Dom@Net и вирусы

Примерно от начала декабря в основном в разделе [url=https://forumodua.com/showthread.php?t=47383&page=188]Вопросы и жалобы по Dom@Net(*)[/url] стали появляться сообщения о наличии вирусов на страницах сайта тенет. У меня нет возможности и желания отсеять все сообщения по этой проблеме и склеить из нее отдельную тему (у кого есть - сделайте, будет только удобней).


Интро.

У абонентов сетей DomaNet при правильных настройках компьютер получает IP адрес от ДХЦП сервера провайдера. В свойствах подключения по локальной сети это выглядит как выбранный пункт "Получить IP адрес автоматически". Кроме самого IP адреса на самом деле компьютер получает еще и маску, шлюзы, маршруты, днс, винс и т.д.
Именно шлюз[b]ы[/b]. Выглядит это примерно так:
[code]C:\>ipconfig /all
Основной шлюз . . . . . . . . . . : 192.168.258.250
DHCP-сервер . . . . . . . . . . . : 192.168.258.1[/code]
Или другими словами
192.168.258.250 - шлюз доступа на внутренние ресурсы;
192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.


Майн.

Некоторое время назад в некоторых сетях распространился вирус, который на зараженном компьютере "прописывает" ИП адрес шлюза для доступа на внутренние ресурсы (192.168.258.250). Так как этот компьютер для остальных абонентов сети находится ближе, то и пакеты от незараженного компьютера на внутренние ресурсы попадают именно на него, а не на легальный шлюз-сервер_провайдера. Вирус перехватывает запросы юзеров и вписывает опасный код в текст html-страничек, на которых присутствуют поля для ввода логина и пароля (а может и вообще всех подряд). Именно поэтому для обывателей кажется, что заражены только странички сайтов тенет.

На данный момент это наблюдается в сетях Гайдара, Космонавтов2, Экономическая, Пионерская, Терешковой, Вильямса, Генерала Петрова.

В момент, когда проблема не наблюдается надо выяснить МАК-адрес шлюза провайдера:
[code]C:\> arp -a
Интерфейс: 192.168.258.333 --- 0x4
Адрес IP Физический адрес Тип
192.168.258.250 00-11-22-33-44-55 динамический[/code]
(ИП и МАК взяты для примера, у вас будут другие данные).

Этот МАК надо запомнить, а лучше записать. В момент, когда вдруг обнаруживаете вирус в коде страницы, или просто от нефиг делать, очищаете АРП таблицу на своем компе и фиксируете статическую запись:
[code]C:\>arp -d *
C:\>arp -s 192.168.258.250 00-11-22-33-44-55
C:\>arp -a
Интерфейс: 192.168.258.333 --- 0x4
Адрес IP Физический адрес Тип
192.168.258.250 00-11-22-33-44-55 статический[/code]

После этого теоретически шпионский шлюз с вирусами вам не страшен.
Но намного приятней настучать на этого мегахацкера в техсаппорт, чтобы его забанили. Опять же, периодически пингаете указанный ИП и проверяете АРП таблицу. Если МАК не совпадает с зафиксированным ранее, значит можно писать кляузу. !!! Для поиска хулигана статической записи в АРП таблице быть не должно !!!


Аутро.

Если есть толковые вопросы по теме - отвечу. Может вместе разрулим ситуацию, потому что удаленно понять что за вирусяка на компе задрота не получается. На бестолковые вопросы оставляю за собой право не отвечать.
Если вы не поняли, что я написал, значит это не для вас.
Если надумали писать письма в саппорт, постарайтесь указать как можно больше точных и нужных данных, а не просто "заблокируйте кого-нибудь".

я подписываюсь под каждым словом [B]troppus[/B]
в дополнение еще хочу сказать - если вы стали наблюдать непонятные тормоза в интернете (в случае если у вас нет антивируса или он просто ничего не кричит) - не поленитесь проверить настройки сети. Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС. Казенный шлюз Тенета никогда [B]не равен[/B] этому IP.
[B]Subbot[/B], иногда лучше жевать, чем говорить.

