Внимание! Подмена DNS - а похоже на взлом btc-e... - page 2.

ushba

newbie

Activity: 31

Merit: 0

Quote from: L3n1n on February 09, 2014, 03:22:19 PM

Quote from: ushba on February 09, 2014, 01:14:55 PM

Днс провайдера в порядке. Домовой роутер хакнут.
Ищу далее - как найду, отпишусь.

Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..

Не всё так просто и понятно пока...
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.
DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

Sibiryak

full member

Activity: 154

Merit: 100

Quote from: ushba on February 09, 2014, 01:14:55 PM

Quote from: Vicus on February 09, 2014, 12:04:11 PM

выясняем dns-ки провайдера
Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

Сами же писали что роутер на 5 квартир. Вирус мог атаковать роутер с любого ихнего компа, а ваш всегда был чист. Проводить воспитательные беседы с соседями только и остается.

L3n1n

sr. member

Activity: 262

Merit: 252

Quote from: ushba on February 09, 2014, 01:14:55 PM

Днс провайдера в порядке. Домовой роутер хакнут.

Ищу далее - как найду, отпишусь.

Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..

tvskit

legendary

Activity: 1386

Merit: 1010

Quote from: ushba on February 09, 2014, 01:14:55 PM

Quote from: Vicus on February 09, 2014, 12:04:11 PM

выясняем dns-ки провайдера
Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

скорей всего вирус не найдете, если ни чего не устанавливали после фишингового сайта. а вот как давно вы работали через них и сколь пародей он увел, вот вопрос! Cheesy

и тему загодовка смените.

tvv

legendary

Activity: 1302

Merit: 1005

Угу, давайте его в коллекцию, на разделку, а то скоро дизассемблер заржавеет Wink

PS а что думаете насчет проекта по реверс-инженерингу? Нынче на одном тока майнинге можно окупить в принципе...

ushba

newbie

Activity: 31

Merit: 0

Quote from: Vicus on February 09, 2014, 12:04:11 PM

выясняем dns-ки провайдера
Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

tvv

legendary

Activity: 1302

Merit: 1005

Quote from: ushba on February 09, 2014, 09:44:01 AM

Quote from: rPman on February 09, 2014, 09:27:59 AM

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).

Выскочило.
Что и заставило насторожиться...
Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли.
А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее...

а там точно не АНБ-шные технологии используют?..

Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили... (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)

Vladimir

tvv

legendary

Activity: 1302

Merit: 1005

Quote from: Vicus on February 09, 2014, 12:04:11 PM

выясняем dns-ки провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8 (ДНС гугла для примера)
nslookup btc-e.com
nslookup btc-e.com
nslookup btc-e.com
и в конце просто
nslookup btc-e.com

Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193

По результатам делаем выводы.

а можно теперь то-же самое на киви и др?

tvskit

legendary

Activity: 1386

Merit: 1010

тему переименуйте, и так паника у всех. Grin

таой загаловок я не прошел мимо.

Vicus

hero member

Activity: 798

Merit: 1000

выясняем dns-ки провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8 (ДНС гугла для примера)
nslookup btc-e.com
nslookup btc-e.com
nslookup btc-e.com
и в конце просто
nslookup btc-e.com

Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193

По результатам делаем выводы.

ushba

newbie

Activity: 31

Merit: 0

Quote from: Vicus on February 09, 2014, 11:16:43 AM

на вашем роутере вам подменили скорей всего.

Роутер не вайфайеый - обычный комп, сетка по витой паре на 5 семей.
На роутере DNS не подменённый.
Продолжаю рыться....

bablovagon

full member

Activity: 168

Merit: 100

Quote from: Vicus on February 09, 2014, 11:16:43 AM

на вашем роутере вам подменили скорей всего.

Было такое на роутере. Инет работал на компах но тормозил. А на androide планшете всегда на фигню переключался. Когда отловишь - не оставляй стандартные пароли на роутере - меняй на свои.

Vicus

hero member

Activity: 798

Merit: 1000

на вашем роутере вам подменили скорей всего.

alpet

legendary

Activity: 1912

Merit: 1020

Возможно руткит имеет место быть суровый. Проверить загрузочным антивирусом есть возможность с Live CD?

ushba

newbie

Activity: 31

Merit: 0

Quote from: rPman on February 09, 2014, 09:27:59 AM

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).

Выскочило.
Что и заставило насторожиться...
Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли.
А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее...

Xtc

legendary

Activity: 1973

Merit: 1028

;u

http://habrahabr.ru/post/209486/

tvv

legendary

Activity: 1302

Merit: 1005

tvv

legendary

Activity: 1302

Merit: 1005

Quote from: ushba on February 09, 2014, 08:59:57 AM

Quote from: manrus on February 09, 2014, 08:53:55 AM

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.

Уже вижу...
Ищу точку подмены, спасибо.

поделитесь потом данными, что нароете...

PS особенно интересуют корреляция с zapret-info gov ru Wink

(пора им тоже поджарить хвост, шутка что-то затянулась...)

rPman

legendary

Activity: 1120

Merit: 1069

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)

ushba

newbie

Activity: 31

Merit: 0

Quote from: manrus on February 09, 2014, 08:53:55 AM

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.

Уже вижу...
Ищу точку подмены, спасибо.

Topic: Внимание! Подмена DNS - а похоже на взлом btc-e... - page 2. (Read 6936 times)