Bitcoin Forum
January 25, 2020, 06:49:42 PM *
News: Latest Bitcoin Core release: 0.19.0.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: 1 2 3 [All]
  Print  
Author Topic: Внимание! Подмена DNS - а похоже на взлом btc-e...  (Read 6619 times)
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 01:41:06 PM
Last edit: February 09, 2014, 09:10:02 PM by ushba
 #1

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  Huh
1579978182
Hero Member
*
Offline Offline

Posts: 1579978182

View Profile Personal Message (Offline)

Ignore
1579978182
Reply with quote  #2

1579978182
Report to moderator
1579978182
Hero Member
*
Offline Offline

Posts: 1579978182

View Profile Personal Message (Offline)

Ignore
1579978182
Reply with quote  #2

1579978182
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1579978182
Hero Member
*
Offline Offline

Posts: 1579978182

View Profile Personal Message (Offline)

Ignore
1579978182
Reply with quote  #2

1579978182
Report to moderator
1579978182
Hero Member
*
Offline Offline

Posts: 1579978182

View Profile Personal Message (Offline)

Ignore
1579978182
Reply with quote  #2

1579978182
Report to moderator
rPman
Legendary
*
Offline Offline

Activity: 1120
Merit: 1003


View Profile WWW
February 09, 2014, 01:44:42 PM
 #2

http или https?

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
btc-e.com
Legendary
*
Offline Offline

Activity: 1694
Merit: 1000


View Profile WWW
February 09, 2014, 01:46:45 PM
 #3

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  Huh

Вы попали на фишинговый сайт

Bitcoin \ Litecoin \ Namecoin \ Novacoin <-> Exchange btc-e.com

BTC-E.com // Биржа по автоматической торговле Bitcoin \ Litecoin \ Namecoin \ Novacoin <-> Exchange btc-e.com
Werosim
Sr. Member
****
Offline Offline

Activity: 393
Merit: 500



View Profile WWW
February 09, 2014, 01:47:34 PM
 #4

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  Huh

Не сеем панику, чистим свой комп от требухи, ставим антивирусники.


Обычный ДДОС на ресурс, грузится, но с проблемами. Устраняют.

ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 01:49:35 PM
 #5

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  Huh

Вы попали на фишинговый сайт
На фишинговый сайт можно попасть, набирая URL ручками.
Я же на https://btc-e.com уже два месяца захожу по ссылке с рабочего стола.

Да, сейчас он пингуется на 5.45.69.162 - у всех так?
manrus
Legendary
*
Offline Offline

Activity: 1338
Merit: 1002


TTM


View Profile
February 09, 2014, 01:53:55 PM
 #6

Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  Huh

Вы попали на фишинговый сайт
На фишинговый сайт можно попасть, набирая URL ручками.
Я же на https://btc-e.com уже два месяца захожу по ссылке с рабочего стола.

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 01:59:57 PM
 #7

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.
Уже вижу...
Ищу точку подмены, спасибо.
rPman
Legendary
*
Offline Offline

Activity: 1120
Merit: 1003


View Profile WWW
February 09, 2014, 02:27:59 PM
 #8

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 09, 2014, 02:29:37 PM
 #9

Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.
Уже вижу...
Ищу точку подмены, спасибо.

поделитесь потом данными, что нароете...

PS  особенно интересуют корреляция с zapret-info gov ru Wink
(пора им тоже поджарить хвост, шутка что-то затянулась...)
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 09, 2014, 02:33:29 PM
 #10

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)

так-же как АНБ - в разрыв соединения.
(сервера с сертификатами я так понимаю АНБ подменяет первыми, никто не изучал детали?  )

Вы работаете только с сервером АНБ - а он уже дальше за вас ходит...

PS  киви давно уже полностью перехвачен, включая подтв. по SMS

PPS  эти скорее всего лохи какие-то, грузить флэш-плеер это пошло Wink
Xtc
Legendary
*
Offline Offline

Activity: 1980
Merit: 1011


;u


View Profile WWW
February 09, 2014, 02:34:18 PM
 #11

http://habrahabr.ru/post/209486/
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 02:44:01 PM
 #12

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).

