Pages:
Author

Topic: Внимание! Подмена DNS - а похоже на взлом btc-e... (Read 6936 times)

tvv
legendary
Activity: 1302
Merit: 1005
Да, кстати, у провайдеров тоже DNS очень часто глючит, либо там содержимое может отличаться, либо "химичат" с DNS - например тут один пров если инет не оплачен через DNS перекидывает на страницу с оплатой вместо той ссылки что вы набрали...
newbie
Activity: 31
Merit: 0
нефиг по фиш ссылкам лазить
М.... Э....
Если у Вам на роутере подменят DNS - то Вы можете и не знать, что зашли на фишинговый сайт...
hero member
Activity: 827
Merit: 502
нефиг по фиш ссылкам лазить
newbie
Activity: 1
Merit: 0
Многие роутеры с расширенными настройками позволяют избавиться от всяких вариантов подмены ДНС - настраивается переадресация всех запросов на 53 порт (DNS) любых IP на DNS провайдера или гугла. Т.о. все клиенты за таким роутером, даже после подмены ДНС, ничего не заметят, и их безопасность не пострадает. Частным случаем таких роутеров является латвийский Mikrotik, не сочтите за рекламу. Однако на собственном микротике пару дней назад заметил досадную вещь - роутер был настроен как раз как днс сервер для локальной сети, но оказалось, что 53 порт открыт в этом случае и в интернет (внешний белый IP). Что позволило вредителям (видимо, диапазоны IP постоянно сканируются на открытость портов) устроить ddos атаку через DNS - угадайте куда - на mtgox.com! Было незамедлительно настроено правило на дроп всех пакетов на 53 порт извне (а их упало на мой IP 5 млн в сутки), нагрузка на роутер резко упала - а то во время атаки интернет мягко скажем тормозил.
tvv
legendary
Activity: 1302
Merit: 1005

http://ruformator.ru/blog/43542076191/«Laboratoriya-Kasperskogo»-raskryila-mezhdunarodnuyu-set-kibersh

tvv
legendary
Activity: 1302
Merit: 1005
qiwi у меня показывает 91.232.231.67

тоже такой, тока нслукап выдает зачем-то приписку "Non-authoritative answer".  Что бы это значило? Wink
(блин жаль исходников винды нет...)
newbie
Activity: 31
Merit: 0
PS  дак какой IP у QIWI и сбербанка, кстати?..
qiwi у меня показывает 91.232.231.67
tvv
legendary
Activity: 1302
Merit: 1005
Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.

это вы потом не забудьте повторить еще раз, когда ваши кошельки почистят...


PS  исходники ГСЧ который у вас в кошельке используется хорошо посмотрели?..
(проект по реверс-инж. все еще не нужен вам? Wink   Но нычего, нычего...   "лох платит всегда"  Wink )
hero member
Activity: 798
Merit: 1000
Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.
tvv
legendary
Activity: 1302
Merit: 1005
qiwi.ua и qiwi.com не был подменён,

дак и у меня не подменен...  Тем не менее даже шифрованное соединение и подтв по смс перехватываются...

Еще один из форексных серверов mt4 перехвачен(но что интересно - не все - даже на btc-e почему-то не все сервера перехватываются)


Quote
лучше на дату производства роутера посмотрите - она равна дате заражения
намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

нет, я намекал на то что АНБ-шники там заранее оставили закладки, которые мог найти любой хакер, даже если вы не интересны АНБ...


Quote
ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? Smiley или для себя?

ну майнеры это просто для частичной самоокупаемости проекта, может быть мелкий бизнес какой-нить получиться, это не главное.

Главное что это надо делать из-за безопасности - а прошивки роутеров и цисок (перехват траффика идет именно где-то на цисках провайдера! ) все равно потрошить придеться, причем именно дизассемблером, а не по исходникам, куда скорее всего закладки никогда и не заливали(либо убрали сразу как выпустили партию роутеров - мол старая версия - зачем лишний раз светиться)...

Vladimir
PS  история чата в google talk ни у кого не глючит?..

PPS  кстати, настроить сервак и поиграть с АНБ-шной точкой перехвата траффика никто не хочет? Wink
Забавная игрушка я вам скажу, не такая тупая как СОРМ(очень узкие фильтры выхватывают только то что им надо), но блин нельзя же их отпускать без бэкапа всего порнолаба на серверах АНБ...  Скрипт такой кто-нить может написать по-быстрому?  Надо короче эмулировать передачу TCP по портам и IP которые они перехватывают, это вроде не сложно, но блин не могу придумать как бы это сразу с торрентов лить туда напрямую, не засирая свой диск, а то места жалко, на убогих...
(они ваще обарзели - мало того что пасуться в российских сетях как у себя дома, дак еще и русских за лохов держат! А вот за это уже надо наказывать...)
newbie
Activity: 3
Merit: 0
tvv
Quote
PS  дак какой IP у QIWI и сбербанка, кстати?..
qiwi.ua и qiwi.com не был подменён, я пробивал сразу же qiwi, webmoney, google, btc-e... что подменили litecoinpool.ru нагуглил здесь https://forum.btcsec.com/index.php?/topic/5581-litecoinpoolru-vzlomali-predlagaiut-skachat-obnovlenie-flashplayer/

походу охотились за битками.

И еще Smiley сейчас этот DNS 5.45.75.10 резолвит валидные адреса Smiley видимо залёгли на дно.

http://s2.ipicture.ru/uploads/20140210/O1tIO0BE.png

в любом случае я отпишусь регистратору этих серверов 3Nt Solutions Llp, может пойдут на встречу и прикроют.

