Перейти к содержимому
Калькуляторы

что за трипер подмена ДНС

Сегодня несколько клиентов начали жаловаться, что не открываются станицы ( аська, скайп и еще пара софтин пашут отлично), пингы проходят нормально.

При выезде на место выяснилось, что все пинги идут на ип 207.69.188.186 . Из антивирей стоят касперы и НОДы, прогнал еще парой антивирусов (CureIt и портабле каспера), в ответ тишина. Если подключиться в порт медиаконвертора и под его логином (pppoe) своим ноутом на клиентской стороне, то все работает без проблем.

Кто-нить с такой гадостью сталкивался ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

Поверяйте у больных сетевые настройки и возвращайте взад то, что должно быть.

Вариант прописан выше.

У мня вместо прописанного в зикселеской базе выдает такое имя: http://tw.yahoo.com/

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Зухели не юзаю, да и модемы вообще, схема такая ( клиент-медиаконвертор-медиаконвертор-коммутатор)

2. почему ето не срабатывает на моем ноуте, который я втыкаю на стороне клиента

3. такая проблема не у всех клиентов, а только у нескольких

 

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

возможно.... интересует как ету гадость прибить

ЗЫ: один щас переставил винду начисто, но проблема осталась

Изменено пользователем Tem

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Между компьютером и компом какого-нибудь мыльничного или писюкового роутера нет у потерпевшего переустановщика винды? Могло закешироваться...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, сколько можно уже! Проверяем работоспособность DNS пингами! Давайте проверять наличие в сети питания электричества конденсаторами на 2Ф.

Делай

nslookup тахернякотораянеработает

Потом анализируй, что отдаёт твой/вышестоящий ДНС и что на входе получает ping. Если различаются - man hosts, man ipconfig (в части flushdns). И вообще, результаты выводов команд сюда, после думать уже будем. А то по фотографии, тем более черно-белой, тем более с хреновым качеством, тем более непонятно какого объекта, который подлежит лечению (даже, видимо, следствию)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня несколько удивило то, что свежеустановленная на отформативный диск винда после подключения к сети первым лелом поперлась на тот же адрес.

И откуда она могла его взять?

Может все же стоит порыть операторскую инфрасруктуру?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сомневаюсь на счет форматирования...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не ужто поверх старой, типа обновить? Верится с трудом, ибо это уже просто клиника...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Касперу противопоказано такое издевательство - можно размножить пакость.

 

http://www.freedrweb.com/cureit/ в безопасном режиме(всякую пакость о которой будут вопросы при загрусзке - незагружать)

 

Если непомогло - http://virusinfo.info/pravila.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно просто

загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно просто
загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

Болт на 22.....

Базы обновлений должны быть не старее 1 часа, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

о_О появились вирусы на линукс?

антивирусы уже давно есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Болт на 22.....
hands.dll
Базы обновлений должны быть не старее 1 часа
Кто-то мешает выйти с live-cd в интернет?
и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.
Вот эту сентенцию не уловил. Мы грузимся с CD, винт при этом на предмет загрузки не дёргается. Или речь о чём-то другом? Если да, то желательно подробнее, с пояснениями почему указанный вариант невозможен в случае "подключить его в НЕЗАРАЖЕНУЮ"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

страшные руткиты сидящие в биосе винта?

А страшных руткитов в конденсаторах блока питания еще не было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Свят свят свят, какой страшный програм... Но тогда винт вообще подключать нельзя.. Как только антивирус решить проверить файл, так файл окажется в памяти межу прочим.... Анализировать данные на диске, не читая их в память, не возможно, как бы. Да и винт то "инициализировать" надо будет.

 

С какого будуна при загрузке с лайв сиди чтото будет выполняться с жесткого диска ? (нет, конечно, при желании, автор лафв сиди мог бы придуимть такую "услугу", но зачем?)

 

 

 

 

А страшных руткитов в конденсаторах блока питания еще не было?

+1..

 

20 лет прошло, а сказки все теже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

Уверен на 99%, что ответ кроется там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. При старте ОС инициализируется оборудование, и хотите Вы этого, или нет - зараженный винт будет проинициализирован, из него будет считана таблица разделов, и выполнен некий вредоносный код, который инициализирует чтение и выполнение руткита.

2. Исходя из пункта 1 - винт нужно втыкать "на горячую", уже после инициализации ядра ОС и антивируса.

3. Файл действительно считывается в память, но уже при РАБОТАЮЩЕМ антивирусе, и сразу же будет или вылечен или удален, если в этот момент антивирус еще не будет инициализирован - в памяти появится руткит, который НЕ БУДЕТ ОБНАРУЖЕН ни каким антивирусом, если кто-то не понял, что такое руткит, и почему его не может быть в блоке питания, но может быть даже в БИОСе - гугль в помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

Это не "руткит", скорей всего обыкновенный фейк вконтакте или подобного сайта. Если это так, то каспер и прочие антивирусы тут ничем не помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

выполнен некий вредоносный код

Название вируса в студию. По остальному позже

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще-то BackDoor.MaosBoot

 

Только itl2044 по молодости и с перепугу перепутал руткит с буткитом. Что, однако, не отменяет того факта, что, судя по описанию, указанный вирус работал только в случае запуска MBR, а не считывания, которое происходит во всех более-менее известных на сегодня ОС (что проистекает из необходимости для этого вируса инициировать перезагрузку контупера после инфицирования).

Изменено пользователем GateKeeper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего я не путал, при инициализации винта считывается процедура выполнения кода по адресу хххх, а сам код считан из таблицы размещения файлов, причем понимаются все известные форматы, именно поэтому на незараженной машине - "невидно" файлов в разделе.

Таких вирусов - тысячи, и все они используют одинаковые бекдоры в системе инициализации винта.

Есть более изощреные, ориентированые на конкретные модели винчестеров - руткит прописывается в нулевой трек винта - и инициализирует СВОЮ подпрограмму, именно поэтому такие винты даже переразбивать бесполезно - только "ловлевел формат".

Но такие извраты - заказные, для адресного заражения - за свою недолгую жизнь видел всего 3 таких винта, 2 из них были IBM, один - гнусмас.

Делалось это для получения доступа к компютерам высших чинов в управлении.

Для ботнетов достаточно простой инициализации подпрограммы для подстановки в стек tcp-ip одного (заказаного) айпишника на все ДНС запросы.

Причем командой flushdns это не лечится, так же как и командой sock reset.

Самый простой путь лечения я указал выше, хотя можно прибегнуть к переразбивке разделов винта, но при этом потеряются ВСЕ данные на диске.

На Касперском я акцентировал внимание не просто так, в тех тяжелых условиях работы, в которых мы работаем - он не подводил ни разу, в отличии от НОДа или др ВЕБа (последний - вообще друшляк).

Я конечно понимаю, что сообщать прохожим - что перед ними грабли - дело не благодарное, но всетаки, может кто-то столкнувшись с такой проблемой, прочитает архив форума, и БЕЗ голоной боли решит свою проблему гарантированно и без особых потерь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.