Выскочило.
Что и заставило насторожиться...
Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли.
А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее...
alpet
Legendary
*
Offline Offline

Activity: 1871
Merit: 1015


View Profile WWW
February 09, 2014, 04:02:17 PM
 #13

Возможно руткит имеет место быть суровый. Проверить загрузочным антивирусом есть возможность с Live CD?

Novacoin we trust!
https://svcpool.io - PoS майнинг для всех.
Vicus
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1000


View Profile
February 09, 2014, 04:16:43 PM
 #14

на вашем роутере вам подменили скорей всего.
bablovagon
Full Member
***
Offline Offline

Activity: 169
Merit: 100


View Profile
February 09, 2014, 04:29:27 PM
 #15

на вашем роутере вам подменили скорей всего.


Было такое на роутере. Инет работал на компах но тормозил. А на androide планшете всегда на фигню переключался. Когда отловишь - не оставляй стандартные пароли на роутере - меняй на свои.
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 04:55:27 PM
 #16

на вашем роутере вам подменили скорей всего.
Роутер не вайфайеый - обычный комп, сетка по витой паре на 5 семей.
На роутере DNS не подменённый.
Продолжаю рыться....
Vicus
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1000


View Profile
February 09, 2014, 05:04:11 PM
 #17

выясняем dns-ки  провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8  (ДНС гугла для примера)
nslookup btc-e.com <IP DNS1 прова>
nslookup btc-e.com <IP DNS2 прова>
nslookup btc-e.com <IP DNS твоего роутера>
и в конце просто
nslookup btc-e.com

Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.
tvskit
Legendary
*
Offline Offline

Activity: 1372
Merit: 1001



View Profile
February 09, 2014, 05:24:19 PM
 #18

тему переименуйте, и так паника у всех.  Grin таой загаловок я не прошел мимо.

tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 09, 2014, 05:59:12 PM
 #19

выясняем dns-ки  провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8  (ДНС гугла для примера)
nslookup btc-e.com <IP DNS1 прова>
nslookup btc-e.com <IP DNS2 прова>
nslookup btc-e.com <IP DNS твоего роутера>
и в конце просто
nslookup btc-e.com

Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.


а можно теперь то-же самое на киви и др?
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 09, 2014, 06:03:14 PM
 #20

Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).

Выскочило.
Что и заставило насторожиться...
Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли.
А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее...

а там точно не АНБ-шные технологии используют?..

Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили...  (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)

Vladimir
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 06:14:55 PM
 #21

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.
Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 09, 2014, 06:28:01 PM
 #22

Угу, давайте его в коллекцию, на разделку, а то скоро дизассемблер заржавеет Wink

PS  а что думаете насчет проекта по реверс-инженерингу?  Нынче на одном тока майнинге можно окупить в принципе...
tvskit
Legendary
*
Offline Offline

Activity: 1372
Merit: 1001



View Profile
February 09, 2014, 06:38:21 PM
 #23

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.
Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.



скорей всего вирус не найдете, если ни чего не устанавливали после фишингового сайта. а вот как давно вы работали через них и сколь пародей он увел, вот вопрос!  Cheesy и тему загодовка смените.

L3n1n
Sr. Member
****
Offline Offline

Activity: 265
Merit: 252


View Profile
February 09, 2014, 08:22:19 PM
 #24


Днс провайдера в порядке. Домовой роутер хакнут.


Ищу далее - как найду, отпишусь.
Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..
Sibiryak
Full Member
***
Offline Offline

Activity: 154
Merit: 100


View Profile
February 09, 2014, 08:56:49 PM
 #25

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.
Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

Сами же писали что роутер на 5 квартир. Вирус мог атаковать роутер с любого ихнего компа, а ваш всегда был чист. Проводить воспитательные беседы с соседями только и остается.

