Dom@Net и вирусы

[troppus]

Примерно от начала декабря в основном в разделе Вопросы и жалобы по Dom@Net(*) стали появляться сообщения о наличии вирусов на страницах сайта тенет. У меня нет возможности и желания отсеять все сообщения по этой проблеме и склеить из нее отдельную тему (у кого есть - сделайте, будет только удобней).


Интро.

У абонентов сетей DomaNet при правильных настройках компьютер получает IP адрес от ДХЦП сервера провайдера. В свойствах подключения по локальной сети это выглядит как выбранный пункт "Получить IP адрес автоматически". Кроме самого IP адреса на самом деле компьютер получает еще и маску, шлюзы, маршруты, днс, винс и т.д.
Именно шлюзы. Выглядит это примерно так:

Код:

C:\>ipconfig /all
         Основной шлюз . . . . . . . . . . : 192.168.258.250
         DHCP-сервер . . . . . . . . . . . : 192.168.258.1

Или другими словами
192.168.258.250 - шлюз доступа на внутренние ресурсы;
192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.


Майн.

Некоторое время назад в некоторых сетях распространился вирус, который на зараженном компьютере "прописывает" ИП адрес шлюза для доступа на внутренние ресурсы (192.168.258.250). Так как этот компьютер для остальных абонентов сети находится ближе, то и пакеты от незараженного компьютера на внутренние ресурсы попадают именно на него, а не на легальный шлюз-сервер_провайдера. Вирус перехватывает запросы юзеров и вписывает опасный код в текст html-страничек, на которых присутствуют поля для ввода логина и пароля (а может и вообще всех подряд). Именно поэтому для обывателей кажется, что заражены только странички сайтов тенет.

На данный момент это наблюдается в сетях Гайдара, Космонавтов2, Экономическая, Пионерская, Терешковой, Вильямса, Генерала Петрова.

В момент, когда проблема не наблюдается надо выяснить МАК-адрес шлюза провайдера:

Код:

C:\> arp -a
Интерфейс: 192.168.258.333 --- 0x4
  Адрес IP              Физический адрес      Тип
  192.168.258.250          00-11-22-33-44-55     динамический

(ИП и МАК взяты для примера, у вас будут другие данные).

Этот МАК надо запомнить, а лучше записать. В момент, когда вдруг обнаруживаете вирус в коде страницы, или просто от нефиг делать, очищаете АРП таблицу на своем компе и фиксируете статическую запись:

Код:

C:\>arp -d *
C:\>arp -s 192.168.258.250 00-11-22-33-44-55     
C:\>arp -a
Интерфейс: 192.168.258.333 --- 0x4
  Адрес IP              Физический адрес      Тип
  192.168.258.250       00-11-22-33-44-55     статический

После этого теоретически шпионский шлюз с вирусами вам не страшен.
Но намного приятней настучать на этого мегахацкера в техсаппорт, чтобы его забанили. Опять же, периодически пингаете указанный ИП и проверяете АРП таблицу. Если МАК не совпадает с зафиксированным ранее, значит можно писать кляузу. !!! Для поиска хулигана статической записи в АРП таблице быть не должно !!!


Аутро.

Если есть толковые вопросы по теме - отвечу. Может вместе разрулим ситуацию, потому что удаленно понять что за вирусяка на компе задрота не получается. На бестолковые вопросы оставляю за собой право не отвечать.
Если вы не поняли, что я написал, значит это не для вас.
Если надумали писать письма в саппорт, постарайтесь указать как можно больше точных и нужных данных, а не просто "заблокируйте кого-нибудь".

[fatman]

я подписываюсь под каждым словом troppus
в дополнение еще хочу сказать - если вы стали наблюдать непонятные тормоза в интернете (в случае если у вас нет антивируса или он просто ничего не кричит) - не поленитесь проверить настройки сети. Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС. Казенный шлюз Тенета никогда не равен этому IP.
Subbot, иногда лучше жевать, чем говорить.

[troppus]

fatman, про левые дхцп думаю отдельной темой написать.

[KolobocK]

Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС.

к примеру вчера у меня был шлюзом 192.168.0.1, но сегодня уже совсем с другим MAC адресом, был IP 192.168.0.50. Так что не факт что будет именно 1 или 50.

а ещё был шлюзом 0.0.0.0, что меня очень улыбнуло )

troppus спасибо за отдельный топик с грамотным объяснением!

пока что меня спасает от получения "левых" IPов запись в фаерволе: запретить всё входящее/исходящее с/на 192.168.0.0/24.


Ну вот, только написал запись о запрете подсети, посмотрел логи фаера -- теперь он видит ARP cache poisoning attack с 192.168.1.0/24.
Думаю наш "гений" прогреесирует и смеётся над нами, внимательно читая наши посты

[troppus]

Уважаемые, просьба не мешать в одну кучу ситуацию с вирусными шлюзами и левые дхцп (случаи, когда вашему компьютеру назначается нетенетовские адреса подключению по локальной сети). Вы только запутаете обывателей и здесь тоже будет из разных проблем. Лучше каждую разбирать отдельно.

[Subbot]

troppus,
Про тупые реплики вы конечно погоречились, чего впредь я вам не советую делать далее. Защита и безопасность сети, как я понял в вашей компетенции, значит занимайтесь этим квалифицировано, а не так, чтобы приходилось писать на форум то, что 90% пользователей точно не смогут сделать, а подавляющее большинство вообще не поймет что делать.