[b]fatman[/b], про левые дхцп думаю отдельной темой написать.

[QUOTE=fatman;2135051] Если вы видите там в качестве шлюза 192.168.0.1 - вы можете смело снимать ARP-таблицу и уведомлять ТП о наличии этого шлюза и его МАС. [/QUOTE]

к примеру вчера у меня был шлюзом 192.168.0.1, но сегодня уже совсем с другим MAC адресом, был IP 192.168.0.50. Так что не факт что будет именно 1 или 50.

а ещё был шлюзом 0.0.0.0, что меня очень улыбнуло :))

[B]troppus[/B] спасибо за отдельный топик с грамотным объяснением!

пока что меня спасает от получения "левых" IPов запись в фаерволе: запретить всё входящее/исходящее с/на 192.168.0.0/24.


Ну вот, только написал запись о запрете подсети, посмотрел логи фаера -- теперь он видит ARP cache poisoning attack с 192.168.1.0/24.
Думаю наш "гений" прогреесирует и смеётся над нами, внимательно читая наши посты :-)

Уважаемые, просьба не мешать в одну кучу ситуацию с вирусными шлюзами и левые дхцп (случаи, когда вашему компьютеру назначается нетенетовские адреса подключению по локальной сети). Вы только запутаете обывателей и здесь тоже будет из разных проблем. Лучше каждую разбирать отдельно.

troppus,
Про тупые реплики вы конечно погоречились, чего впредь я вам не советую делать далее. Защита и безопасность сети, как я понял в вашей компетенции, значит занимайтесь этим квалифицировано, а не так, чтобы приходилось писать на форум то, что 90% пользователей точно не смогут сделать, а подавляющее большинство вообще не поймет что делать.

Антивирус и фаер у меня включен перманентно (абонентский договор предусматривает это как средство обязательной защиты) всё же остальное, а главное последствия для меня и других пользователей возлагаются ,как я понимаю, на Вас, в том числе и отвественность в широком смысле этого слова.

[QUOTE=troppus;2134858]192.168.258.250 - шлюз доступа на внутренние ресурсы;
192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.
(ИП и МАК взяты для примера, у вас будут другие данные).
[/QUOTE]

.258. Это круто даже для примера.

[B]Subbot[/B], молоток, ты лучший. Ни в коем случае никогда не выключай Антивирус и фаер, а лучше даже к компу не подходи - вдруг заразу подцепишь.

А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.

[QUOTE=dron007;2136599]А не стремно привязываться к Мак-адресу шлюза? Если он поменяется, потом долго надо будет разбираться почему вдруг инет пропал.[/QUOTE]

Это временное решение на момент, пока техсаппорт будет вычислять и блокировать левый шлюз.

При перезагрузки компа эта запись исчезнет.

[QUOTE=12345;2135759].258. Это круто даже для примера.[/QUOTE]

Зато если обыватель бестолково копипастом будет по "образу и подобию" делать что-то у себя на компе, система просто не позволит ему ошибиться.:stop:

Если кто-то захочет прислать жалобу в техсаппорт (это я рекомендую делать) или тут (реакция может и не последовать!), то надо предоставить такие данные результат выполнения комманд:
1. ipconfig -all
если не хочеться ВСЕ выписывать, то главное указать состояние Ethernet адаптера:
[code]Подключение по локальной сети - Ethernet адаптер:
Физический адрес. . . . . . . . . : 01-23-45-67-89-AB
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.258.333
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.258.250
DHCP-сервер . . . . . . . . . . . : 192.168.258.1
DNS-серверы . . . . . . . . . . . : 192.168.258.1
Аренда получена . . . . . . . . . : 32 мартобря 141 г. до р.х. 65:43:21[/code]
2. arp -a
опять же, можно не все присылать, а только то, что касается шлюзов:
[code]Интерфейс: 192.168.258.333 --- 0x4
Адрес IP Физический адрес Тип
192.168.258.250 00-11-22-33-44-55 динамический
192.168.258.1 00-AA-BB-CC-DD-EE динамический[/code]