F*ck u! No, f*ck EU.
BTC, 1HLVar7ymF2nkxNVLttzrUe5vwdYGFsCrk (кубышка)
NVC, 4Q5z7Ryobarq5dPLwscurr262WLunu5CLU (надежда на светлое будущее)
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 09:07:54 PM
 #26

Днс провайдера в порядке. Домовой роутер хакнут.
Ищу далее - как найду, отпишусь.
Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..
Не всё так просто и понятно пока...
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.
DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 09, 2014, 09:15:05 PM
 #27

Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили...  (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)
От меня идёт по одним и тем же хостам - что шифрованный, что нешифрованный.
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 03:08:13 AM
 #28

Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.

упс, попалась зверушка...

А можете слить дампы его ПЗУ, у вас есть запасной роутер?..

Кстати если пропишите пароли из внешней сети, могу попросить знакомых админов помоч...


DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...

У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..
(обычно разъяснительная беседа что например запладка на точке межпровайдерского обмена траффиком
может быть записана на счет/рекламу любого из них, хорошо помогает, охотников не много объяснять ФСБ
откуда взялась эта хрень и искать как отмазаться...)

Vladimir
PS  что думаете о проекте по реверс-инженерингу?  Вся эта вирусно-АНБ-шная хрень уже достала...
Vicus
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1000


View Profile
February 10, 2014, 04:10:18 AM
 #29

Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 10, 2014, 09:10:18 AM
 #30

Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.


не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...
...
У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..

Всё оказалось проще...
Я предположил, что на сервере IP не хранится, так как фишинговый сайт может менять своё местоположение, и "закладка" с зараженного роутера сначала будет по его имени брать IP, а потом его  подсовывать куда хочет. Поскольку имя уже засветилось - "Ad0be" (через ноль) - то я и прочесал диск в посках "Ad0be". Нашел два файла в папке "...../system32/Macromed/flash", и успешно их хлопнул.
Всё. Вируса больше нет, nslookup с моего компа на роутер даёт результат.
Server:  Rivendell
Address:  192.168.0.1
Name:    btc-e.com
Address:  141.101.121.194

Единственное, о чём жалею - что не сохранил для анализа. Но, блин, три ночи было уже - стормозил...


Quote
PS  что думаете о проекте по реверс-инженерингу?
Реверс-инженерингу чего именно?


Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.
Абсолютно согласен. Уровень исполнения всего крайне низкий - сразу видишь, что имеет место какая-то подмена. Правда, я подумал сначала о взломе сайта - но по любому, было сразу ясно, что что-то  не так.

sergii
Newbie
*
Offline Offline

Activity: 3
Merit: 0


View Profile
February 10, 2014, 12:43:40 PM
Last edit: February 10, 2014, 12:56:54 PM by sergii
 #31

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.

Вот например записи этого сервера для

http://s2.ipicture.ru/uploads/20140210/SlcMroFl.png

На фишинговой странице по ссылке install скачивается файл зараженный Virus.Win32.Expiro.nr (по класификации Kaspersky). Довольно свежая модификация из семейства Virus.Win32.Expiro, занесён в базу в декабре 2013.
После установки вредоноса все ваши пароли от Firefox, IE, Filezilla, кошельков Litecoin, Bitcoin и т.д. улетают злоумышленникам.
Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. Простое удаление в реестре Ad0be не полечит.

скриншот
http://s2.ipicture.ru/uploads/20140210/thumbs/l23iRGOG.png

Пока писал пост, фишинговую страницу уже переместили - теперь она не отвечает. Сам DNS работает.
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 10, 2014, 12:56:42 PM
 #32

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.
Да, это именно оно.
Причем роутер не вайфайный.
Метод взлома отследить не удалось.
Что интересно. Роутер имеет коннекты на двух провайдеров.
После прописывания в настройках соединений DNS вместо автоматического на 8.8.8.8 - все штуки-глюки кончились.

Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...
sergii
Newbie
*
Offline Offline

Activity: 3
Merit: 0


View Profile
February 10, 2014, 01:07:32 PM
Last edit: February 10, 2014, 01:23:33 PM by sergii
 #33

Quote
Метод взлома отследить не удалось.
аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 01:44:29 PM
 #34

Вся эта вирусно-АНБ-шная хрень уже достала...
Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

1  А с чего вы взяли что только АНБ использует АНБ-шные технологии?..

