Jump to content
Калькуляторы

что за трипер подмена ДНС

Сегодня несколько клиентов начали жаловаться, что не открываются станицы ( аська, скайп и еще пара софтин пашут отлично), пингы проходят нормально.

При выезде на место выяснилось, что все пинги идут на ип 207.69.188.186 . Из антивирей стоят касперы и НОДы, прогнал еще парой антивирусов (CureIt и портабле каспера), в ответ тишина. Если подключиться в порт медиаконвертора и под его логином (pppoe) своим ноутом на клиентской стороне, то все работает без проблем.

Кто-нить с такой гадостью сталкивался ?

Share this post


Link to post
Share on other sites

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

Поверяйте у больных сетевые настройки и возвращайте взад то, что должно быть.

Вариант прописан выше.

У мня вместо прописанного в зикселеской базе выдает такое имя: http://tw.yahoo.com/

 

Share this post


Link to post
Share on other sites

1. Зухели не юзаю, да и модемы вообще, схема такая ( клиент-медиаконвертор-медиаконвертор-коммутатор)

2. почему ето не срабатывает на моем ноуте, который я втыкаю на стороне клиента

3. такая проблема не у всех клиентов, а только у нескольких

 

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

возможно.... интересует как ету гадость прибить

ЗЫ: один щас переставил винду начисто, но проблема осталась

Edited by Tem

Share this post


Link to post
Share on other sites

Между компьютером и компом какого-нибудь мыльничного или писюкового роутера нет у потерпевшего переустановщика винды? Могло закешироваться...

 

Share this post


Link to post
Share on other sites

нет ..только пара моих свичей (DES-3028)

Share this post


Link to post
Share on other sites

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

Share this post


Link to post
Share on other sites

Блин, сколько можно уже! Проверяем работоспособность DNS пингами! Давайте проверять наличие в сети питания электричества конденсаторами на 2Ф.

Делай

nslookup тахернякотораянеработает

Потом анализируй, что отдаёт твой/вышестоящий ДНС и что на входе получает ping. Если различаются - man hosts, man ipconfig (в части flushdns). И вообще, результаты выводов команд сюда, после думать уже будем. А то по фотографии, тем более черно-белой, тем более с хреновым качеством, тем более непонятно какого объекта, который подлежит лечению (даже, видимо, следствию)...

Share this post


Link to post
Share on other sites

Меня несколько удивило то, что свежеустановленная на отформативный диск винда после подключения к сети первым лелом поперлась на тот же адрес.

И откуда она могла его взять?

Может все же стоит порыть операторскую инфрасруктуру?

Share this post


Link to post
Share on other sites

сомневаюсь на счет форматирования...

Share this post


Link to post
Share on other sites

Не ужто поверх старой, типа обновить? Верится с трудом, ибо это уже просто клиника...

Share this post


Link to post
Share on other sites

Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

Share this post


Link to post
Share on other sites

Касперу противопоказано такое издевательство - можно размножить пакость.

 

http://www.freedrweb.com/cureit/ в безопасном режиме(всякую пакость о которой будут вопросы при загрусзке - незагружать)

 

Если непомогло - http://virusinfo.info/pravila.html

Share this post


Link to post
Share on other sites

Достаточно просто

загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

Share this post


Link to post
Share on other sites
Достаточно просто
загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

Болт на 22.....

Базы обновлений должны быть не старее 1 часа, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Share this post


Link to post
Share on other sites

о_О появились вирусы на линукс?

антивирусы уже давно есть

Share this post


Link to post
Share on other sites
Болт на 22.....
hands.dll
Базы обновлений должны быть не старее 1 часа
Кто-то мешает выйти с live-cd в интернет?
и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.
Вот эту сентенцию не уловил. Мы грузимся с CD, винт при этом на предмет загрузки не дёргается. Или речь о чём-то другом? Если да, то желательно подробнее, с пояснениями почему указанный вариант невозможен в случае "подключить его в НЕЗАРАЖЕНУЮ"

Share this post


Link to post
Share on other sites

страшные руткиты сидящие в биосе винта?

А страшных руткитов в конденсаторах блока питания еще не было?