Quote
лучше на дату производства роутера посмотрите - она равна дате заражения
намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

Quote
ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? Smiley или для себя?
Для себя есть dd-wrt, tomato. Шас глянул в opt - доступен:
Code:
bfgminer - 3.8.1-1 - Modular Bitcoin CPU/GPU/FPGA miner in C
DD-WRT, кстати, пилят уже на linux kernel 3.X. Не такое решето как 2.4 и 2.6
tvv
legendary
Activity: 1302
Merit: 1005
Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)

о, кстати, у меня такой уже несколько дней стоит, полностью подключен, но кнопку POWER я еще не нажимал...
(так и не смог решить - надо ли сперва открутить ему антенны на всякий случай перед включением?.. )

Доктор, я параноик, или очень предусмотрительный? Wink



Quote
Метод взлома отследить не удалось.
аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.

лучше на дату производства роутера посмотрите - она равна дате заражения Wink


PS  ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
(кстати есть вероятность что даже окупиться - старые железки вполне могут майнить новые форки, 1 из 1000 выстрелит, но 1000 старых железок слегка дешевле 1000 ферм...)
tvv
legendary
Activity: 1302
Merit: 1005
Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

1  А с чего вы взяли что только АНБ использует АНБ-шные технологии?..

2  АНБ очень любит прикрываться тупыми вирусами - видели как они красиво прикрылись, после того как хакнули TOR когда остатки урожая после SR собирали?..   План лет на 10 будет Wink

3

Причем роутер не вайфайный.
Метод взлома отследить не удалось.
...
Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...



PS  дак какой IP у QIWI и сбербанка, кстати?..

PPS  АНБ может загрузить вам что угодно когда вы заходите на любую страницу - технологии включения в разрыв соединения это позволяют.   Обновите какой-нить виндус, адоб или даже интивирусник, либо просто зайдете на страницу своего любимого сайта - а вместо нее загрузиться по этому TCP немного другая... 
Быстро и качественно, и дырки в системе искать не надо, даже если у вас линукс или огрызок от него в роутере.

PPPS  если будете помогать(хотя бы на первое время, потом можете свалить когда еще люди подтянуться) делать сайт по безопасности, то поищу в архиве ссылки на описания этих технологий, а так лень...  (Это имеет смысл только если за всем этим следить и операжать их творения, иначе проще расслабиться и ...)
newbie
Activity: 3
Merit: 0
Quote
Метод взлома отследить не удалось.
аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.
newbie
Activity: 31
Merit: 0
Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.
Да, это именно оно.
Причем роутер не вайфайный.
Метод взлома отследить не удалось.
Что интересно. Роутер имеет коннекты на двух провайдеров.
После прописывания в настройках соединений DNS вместо автоматического на 8.8.8.8 - все штуки-глюки кончились.

Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...
newbie
Activity: 3
Merit: 0
Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.

Вот например записи этого сервера для

http://s2.ipicture.ru/uploads/20140210/SlcMroFl.png

На фишинговой странице по ссылке install скачивается файл зараженный Virus.Win32.Expiro.nr (по класификации Kaspersky). Довольно свежая модификация из семейства Virus.Win32.Expiro, занесён в базу в декабре 2013.
После установки вредоноса все ваши пароли от Firefox, IE, Filezilla, кошельков Litecoin, Bitcoin и т.д. улетают злоумышленникам.
Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. Простое удаление в реестре Ad0be не полечит.

скриншот
http://s2.ipicture.ru/uploads/20140210/thumbs/l23iRGOG.png

Пока писал пост, фишинговую страницу уже переместили - теперь она не отвечает. Сам DNS работает.
newbie
Activity: 31
Merit: 0
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.


не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...
...
У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..

Всё оказалось проще...
Я предположил, что на сервере IP не хранится, так как фишинговый сайт может менять своё местоположение, и "закладка" с зараженного роутера сначала будет по его имени брать IP, а потом его  подсовывать куда хочет. Поскольку имя уже засветилось - "Ad0be" (через ноль) - то я и прочесал диск в посках "Ad0be". Нашел два файла в папке "...../system32/Macromed/flash", и успешно их хлопнул.
Всё. Вируса больше нет, nslookup с моего компа на роутер даёт результат.
Server:  Rivendell
Address:  192.168.0.1
Name:    btc-e.com
Address:  141.101.121.194

Единственное, о чём жалею - что не сохранил для анализа. Но, блин, три ночи было уже - стормозил...


Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.
Абсолютно согласен. Уровень исполнения всего крайне низкий - сразу видишь, что имеет место какая-то подмена. Правда, я подумал сначала о взломе сайта - но по любому, было сразу ясно, что что-то  не так.

hero member
Activity: 798
Merit: 1000
Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.
tvv
legendary
Activity: 1302
Merit: 1005
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.

упс, попалась зверушка...

А можете слить дампы его ПЗУ, у вас есть запасной роутер?..

Кстати если пропишите пароли из внешней сети, могу попросить знакомых админов помоч...


DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...

У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..
(обычно разъяснительная беседа что например запладка на точке межпровайдерского обмена траффиком
может быть записана на счет/рекламу любого из них, хорошо помогает, охотников не много объяснять ФСБ
откуда взялась эта хрень и искать как отмазаться...)

Vladimir
PS  что думаете о проекте по реверс-инженерингу?  Вся эта вирусно-АНБ-шная хрень уже достала...
newbie
Activity: 31
Merit: 0
Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили...  (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)
От меня идёт по одним и тем же хостам - что шифрованный, что нешифрованный.
Pages:
Jump to: