Topic: Внимание! Подмена DNS - а похоже на взлом btc-e... (Read 6971 times)

Да, кстати, у провайдеров тоже DNS очень часто глючит, либо там содержимое может отличаться, либо "химичат" с DNS - например тут один пров если инет не оплачен через DNS перекидывает на страницу с оплатой вместо той ссылки что вы набрали...

М.... Э....
Если у Вам на роутере подменят DNS - то Вы можете и не знать, что зашли на фишинговый сайт...

нефиг по фиш ссылкам лазить

Многие роутеры с расширенными настройками позволяют избавиться от всяких вариантов подмены ДНС - настраивается переадресация всех запросов на 53 порт (DNS) любых IP на DNS провайдера или гугла. Т.о. все клиенты за таким роутером, даже после подмены ДНС, ничего не заметят, и их безопасность не пострадает. Частным случаем таких роутеров является латвийский Mikrotik, не сочтите за рекламу. Однако на собственном микротике пару дней назад заметил досадную вещь - роутер был настроен как раз как днс сервер для локальной сети, но оказалось, что 53 порт открыт в этом случае и в интернет (внешний белый IP). Что позволило вредителям (видимо, диапазоны IP постоянно сканируются на открытость портов) устроить ddos атаку через DNS - угадайте куда - на mtgox.com! Было незамедлительно настроено правило на дроп всех пакетов на 53 порт извне (а их упало на мой IP 5 млн в сутки), нагрузка на роутер резко упала - а то во время атаки интернет мягко скажем тормозил.

http://ruformator.ru/blog/43542076191/«Laboratoriya-Kasperskogo»-raskryila-mezhdunarodnuyu-set-kibersh

тоже такой, тока нслукап выдает зачем-то приписку "Non-authoritative answer".  Что бы это значило?
(блин жаль исходников винды нет...)

qiwi у меня показывает 91.232.231.67

это вы потом не забудьте повторить еще раз, когда ваши кошельки почистят...


PS  исходники ГСЧ который у вас в кошельке используется хорошо посмотрели?..
(проект по реверс-инж. все еще не нужен вам?    Но нычего, нычего...   "лох платит всегда"  )

Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.

дак и у меня не подменен...  Тем не менее даже шифрованное соединение и подтв по смс перехватываются...

Еще один из форексных серверов mt4 перехвачен(но что интересно - не все - даже на btc-e почему-то не все сервера перехватываются)



нет, я намекал на то что АНБ-шники там заранее оставили закладки, которые мог найти любой хакер, даже если вы не интересны АНБ...



ну майнеры это просто для частичной самоокупаемости проекта, может быть мелкий бизнес какой-нить получиться, это не главное.

Главное что это надо делать из-за безопасности - а прошивки роутеров и цисок (перехват траффика идет именно где-то на цисках провайдера! ) все равно потрошить придеться, причем именно дизассемблером, а не по исходникам, куда скорее всего закладки никогда и не заливали(либо убрали сразу как выпустили партию роутеров - мол старая версия - зачем лишний раз светиться)...

Vladimir
PS  история чата в google talk ни у кого не глючит?..

PPS  кстати, настроить сервак и поиграть с АНБ-шной точкой перехвата траффика никто не хочет?
Забавная игрушка я вам скажу, не такая тупая как СОРМ(очень узкие фильтры выхватывают только то что им надо), но блин нельзя же их отпускать без бэкапа всего порнолаба на серверах АНБ...  Скрипт такой кто-нить может написать по-быстрому?  Надо короче эмулировать передачу TCP по портам и IP которые они перехватывают, это вроде не сложно, но блин не могу придумать как бы это сразу с торрентов лить туда напрямую, не засирая свой диск, а то места жалко, на убогих...
(они ваще обарзели - мало того что пасуться в российских сетях как у себя дома, дак еще и русских за лохов держат! А вот за это уже надо наказывать...)

tvv
qiwi.ua и qiwi.com не был подменён, я пробивал сразу же qiwi, webmoney, google, btc-e... что подменили litecoinpool.ru нагуглил здесь https://forum.btcsec.com/index.php?/topic/5581-litecoinpoolru-vzlomali-predlagaiut-skachat-obnovlenie-flashplayer/

походу охотились за битками.

И еще сейчас этот DNS 5.45.75.10 резолвит валидные адреса видимо залёгли на дно.

http://s2.ipicture.ru/uploads/20140210/O1tIO0BE.png

в любом случае я отпишусь регистратору этих серверов 3Nt Solutions Llp, может пойдут на встречу и прикроют.

намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? или для себя?
Для себя есть dd-wrt, tomato. Шас глянул в opt - доступен:
DD-WRT, кстати, пилят уже на linux kernel 3.X. Не такое решето как 2.4 и 2.6

о, кстати, у меня такой уже несколько дней стоит, полностью подключен, но кнопку POWER я еще не нажимал...
(так и не смог решить - надо ли сперва открутить ему антенны на всякий случай перед включением?.. )

Доктор, я параноик, или очень предусмотрительный?




лучше на дату производства роутера посмотрите - она равна дате заражения


PS  ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
(кстати есть вероятность что даже окупиться - старые железки вполне могут майнить новые форки, 1 из 1000 выстрелит, но 1000 старых железок слегка дешевле 1000 ферм...)

1  А с чего вы взяли что только АНБ использует АНБ-шные технологии?..

2  АНБ очень любит прикрываться тупыми вирусами - видели как они красиво прикрылись, после того как хакнули TOR когда остатки урожая после SR собирали?..   План лет на 10 будет

3




PS  дак какой IP у QIWI и сбербанка, кстати?..

