (изменено) · Жалоба Таже фигня, куча клиентов - уже начинает надоедать. У последнего не возможно исправить - свойства TCP\IP заблокированы (хотя он Администратор на компе). Либо новая версия, либо еденичный случай. Человек утверждает, что недавно обновлял агента MAIL.RU Изменено 2 февраля, 2007 пользователем Saalan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
@ngel Опубликовано 3 февраля, 2007 · Жалоба Ну что кто нибудь понял, что это за зараза? И как её найти и удалить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 3 февраля, 2007 · Жалоба Сперва подумал было, что кто-то обкатывает новый вариант ДОСа на ДНС сервера... Что-то давно никто корневые сервера не валил :) По размышлении зрелом понял, что не может быть, создать высокую плотность атаки таким образом не получится. Нагрузку вызовет, но не более... Может как раз это автор сейчас и выяснил? Рассчитывал на много-много запросов, а получилось - ерунда? А вот как инструмент мидльмена - очень даже, прикиньте, это же простейший способ перенаправить весь веб-трафик пользователя куда хочешь, причем если это делается нераспространяющимся нерезидентным кодом, не оставляющим следов... АФАИК, целостность сетевых настроек большинство антивирей и файров не контролирует... Чисто и надежно. Может очень долго работать, совершенно бесшумно. Жить все страшнее... Ну-ка, спецы тут есть в деталях протокола DNS? Простой, сделанные на уровне IP редирект 53tcp/udp на свой сервер DNS будет работать прозрачно для юзверя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexKh7000 Опубликовано 3 февраля, 2007 (изменено) · Жалоба А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил. Изменено 3 февраля, 2007 пользователем AlexKh7000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 3 февраля, 2007 · Жалоба А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил. Если это делается скриптом или неизвестным триппером, который тут же себя уничтожает - и будет тишина... Надо смотреть логи, где люди были последнее время, чудес-то не бывает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 февраля, 2007 (изменено) · Жалоба Сперва подумал было, что кто-то обкатывает новый вариант ДОСа на ДНС сервера... Что-то давно никто корневые сервера не валил :)DDOS на единичный ns2.mail.ru это бред. Кому он сдался? Тем более большой паники у ребят из мейла это не вызовет - ns держит совсем не одна машина )))) ЗЫ: Агент это первое на что я подумал, но я им пользуюсь и сам (есть такая необходимость) и такого не замечено. Изменено 3 февраля, 2007 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
@ngel Опубликовано 3 февраля, 2007 · Жалоба А на сайте Касперского тишина - "В настоящее время вирусных эпидемий не зафиксировано". А клиенты продолжают звонить, только что еще один позвонил. У вас один а у нас сотня за 1 день да позвонит =( . Напрягает малясь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 февраля, 2007 · Жалоба народ, ну посмотрите кто-нибудь от этих абонентов трафик на ns2.mail.ru. Есть там A? 76046.ipread.com или еще что подозрительное? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
@ngel Опубликовано 3 февраля, 2007 · Жалоба народ, ну посмотрите кто-нибудь от этих абонентов трафик на ns2.mail.ru. Есть там A? 76046.ipread.com или еще что подозрительное? А смысл??? Запрос может быть любым, ведь комп думает что это его ДНС, вот и посылает запрос на ns2.mail.ru что бы тот сказал какой ip у такогото сайта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 февраля, 2007 · Жалоба у выправленных посмотрите - от них и на правильные и на мейловский ходить начинают. Причем на мейловский - странные запросы встречаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 3 февраля, 2007 · Жалоба А это... Симптоматика с операционкой на стороне клиента как-либо связана? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...