2  АНБ очень любит прикрываться тупыми вирусами - видели как они красиво прикрылись, после того как хакнули TOR когда остатки урожая после SR собирали?..   План лет на 10 будет Wink

3

Причем роутер не вайфайный.
Метод взлома отследить не удалось.
...
Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...



PS  дак какой IP у QIWI и сбербанка, кстати?..

PPS  АНБ может загрузить вам что угодно когда вы заходите на любую страницу - технологии включения в разрыв соединения это позволяют.   Обновите какой-нить виндус, адоб или даже интивирусник, либо просто зайдете на страницу своего любимого сайта - а вместо нее загрузиться по этому TCP немного другая... 
Быстро и качественно, и дырки в системе искать не надо, даже если у вас линукс или огрызок от него в роутере.

PPPS  если будете помогать(хотя бы на первое время, потом можете свалить когда еще люди подтянуться) делать сайт по безопасности, то поищу в архиве ссылки на описания этих технологий, а так лень...  (Это имеет смысл только если за всем этим следить и операжать их творения, иначе проще расслабиться и ...)
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 01:56:17 PM
 #35

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)

о, кстати, у меня такой уже несколько дней стоит, полностью подключен, но кнопку POWER я еще не нажимал...
(так и не смог решить - надо ли сперва открутить ему антенны на всякий случай перед включением?.. )

Доктор, я параноик, или очень предусмотрительный? Wink



Quote
Метод взлома отследить не удалось.
аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.

лучше на дату производства роутера посмотрите - она равна дате заражения Wink


PS  ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
(кстати есть вероятность что даже окупиться - старые железки вполне могут майнить новые форки, 1 из 1000 выстрелит, но 1000 старых железок слегка дешевле 1000 ферм...)
sergii
Newbie
*
Offline Offline

Activity: 3
Merit: 0


View Profile
February 10, 2014, 02:12:50 PM
 #36

tvv
Quote
PS  дак какой IP у QIWI и сбербанка, кстати?..
qiwi.ua и qiwi.com не был подменён, я пробивал сразу же qiwi, webmoney, google, btc-e... что подменили litecoinpool.ru нагуглил здесь https://forum.btcsec.com/index.php?/topic/5581-litecoinpoolru-vzlomali-predlagaiut-skachat-obnovlenie-flashplayer/

походу охотились за битками.

И еще Smiley сейчас этот DNS 5.45.75.10 резолвит валидные адреса Smiley видимо залёгли на дно.

http://s2.ipicture.ru/uploads/20140210/O1tIO0BE.png

в любом случае я отпишусь регистратору этих серверов 3Nt Solutions Llp, может пойдут на встречу и прикроют.

Quote
лучше на дату производства роутера посмотрите - она равна дате заражения
намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

Quote
ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? Smiley или для себя?
Для себя есть dd-wrt, tomato. Шас глянул в opt - доступен:
Code:
bfgminer - 3.8.1-1 - Modular Bitcoin CPU/GPU/FPGA miner in C
DD-WRT, кстати, пилят уже на linux kernel 3.X. Не такое решето как 2.4 и 2.6
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 03:20:12 PM
 #37

qiwi.ua и qiwi.com не был подменён,

дак и у меня не подменен...  Тем не менее даже шифрованное соединение и подтв по смс перехватываются...

Еще один из форексных серверов mt4 перехвачен(но что интересно - не все - даже на btc-e почему-то не все сервера перехватываются)


Quote
лучше на дату производства роутера посмотрите - она равна дате заражения
намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

нет, я намекал на то что АНБ-шники там заранее оставили закладки, которые мог найти любой хакер, даже если вы не интересны АНБ...


Quote
ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? Smiley или для себя?

ну майнеры это просто для частичной самоокупаемости проекта, может быть мелкий бизнес какой-нить получиться, это не главное.

Главное что это надо делать из-за безопасности - а прошивки роутеров и цисок (перехват траффика идет именно где-то на цисках провайдера! ) все равно потрошить придеться, причем именно дизассемблером, а не по исходникам, куда скорее всего закладки никогда и не заливали(либо убрали сразу как выпустили партию роутеров - мол старая версия - зачем лишний раз светиться)...