Антивирус и фаер у меня включен перманентно (абонентский договор предусматривает это как средство обязательной защиты) всё же остальное, а главное последствия для меня и других пользователей возлагаются ,как я понимаю, на Вас, в том числе и отвественность в широком смысле этого слова.

[12345]

192.168.258.250 - шлюз доступа на внутренние ресурсы;
192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.
(ИП и МАК взяты для примера, у вас будут другие данные).

.258. Это круто даже для примера.

[fatman]

Subbot, молоток, ты лучший. Ни в коем случае никогда не выключай Антивирус и фаер, а лучше даже к компу не подходи - вдруг заразу подцепишь.

[dron007]

А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.

[troppus]

А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.

Это временное решение на момент, пока техсаппорт будет вычислять и блокировать левый шлюз.

При перезагрузки компа эта запись исчезнет.

[troppus]

.258. Это круто даже для примера.

Зато если обыватель бестолково копипастом будет по "образу и подобию" делать что-то у себя на компе, система просто не позволит ему ошибиться.

[troppus]

Если кто-то захочет прислать жалобу в техсаппорт (это я рекомендую делать) или тут (реакция может и не последовать!), то надо предоставить такие данные результат выполнения комманд:
1. ipconfig -all
если не хочеться ВСЕ выписывать, то главное указать состояние Ethernet адаптера:

Код:

Подключение по локальной сети - Ethernet адаптер:
        Физический адрес. . . . . . . . . : 01-23-45-67-89-AB
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.258.333
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.258.250
        DHCP-сервер . . . . . . . . . . . : 192.168.258.1
        DNS-серверы . . . . . . . . . . . : 192.168.258.1
        Аренда получена . . . . . . . . . : 32 мартобря 141 г. до р.х. 65:43:21

2. arp -a
опять же, можно не все присылать, а только то, что касается шлюзов:

Код:

Интерфейс: 192.168.258.333 --- 0x4
  Адрес IP              Физический адрес      Тип
  192.168.258.250       00-11-22-33-44-55     динамический
  192.168.258.1         00-AA-BB-CC-DD-EE     динамический

[troppus]

Кстати, еще один вариант действий, пока ожидаете реакции техсаппорта. Ранее я рекомендовал вносить изменения в арп-таблицу, чтобы не использовать нелегальный шлюз. Если это не подействует, можно изменить таблицу маршрутизации таким образом, чтобы вообще не использовать шлюз (тенетовский или вирусный - уже не важно будет). При этом трафик на контент пойдет через подключения к интернет (РРРОЕ) и НЕ будут доступны по локалке, но при этом будут работать и никакой вирусный шлюз не страшен.
При нормальных условиях часть таблицы маршрутизации выглядит так:

Код:

C:\>route print
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза        Интерфейс  Метрика
          0.0.0.0          0.0.0.0  192.168.258.250  192.168.258.333       22
    195.138.68.88  255.255.255.248  192.168.258.250  192.168.258.333        1
    195.138.78.64  255.255.255.240  192.168.258.250  192.168.258.333        1
    195.138.80.33  255.255.255.255  192.168.258.250  192.168.258.333        1
    195.138.80.40  255.255.255.255  192.168.258.250  192.168.258.333        1
    195.138.80.50  255.255.255.255  192.168.258.250  192.168.258.333        1
    195.138.80.54  255.255.255.255  192.168.258.250  192.168.258.333        1
===========================================================================

Вот эти маршруты (кроме первого) и надо поудалять. Делается это так:

Код:

C:\>route delete 195.138.68.88
C:\>route delete 195.138.78.64
C:\>route delete 195.138.80.33  
C:\>route delete 195.138.80.40  
C:\>route delete 195.138.80.50  
C:\>route delete 195.138.80.54

[fatman]

Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.

[troppus]

Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.

Тоже можно. С одной стороны это плохо, потому что сетевое окружение не будет доступно. С другой стороны именно это и хоршо - вирусы распространяемые по локалке и прочие связанные с ней проблемы будут исключены.

[pupsa]

Господи...
Ну вот о чём вы тут говорите???
вроде ж по-русски, а не понимаю ж ни одного слова...
А что нам, чайникам, делать???

[f3ss]

У меня вопрос
а почему тенет не использует оборудование на котором нельзя провести APR аттаку???

[troppus]

Господи...
Ну вот о чём вы тут говорите???
вроде ж по-русски, а не понимаю ж ни одного слова...
А что нам, чайникам, делать???

Варианта три.
1. Продолжать мучаться дальше, осознавая свою безграмотность и безнадежность.
2. Научиться пользоваться компьютером в степени достаточной для понимания основных происходящих процессов.
3. Женить на себе компьютерщика.

[troppus]

У меня вопрос
а почему тенет не использует оборудование на котором нельзя провести APR аттаку???

Подскажи, что такое "APR аттака" ?

[troppus]

Для проверки список МАК адресов честных шлюзов разных сетей:

Код:

   Сеть			   ИП шлюза	МАК (последние три пары)
=========================================================
Вильямса		10.0.203.250	97:46:3F
Вишневского		10.0.230.250	85:E6:80
Гайдара			192.168.49.250	85:E6:80
Генерала Петрова	192.168.5.250	85:E6:80
Космонавтов 2		10.0.215.250	C9:59:00
Пионерская		10.0.21.250	9D:A7:80
Терешковой		10.0.217.250	C9:59:00
Экономическая		10.0.79.250	9A:8A:80