Тема: [email protected] и вирусы

Ответить в теме
Страница 1 из 4 1 2 3 ... ПоследняяПоследняя
Показано с 1 по 20 из 65
  1. Вверх #1

    Exclamation [email protected] и вирусы (подмена шлюза)

    Примерно от начала декабря в основном в разделе Вопросы и жалобы по [email protected](*) стали появляться сообщения о наличии вирусов на страницах сайта тенет. У меня нет возможности и желания отсеять все сообщения по этой проблеме и склеить из нее отдельную тему (у кого есть - сделайте, будет только удобней).


    Интро.

    У абонентов сетей DomaNet при правильных настройках компьютер получает IP адрес от ДХЦП сервера провайдера. В свойствах подключения по локальной сети это выглядит как выбранный пункт "Получить IP адрес автоматически". Кроме самого IP адреса на самом деле компьютер получает еще и маску, шлюзы, маршруты, днс, винс и т.д.
    Именно шлюзы. Выглядит это примерно так:
    Код:
    C:\>ipconfig /all
             Основной шлюз . . . . . . . . . . : 192.168.258.250
             DHCP-сервер . . . . . . . . . . . : 192.168.258.1
    Или другими словами
    192.168.258.250 - шлюз доступа на внутренние ресурсы;
    192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.


    Майн.

    Некоторое время назад в некоторых сетях распространился вирус, который на зараженном компьютере "прописывает" ИП адрес шлюза для доступа на внутренние ресурсы (192.168.258.250). Так как этот компьютер для остальных абонентов сети находится ближе, то и пакеты от незараженного компьютера на внутренние ресурсы попадают именно на него, а не на легальный шлюз-сервер_провайдера. Вирус перехватывает запросы юзеров и вписывает опасный код в текст html-страничек, на которых присутствуют поля для ввода логина и пароля (а может и вообще всех подряд). Именно поэтому для обывателей кажется, что заражены только странички сайтов тенет.

    На данный момент это наблюдается в сетях Гайдара, Космонавтов2, Экономическая, Пионерская, Терешковой, Вильямса, Генерала Петрова.

    В момент, когда проблема не наблюдается надо выяснить МАК-адрес шлюза провайдера:
    Код:
    C:\> arp -a
    Интерфейс: 192.168.258.333 --- 0x4
      Адрес IP              Физический адрес      Тип
      192.168.258.250          00-11-22-33-44-55     динамический
    (ИП и МАК взяты для примера, у вас будут другие данные).

    Этот МАК надо запомнить, а лучше записать. В момент, когда вдруг обнаруживаете вирус в коде страницы, или просто от нефиг делать, очищаете АРП таблицу на своем компе и фиксируете статическую запись:
    Код:
    C:\>arp -d *
    C:\>arp -s 192.168.258.250 00-11-22-33-44-55     
    C:\>arp -a
    Интерфейс: 192.168.258.333 --- 0x4
      Адрес IP              Физический адрес      Тип
      192.168.258.250       00-11-22-33-44-55     статический
    После этого теоретически шпионский шлюз с вирусами вам не страшен.
    Но намного приятней настучать на этого мегахацкера в техсаппорт, чтобы его забанили. Опять же, периодически пингаете указанный ИП и проверяете АРП таблицу. Если МАК не совпадает с зафиксированным ранее, значит можно писать кляузу. !!! Для поиска хулигана статической записи в АРП таблице быть не должно !!!


    Аутро.

    Если есть толковые вопросы по теме - отвечу. Может вместе разрулим ситуацию, потому что удаленно понять что за вирусяка на компе задрота не получается. На бестолковые вопросы оставляю за собой право не отвечать.
    Если вы не поняли, что я написал, значит это не для вас.
    Если надумали писать письма в саппорт, постарайтесь указать как можно больше точных и нужных данных, а не просто "заблокируйте кого-нибудь".
    Последний раз редактировалось troppus; 29.12.2007 в 18:26. Причина: опечатка
    Я никому ничего не должен.


  2. Вверх #2
    Бывалый
    Аватар для fatman
    Пол
    Мужской
    Возраст
    40
    Сообщений
    8,626
    Репутация
    1312
    я подписываюсь под каждым словом troppus
    в дополнение еще хочу сказать - если вы стали наблюдать непонятные тормоза в интернете (в случае если у вас нет антивируса или он просто ничего не кричит) - не поленитесь проверить настройки сети. Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС. Казенный шлюз Тенета никогда не равен этому IP.
    Subbot, иногда лучше жевать, чем говорить.

  3. Вверх #3
    fatman, про левые дхцп думаю отдельной темой написать.
    Я никому ничего не должен.

  4. Вверх #4
    Частый гость Аватар для KolobocK
    Пол
    Мужской
    Адрес
    Одесса, как она есть!
    Сообщений
    675
    Репутация
    640
    Записей в дневнике
    3
    Цитата Сообщение от fatman Посмотреть сообщение
    Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС.
    к примеру вчера у меня был шлюзом 192.168.0.1, но сегодня уже совсем с другим MAC адресом, был IP 192.168.0.50. Так что не факт что будет именно 1 или 50.