PPS  АНБ может загрузить вам что угодно когда вы заходите на любую страницу - технологии включения в разрыв соединения это позволяют.   Обновите какой-нить виндус, адоб или даже интивирусник, либо просто зайдете на страницу своего любимого сайта - а вместо нее загрузиться по этому TCP немного другая... 
Быстро и качественно, и дырки в системе искать не надо, даже если у вас линукс или огрызок от него в роутере.

PPPS  если будете помогать(хотя бы на первое время, потом можете свалить когда еще люди подтянуться) делать сайт по безопасности, то поищу в архиве ссылки на описания этих технологий, а так лень...  (Это имеет смысл только если за всем этим следить и операжать их творения, иначе проще расслабиться и ...)

аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.

Да, это именно оно.
Причем роутер не вайфайный.
Метод взлома отследить не удалось.
Что интересно. Роутер имеет коннекты на двух провайдеров.
После прописывания в настройках соединений DNS вместо автоматического на 8.8.8.8 - все штуки-глюки кончились.

Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.

Вот например записи этого сервера для

http://s2.ipicture.ru/uploads/20140210/SlcMroFl.png

На фишинговой странице по ссылке install скачивается файл зараженный Virus.Win32.Expiro.nr (по класификации Kaspersky). Довольно свежая модификация из семейства Virus.Win32.Expiro, занесён в базу в декабре 2013.
После установки вредоноса все ваши пароли от Firefox, IE, Filezilla, кошельков Litecoin, Bitcoin и т.д. улетают злоумышленникам.
Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. Простое удаление в реестре Ad0be не полечит.

скриншот
http://s2.ipicture.ru/uploads/20140210/thumbs/l23iRGOG.png

Пока писал пост, фишинговую страницу уже переместили - теперь она не отвечает. Сам DNS работает.

Всё оказалось проще...
Я предположил, что на сервере IP не хранится, так как фишинговый сайт может менять своё местоположение, и "закладка" с зараженного роутера сначала будет по его имени брать IP, а потом его  подсовывать куда хочет. Поскольку имя уже засветилось - "Ad0be" (через ноль) - то я и прочесал диск в посках "Ad0be". Нашел два файла в папке "...../system32/Macromed/flash", и успешно их хлопнул.
Всё. Вируса больше нет, nslookup с моего компа на роутер даёт результат.
Server:  Rivendell
Address:  192.168.0.1
Name:    btc-e.com
Address:  141.101.121.194

Единственное, о чём жалею - что не сохранил для анализа. Но, блин, три ночи было уже - стормозил...


Абсолютно согласен. Уровень исполнения всего крайне низкий - сразу видишь, что имеет место какая-то подмена. Правда, я подумал сначала о взломе сайта - но по любому, было сразу ясно, что что-то  не так.

Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

упс, попалась зверушка...

А можете слить дампы его ПЗУ, у вас есть запасной роутер?..

Кстати если пропишите пароли из внешней сети, могу попросить знакомых админов помоч...



не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...

У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..
(обычно разъяснительная беседа что например запладка на точке межпровайдерского обмена траффиком
может быть записана на счет/рекламу любого из них, хорошо помогает, охотников не много объяснять ФСБ
откуда взялась эта хрень и искать как отмазаться...)

Vladimir
PS  что думаете о проекте по реверс-инженерингу?  Вся эта вирусно-АНБ-шная хрень уже достала...

От меня идёт по одним и тем же хостам - что шифрованный, что нешифрованный.

Не всё так просто и понятно пока...
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.
DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

Сами же писали что роутер на 5 квартир. Вирус мог атаковать роутер с любого ихнего компа, а ваш всегда был чист. Проводить воспитательные беседы с соседями только и остается.

Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..

скорей всего вирус не найдете, если ни чего не устанавливали после фишингового сайта. а вот как давно вы работали через них и сколь пародей он увел, вот вопрос!  и тему загодовка смените.

Угу, давайте его в коллекцию, на разделку, а то скоро дизассемблер заржавеет

PS  а что думаете насчет проекта по реверс-инженерингу?  Нынче на одном тока майнинге можно окупить в принципе...

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

а там точно не АНБ-шные технологии используют?..

Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили...  (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)

Vladimir

а можно теперь то-же самое на киви и др?

тему переименуйте, и так паника у всех.  таой загаловок я не прошел мимо.

выясняем dns-ки  провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8  (ДНС гугла для примера)
nslookup btc-e.com
nslookup btc-e.com
nslookup btc-e.com
и в конце просто
nslookup btc-e.com

Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.

Роутер не вайфайеый - обычный комп, сетка по витой паре на 5 семей.
На роутере DNS не подменённый.
Продолжаю рыться....

Было такое на роутере. Инет работал на компах но тормозил. А на androide планшете всегда на фигню переключался. Когда отловишь - не оставляй стандартные пароли на роутере - меняй на свои.

на вашем роутере вам подменили скорей всего.

Возможно руткит имеет место быть суровый. Проверить загрузочным антивирусом есть возможность с Live CD?

Выскочило.
Что и заставило насторожиться...
Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли.
А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее...

http://habrahabr.ru/post/209486/

поделитесь потом данными, что нароете...

PS  особенно интересуют корреляция с zapret-info gov ru
(пора им тоже поджарить хвост, шутка что-то затянулась...)

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)

Уже вижу...
Ищу точку подмены, спасибо.

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.

На фишинговый сайт можно попасть, набирая URL ручками.
Я же на https://btc-e.com уже два месяца захожу по ссылке с рабочего стола.

Да, сейчас он пингуется на 5.45.69.162 - у всех так?

Не сеем панику, чистим свой комп от требухи, ставим антивирусники.


Обычный ДДОС на ресурс, грузится, но с проблемами. Устраняют.

Вы попали на фишинговый сайт

http или https?

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com