Vladimir
PS  история чата в google talk ни у кого не глючит?..

PPS  кстати, настроить сервак и поиграть с АНБ-шной точкой перехвата траффика никто не хочет? Wink
Забавная игрушка я вам скажу, не такая тупая как СОРМ(очень узкие фильтры выхватывают только то что им надо), но блин нельзя же их отпускать без бэкапа всего порнолаба на серверах АНБ...  Скрипт такой кто-нить может написать по-быстрому?  Надо короче эмулировать передачу TCP по портам и IP которые они перехватывают, это вроде не сложно, но блин не могу придумать как бы это сразу с торрентов лить туда напрямую, не засирая свой диск, а то места жалко, на убогих...
(они ваще обарзели - мало того что пасуться в российских сетях как у себя дома, дак еще и русских за лохов держат! А вот за это уже надо наказывать...)
Vicus
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1000


View Profile
February 10, 2014, 03:44:28 PM
 #38

Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 03:56:39 PM
 #39

Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.

это вы потом не забудьте повторить еще раз, когда ваши кошельки почистят...


PS  исходники ГСЧ который у вас в кошельке используется хорошо посмотрели?..
(проект по реверс-инж. все еще не нужен вам? Wink   Но нычего, нычего...   "лох платит всегда"  Wink )
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 10, 2014, 04:01:19 PM
 #40

PS  дак какой IP у QIWI и сбербанка, кстати?..
qiwi у меня показывает 91.232.231.67
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 10, 2014, 04:07:20 PM
 #41

qiwi у меня показывает 91.232.231.67

тоже такой, тока нслукап выдает зачем-то приписку "Non-authoritative answer".  Что бы это значило? Wink
(блин жаль исходников винды нет...)
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 11, 2014, 04:58:05 PM
 #42


http://ruformator.ru/blog/43542076191/«Laboratoriya-Kasperskogo»-raskryila-mezhdunarodnuyu-set-kibersh

mastereworm
Newbie
*
Offline Offline

Activity: 1
Merit: 0


View Profile
February 12, 2014, 11:02:43 AM
 #43

Многие роутеры с расширенными настройками позволяют избавиться от всяких вариантов подмены ДНС - настраивается переадресация всех запросов на 53 порт (DNS) любых IP на DNS провайдера или гугла. Т.о. все клиенты за таким роутером, даже после подмены ДНС, ничего не заметят, и их безопасность не пострадает. Частным случаем таких роутеров является латвийский Mikrotik, не сочтите за рекламу. Однако на собственном микротике пару дней назад заметил досадную вещь - роутер был настроен как раз как днс сервер для локальной сети, но оказалось, что 53 порт открыт в этом случае и в интернет (внешний белый IP). Что позволило вредителям (видимо, диапазоны IP постоянно сканируются на открытость портов) устроить ddos атаку через DNS - угадайте куда - на mtgox.com! Было незамедлительно настроено правило на дроп всех пакетов на 53 порт извне (а их упало на мой IP 5 млн в сутки), нагрузка на роутер резко упала - а то во время атаки интернет мягко скажем тормозил.
Xantrax
Hero Member
*****
Offline Offline

Activity: 835
Merit: 500



View Profile
February 12, 2014, 11:27:29 AM
 #44

нефиг по фиш ссылкам лазить
ushba
Newbie
*
Offline Offline

Activity: 31
Merit: 0


View Profile
February 12, 2014, 11:30:04 AM
 #45

нефиг по фиш ссылкам лазить
М.... Э....
Если у Вам на роутере подменят DNS - то Вы можете и не знать, что зашли на фишинговый сайт...
tvv
Legendary
*
Offline Offline

Activity: 1302
Merit: 1000


View Profile WWW
February 12, 2014, 11:58:57 AM
 #46

Да, кстати, у провайдеров тоже DNS очень часто глючит, либо там содержимое может отличаться, либо "химичат" с DNS - например тут один пров если инет не оплачен через DNS перекидывает на страницу с оплатой вместо той ссылки что вы набрали...
Pages: 1 2 3 [All]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!