    а ещё был шлюзом 0.0.0.0, что меня очень улыбнуло )

    troppus спасибо за отдельный топик с грамотным объяснением!

    пока что меня спасает от получения "левых" IPов запись в фаерволе: запретить всё входящее/исходящее с/на 192.168.0.0/24.


    Ну вот, только написал запись о запрете подсети, посмотрел логи фаера -- теперь он видит ARP cache poisoning attack с 192.168.1.0/24.
    Думаю наш "гений" прогреесирует и смеётся над нами, внимательно читая наши посты

  5. Вверх #5
    Уважаемые, просьба не мешать в одну кучу ситуацию с вирусными шлюзами и левые дхцп (случаи, когда вашему компьютеру назначается нетенетовские адреса подключению по локальной сети). Вы только запутаете обывателей и здесь тоже будет из разных проблем. Лучше каждую разбирать отдельно.
    Я никому ничего не должен.

  6. Вверх #6
    troppus,
    Про тупые реплики вы конечно погоречились, чего впредь я вам не советую делать далее. Защита и безопасность сети, как я понял в вашей компетенции, значит занимайтесь этим квалифицировано, а не так, чтобы приходилось писать на форум то, что 90% пользователей точно не смогут сделать, а подавляющее большинство вообще не поймет что делать.

    Антивирус и фаер у меня включен перманентно (абонентский договор предусматривает это как средство обязательной защиты) всё же остальное, а главное последствия для меня и других пользователей возлагаются ,как я понимаю, на Вас, в том числе и отвественность в широком смысле этого слова.
    Закрыв глаза можно увидеть гораздо больше...

  7. Вверх #7

    Smile .258

    Цитата Сообщение от troppus Посмотреть сообщение
    192.168.258.250 - шлюз доступа на внутренние ресурсы;
    192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.
    (ИП и МАК взяты для примера, у вас будут другие данные).
    .258. Это круто даже для примера.

  8. Вверх #8
    Бывалый
    Аватар для fatman
    Пол
    Мужской
    Возраст
    40
    Сообщений
    8,626
    Репутация
    1312
    Subbot, молоток, ты лучший. Ни в коем случае никогда не выключай Антивирус и фаер, а лучше даже к компу не подходи - вдруг заразу подцепишь.

  9. Вверх #9
    Постоялец форума Аватар для dron007
    Пол
    Мужской
    Возраст
    40
    Сообщений
    1,248
    Репутация
    433
    А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.

  10. Вверх #10

    Cool статические записи в арп-таблице

    Цитата Сообщение от dron007 Посмотреть сообщение
    А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.
    Это временное решение на момент, пока техсаппорт будет вычислять и блокировать левый шлюз.

    При перезагрузки компа эта запись исчезнет.
    Я никому ничего не должен.

  11. Вверх #11

    Talking .258

    Цитата Сообщение от 12345 Посмотреть сообщение
    .258. Это круто даже для примера.
    Зато если обыватель бестолково копипастом будет по "образу и подобию" делать что-то у себя на компе, система просто не позволит ему ошибиться.
    Я никому ничего не должен.

  12. Вверх #12

    Exclamation какие данные нужны для расследования

    Если кто-то захочет прислать жалобу в техсаппорт (это я рекомендую делать) или тут (реакция может и не последовать!), то надо предоставить такие данные результат выполнения комманд:
    1. ipconfig -all
    если не хочеться ВСЕ выписывать, то главное указать состояние Ethernet адаптера:
    Код:
    Подключение по локальной сети - Ethernet адаптер:
            Физический адрес. . . . . . . . . : 01-23-45-67-89-AB
            Dhcp включен. . . . . . . . . . . : да
            Автонастройка включена  . . . . . : да
            IP-адрес  . . . . . . . . . . . . : 192.168.258.333
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 192.168.258.250
            DHCP-сервер . . . . . . . . . . . : 192.168.258.1
            DNS-серверы . . . . . . . . . . . : 192.168.258.1
            Аренда получена . . . . . . . . . : 32 мартобря 141 г. до р.х. 65:43:21
    2. arp -a
    опять же, можно не все присылать, а только то, что касается шлюзов:
    Код:
    Интерфейс: 192.168.258.333 --- 0x4
      Адрес IP              Физический адрес      Тип
      192.168.258.250       00-11-22-33-44-55     динамический
      192.168.258.1         00-AA-BB-CC-DD-EE     динамический
    Я никому ничего не должен.