Кстати, еще один вариант действий, пока ожидаете реакции техсаппорта. Ранее я рекомендовал вносить изменения в арп-таблицу, чтобы не использовать нелегальный шлюз. Если это не подействует, можно изменить таблицу маршрутизации таким образом, чтобы вообще не использовать шлюз (тенетовский или вирусный - уже не важно будет). При этом трафик на контент пойдет через подключения к интернет (РРРОЕ) и НЕ будут доступны по локалке, но при этом будут работать и никакой вирусный шлюз не страшен.
При нормальных условиях часть таблицы маршрутизации выглядит так:
[code]C:\>route print
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.258.250 192.168.258.333 22
195.138.68.88 255.255.255.248 192.168.258.250 192.168.258.333 1
195.138.78.64 255.255.255.240 192.168.258.250 192.168.258.333 1
195.138.80.33 255.255.255.255 192.168.258.250 192.168.258.333 1
195.138.80.40 255.255.255.255 192.168.258.250 192.168.258.333 1
195.138.80.50 255.255.255.255 192.168.258.250 192.168.258.333 1
195.138.80.54 255.255.255.255 192.168.258.250 192.168.258.333 1
===========================================================================[/code]

Вот эти маршруты (кроме первого) и надо поудалять. Делается это так:

[code]C:\>route delete 195.138.68.88
C:\>route delete 195.138.78.64
C:\>route delete 195.138.80.33
C:\>route delete 195.138.80.40
C:\>route delete 195.138.80.50
C:\>route delete 195.138.80.54 [/code]

Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.

[QUOTE=fatman;2137282]Гораздо проще просто в свойствах подключения по локальной сети отключить привязку к TCP/IP, оставив только виртуальный PPP интерфейс.[/QUOTE]

Тоже можно. С одной стороны это плохо, потому что сетевое окружение не будет доступно. С другой стороны именно это и хоршо - вирусы распространяемые по локалке и прочие связанные с ней проблемы будут исключены.

Господи...
Ну вот о чём вы тут говорите???:cry:
вроде ж по-русски, а не понимаю ж ни одного слова...:cry:
А что нам, чайникам, делать???:shine:

У меня вопрос
а почему тенет не использует оборудование на котором нельзя провести APR аттаку???

[quote=pupsa;2137470]Господи...
Ну вот о чём вы тут говорите???:cry:
вроде ж по-русски, а не понимаю ж ни одного слова...:cry:
А что нам, чайникам, делать???:shine:[/quote]

Варианта три.
1. Продолжать мучаться дальше, осознавая свою безграмотность и безнадежность.
2. Научиться пользоваться компьютером в степени достаточной для понимания основных происходящих процессов.
3. Женить на себе компьютерщика.

[QUOTE=f3ss;2137491]У меня вопрос
а почему тенет не использует оборудование на котором нельзя провести APR аттаку???[/QUOTE]

Подскажи, что такое "APR аттака" ?

Для проверки список МАК адресов честных шлюзов разных сетей:[code]
Сеть ИП шлюза МАК (последние три пары)
=========================================================
Вильямса 10.0.203.250 97:46:3F
Вишневского 10.0.230.250 85:E6:80
Гайдара 192.168.49.250 85:E6:80
Генерала Петрова 192.168.5.250 85:E6:80
Космонавтов 2 10.0.215.250 C9:59:00
Пионерская 10.0.21.250 9D:A7:80
Терешковой 10.0.217.250 C9:59:00
Экономическая 10.0.79.250 9A:8A:80
[/code]