Share this post


Link to post
Share on other sites
, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Свят свят свят, какой страшный програм... Но тогда винт вообще подключать нельзя.. Как только антивирус решить проверить файл, так файл окажется в памяти межу прочим.... Анализировать данные на диске, не читая их в память, не возможно, как бы. Да и винт то "инициализировать" надо будет.

 

С какого будуна при загрузке с лайв сиди чтото будет выполняться с жесткого диска ? (нет, конечно, при желании, автор лафв сиди мог бы придуимть такую "услугу", но зачем?)

 

 

 

 

А страшных руткитов в конденсаторах блока питания еще не было?

+1..

 

20 лет прошло, а сказки все теже.

Share this post


Link to post
Share on other sites

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

Уверен на 99%, что ответ кроется там.

Share this post


Link to post
Share on other sites

1. При старте ОС инициализируется оборудование, и хотите Вы этого, или нет - зараженный винт будет проинициализирован, из него будет считана таблица разделов, и выполнен некий вредоносный код, который инициализирует чтение и выполнение руткита.

2. Исходя из пункта 1 - винт нужно втыкать "на горячую", уже после инициализации ядра ОС и антивируса.

3. Файл действительно считывается в память, но уже при РАБОТАЮЩЕМ антивирусе, и сразу же будет или вылечен или удален, если в этот момент антивирус еще не будет инициализирован - в памяти появится руткит, который НЕ БУДЕТ ОБНАРУЖЕН ни каким антивирусом, если кто-то не понял, что такое руткит, и почему его не может быть в блоке питания, но может быть даже в БИОСе - гугль в помощь!

Share this post


Link to post
Share on other sites
Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

Это не "руткит", скорей всего обыкновенный фейк вконтакте или подобного сайта. Если это так, то каспер и прочие антивирусы тут ничем не помогут.

Share this post


Link to post
Share on other sites

выполнен некий вредоносный код

Название вируса в студию. По остальному позже

Share this post


Link to post
Share on other sites

Вообще-то BackDoor.MaosBoot

 

Только itl2044 по молодости и с перепугу перепутал руткит с буткитом. Что, однако, не отменяет того факта, что, судя по описанию, указанный вирус работал только в случае запуска MBR, а не считывания, которое происходит во всех более-менее известных на сегодня ОС (что проистекает из необходимости для этого вируса инициировать перезагрузку контупера после инфицирования).

Edited by GateKeeper

Share this post


Link to post
Share on other sites

Ничего я не путал, при инициализации винта считывается процедура выполнения кода по адресу хххх, а сам код считан из таблицы размещения файлов, причем понимаются все известные форматы, именно поэтому на незараженной машине - "невидно" файлов в разделе.

Таких вирусов - тысячи, и все они используют одинаковые бекдоры в системе инициализации винта.

Есть более изощреные, ориентированые на конкретные модели винчестеров - руткит прописывается в нулевой трек винта - и инициализирует СВОЮ подпрограмму, именно поэтому такие винты даже переразбивать бесполезно - только "ловлевел формат".

Но такие извраты - заказные, для адресного заражения - за свою недолгую жизнь видел всего 3 таких винта, 2 из них были IBM, один - гнусмас.

Делалось это для получения доступа к компютерам высших чинов в управлении.

Для ботнетов достаточно простой инициализации подпрограммы для подстановки в стек tcp-ip одного (заказаного) айпишника на все ДНС запросы.

Причем командой flushdns это не лечится, так же как и командой sock reset.

Самый простой путь лечения я указал выше, хотя можно прибегнуть к переразбивке разделов винта, но при этом потеряются ВСЕ данные на диске.

На Касперском я акцентировал внимание не просто так, в тех тяжелых условиях работы, в которых мы работаем - он не подводил ни разу, в отличии от НОДа или др ВЕБа (последний - вообще друшляк).

Я конечно понимаю, что сообщать прохожим - что перед ними грабли - дело не благодарное, но всетаки, может кто-то столкнувшись с такой проблемой, прочитает архив форума, и БЕЗ голоной боли решит свою проблему гарантированно и без особых потерь.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this