  13. Вверх #13

    Exclamation Вариант 2. Изменения таблицы маршрутизации

    Кстати, еще один вариант действий, пока ожидаете реакции техсаппорта. Ранее я рекомендовал вносить изменения в арп-таблицу, чтобы не использовать нелегальный шлюз. Если это не подействует, можно изменить таблицу маршрутизации таким образом, чтобы вообще не использовать шлюз (тенетовский или вирусный - уже не важно будет). При этом трафик на контент пойдет через подключения к интернет (РРРОЕ) и НЕ будут доступны по локалке, но при этом будут работать и никакой вирусный шлюз не страшен.
    При нормальных условиях часть таблицы маршрутизации выглядит так:
    Код:
    C:\>route print
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза        Интерфейс  Метрика
              0.0.0.0          0.0.0.0  192.168.258.250  192.168.258.333       22
        195.138.68.88  255.255.255.248  192.168.258.250  192.168.258.333        1
        195.138.78.64  255.255.255.240  192.168.258.250  192.168.258.333        1
        195.138.80.33  255.255.255.255  192.168.258.250  192.168.258.333        1
        195.138.80.40  255.255.255.255  192.168.258.250  192.168.258.333        1
        195.138.80.50  255.255.255.255  192.168.258.250  192.168.258.333        1
        195.138.80.54  255.255.255.255  192.168.258.250  192.168.258.333        1
    ===========================================================================
    Вот эти маршруты (кроме первого) и надо поудалять. Делается это так:

    Код:
    C:\>route delete 195.138.68.88
    C:\>route delete 195.138.78.64
    C:\>route delete 195.138.80.33  
    C:\>route delete 195.138.80.40  
    C:\>route delete 195.138.80.50  
    C:\>route delete 195.138.80.54
    Я никому ничего не должен.

  14. Вверх #14
    Бывалый
    Аватар для fatman
    Пол
    Мужской
    Возраст
    40
    Сообщений
    8,626
    Репутация
    1312
    Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.

  15. Вверх #15
    Цитата Сообщение от fatman Посмотреть сообщение
    Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.
    Тоже можно. С одной стороны это плохо, потому что сетевое окружение не будет доступно. С другой стороны именно это и хоршо - вирусы распространяемые по локалке и прочие связанные с ней проблемы будут исключены.
    Я никому ничего не должен.

  16. Вверх #16
    Ягода Маринка

    Аватар для pupsa
    Пол
    Женский
    Адрес
    Одесса, Украина
    Сообщений
    74,968
    Репутация
    157702
    Записей в дневнике
    259
    Господи...
    Ну вот о чём вы тут говорите???
    вроде ж по-русски, а не понимаю ж ни одного слова...
    А что нам, чайникам, делать???
    "Между 34 и 35 годами я прожила 10 прекрасных лет"

  17. Вверх #17
    У меня вопрос
    а почему тенет не использует оборудование на котором нельзя провести APR аттаку???

  18. Вверх #18
    Цитата Сообщение от pupsa Посмотреть сообщение
    Господи...
    Ну вот о чём вы тут говорите???
    вроде ж по-русски, а не понимаю ж ни одного слова...
    А что нам, чайникам, делать???
    Варианта три.
    1. Продолжать мучаться дальше, осознавая свою безграмотность и безнадежность.
    2. Научиться пользоваться компьютером в степени достаточной для понимания основных происходящих процессов.
    3. Женить на себе компьютерщика.
    Последний раз редактировалось troppus; 30.12.2007 в 20:26. Причина: опечатка
    Я никому ничего не должен.

  19. Вверх #19
    Цитата Сообщение от f3ss Посмотреть сообщение
    У меня вопрос
    а почему тенет не использует оборудование на котором нельзя провести APR аттаку???
    Подскажи, что такое "APR аттака" ?
    Я никому ничего не должен.

  20. Вверх #20
    Для проверки список МАК адресов честных шлюзов разных сетей:
    Код:
       Сеть			   ИП шлюза	МАК (последние три пары)
    =========================================================
    Вильямса		10.0.203.250	97:46:3F
    Вишневского		10.0.230.250	85:E6:80
    Гайдара			192.168.49.250	85:E6:80
    Генерала Петрова	192.168.5.250	85:E6:80
    Космонавтов 2		10.0.215.250	C9:59:00
    Пионерская		10.0.21.250	9D:A7:80
    Терешковой		10.0.217.250	C9:59:00
    Экономическая		10.0.79.250	9A:8A:80
    Я никому ничего не должен.


Ответить в теме
Страница 1 из 4 1 2 3 ... ПоследняяПоследняя

Похожие темы

  1. Для пользователей [email protected] ICR сервер, линк на Чёрное Море.
    от Turtalaha в разделе Интернет :: технические вопросы
    Ответов: 14
    Последнее сообщение: 04.06.2005, 23:35
  2. Ответов: 69
    Последнее сообщение: 04.03.2005, 20:55
  3. mirc (канал на тенете #[email protected])
    от Setup в разделе Интернет
    Ответов: 10
    Последнее сообщение: 21.11.2004, 16:36
  4. Пользователи [email protected] (ТеНет) надо протестировать ftp сервер
    от klon в разделе Интернет :: технические вопросы
    Ответов: 8
    Последнее сообщение: 28.10.2004, 05:10
  5. Как подключают в Тенете к [email protected]
    от Bucha в разделе Интернет :: технические вопросы
    Ответов: 14
    Последнее сообщение: 09.10.2004, 20:03

Метки этой темы

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения