ushba (OP)
Newbie
 Offline
Activity: 31
Merit: 0
|
 |
February 09, 2014, 01:41:06 PM
Last edit: February 09, 2014, 09:10:02 PM by ushba |
|
Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com  |
|
|
|
|
rPman
Legendary
Offline
Activity: 1120
Merit: 1069
|
|
February 09, 2014, 01:44:42 PM |
|
http или https?
|
|
|
|
btc-e.com
Legendary
Offline
Activity: 1694
Merit: 1002
|
|
February 09, 2014, 01:46:45 PM |
|
Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com Вы попали на фишинговый сайт |
Bitcoin \ Litecoin \ Namecoin \ Novacoin <-> Exchange btc-e.com
BTC-E.com // Биржа по автоматической торговле Bitcoin \ Litecoin \ Namecoin \ Novacoin <-> Exchange btc-e.com
|
|
|
|
Werosim
|
|
February 09, 2014, 01:47:34 PM |
|
Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com Не сеем панику, чистим свой комп от требухи, ставим антивирусники. Обычный ДДОС на ресурс, грузится, но с проблемами. Устраняют. |
|
|
|
ushba (OP)
Newbie
Offline
Activity: 31
Merit: 0
|
|
February 09, 2014, 01:49:35 PM |
|
Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com Вы попали на фишинговый сайт На фишинговый сайт можно попасть, набирая URL ручками. Я же на https://btc-e.com уже два месяца захожу по ссылке с рабочего стола. Да, сейчас он пингуется на 5.45.69.162 - у всех так? |
|
|
|
|
manrus
Legendary
Offline
Activity: 1334
Merit: 1004
TTM
|
|
February 09, 2014, 01:53:55 PM |
|
Похоже, взломали btc-e.com - при заходе на первую страницу предлагает установить новый флэш-плеер, который загружается с сайта ad0be.com Вы попали на фишинговый сайт На фишинговый сайт можно попасть, набирая URL ручками. Я же на https://btc-e.com уже два месяца захожу по ссылке с рабочего стола. Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе. |
|
|
|
|
ushba (OP)
Newbie
Offline
Activity: 31
Merit: 0
|
|
February 09, 2014, 01:59:57 PM |
|
Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.
Уже вижу... Ищу точку подмены, спасибо. |
|
|
|
|
rPman
Legendary
Offline
Activity: 1120
Merit: 1069
|
|
February 09, 2014, 02:27:59 PM |
|
Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
February 09, 2014, 02:29:37 PM |
|
Вам подменили dns сервер. Поэтому ссылка на биржу не изменилась. Проверьте настройки DNS на роутере и на компе.
Уже вижу... Ищу точку подмены, спасибо. поделитесь потом данными, что нароете... PS особенно интересуют корреляция с zapret-info gov ru  (пора им тоже поджарить хвост, шутка что-то затянулась...) |
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
February 09, 2014, 02:33:29 PM |
|
Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Иначе мне не понятно, как злоумышленник сможет получить доверенный сертификат на не свой домен?
То есть нужна атака не только на dns но и на базу сертификатов пользователя (установить свой корневой например) или подменить браузер на свой (но в этих случаях необходимость в установке чего то там через флеш - бессмысленна)
так-же как АНБ - в разрыв соединения. (сервера с сертификатами я так понимаю АНБ подменяет первыми, никто не изучал детали? ) Вы работаете только с сервером АНБ - а он уже дальше за вас ходит... PS киви давно уже полностью перехвачен, включая подтв. по SMS PPS эти скорее всего лохи какие-то, грузить флэш-плеер это пошло |
|
|
|
|
Xtc
Legendary
Offline
Activity: 1973
Merit: 1028
;u
|
|
February 09, 2014, 02:34:18 PM |
|
|
|
|
|
|
ushba (OP)
Newbie
Offline
Activity: 31
Merit: 0
|
|
February 09, 2014, 02:44:01 PM |
|
Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Выскочило. Что и заставило насторожиться... Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли. А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее... |
|
|
|
|
alpet
Legendary
Offline
Activity: 1912
Merit: 1020
|
|
February 09, 2014, 04:02:17 PM |
|
Возможно руткит имеет место быть суровый. Проверить загрузочным антивирусом есть возможность с Live CD?
|
|
|
|
|
Vicus
|
|
February 09, 2014, 04:16:43 PM |
|
на вашем роутере вам подменили скорей всего.
|
|
|
|
|
|
bablovagon
|
|
February 09, 2014, 04:29:27 PM |
|
на вашем роутере вам подменили скорей всего.
Было такое на роутере. Инет работал на компах но тормозил. А на androide планшете всегда на фигню переключался. Когда отловишь - не оставляй стандартные пароли на роутере - меняй на свои. |
|
|
|
|
ushba (OP)
Newbie
Offline
Activity: 31
Merit: 0
|
|
February 09, 2014, 04:55:27 PM |
|
на вашем роутере вам подменили скорей всего.
Роутер не вайфайеый - обычный комп, сетка по витой паре на 5 семей. На роутере DNS не подменённый. Продолжаю рыться.... |
|
|
|
|
|
Vicus
|
|
February 09, 2014, 05:04:11 PM |
|
выясняем dns-ки провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8 (ДНС гугла для примера)
nslookup btc-e.com <IP DNS1 прова>
nslookup btc-e.com <IP DNS2 прова>
nslookup btc-e.com <IP DNS твоего роутера>
и в конце просто
nslookup btc-e.com
Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193
По результатам делаем выводы.
|
|
|
|
|
tvskit
Legendary
Offline
Activity: 1386
Merit: 1010
|
|
February 09, 2014, 05:24:19 PM |
|
тему переименуйте, и так паника у всех.  таой загаловок я не прошел мимо. |
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
February 09, 2014, 05:59:12 PM |
|
выясняем dns-ки провайдера
и проверяем:
nslookup btc-e.com 8.8.8.8 (ДНС гугла для примера)
nslookup btc-e.com <IP DNS1 прова>
nslookup btc-e.com <IP DNS2 прова>
nslookup btc-e.com <IP DNS твоего роутера>
и в конце просто
nslookup btc-e.com
Во всех случаях должно быть
Addresses: 141.101.121.194 141.101.121.193
По результатам делаем выводы.
а можно теперь то-же самое на киви и др? |
|
|
|
|
tvv
Legendary
Offline
Activity: 1302
Merit: 1005
|
|
February 09, 2014, 06:03:14 PM |
|
Если вам подменили dns то наличие https все равно позволит это отследить (у вас выскочит сообщение о том что сертификат не доверенный).
Выскочило. Что и заставило насторожиться... Пока точку подмены не нашел. Вообще. очень странно. Два антивируса ничего у меня на компе не нашли. А btc-e пингуется с роутера нормально - получается. что подмена только у меня на компе. А файл hosts не модифицирован, тем не менее... а там точно не АНБ-шные технологии используют?.. Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель, при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом месте как будто никуда и не уходили... (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения) Vladimir |
|
|
|
|
|
