Внимание! Подмена DNS - а похоже на взлом btc-e...

[ushba]

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

[tvv]

Угу, давайте его в коллекцию, на разделку, а то скоро дизассемблер заржавеет

PS  а что думаете насчет проекта по реверс-инженерингу?  Нынче на одном тока майнинге можно окупить в принципе...

[tvskit]

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

скорей всего вирус не найдете, если ни чего не устанавливали после фишингового сайта. а вот как давно вы работали через них и сколь пародей он увел, вот вопрос!  и тему загодовка смените.

[L3n1n]

Днс провайдера в порядке. Домовой роутер хакнут.


Ищу далее - как найду, отпишусь.

Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..

[Sibiryak]

выясняем dns-ки  провайдера
Во всех случаях должно быть
Addresses:  141.101.121.194 141.101.121.193

По результатам делаем выводы.

Выводы сделаны.
Днс провайдера в порядке. Домовой роутер хакнут.
Вирь пока не детектирован - зело пакостный, видимо.
Авира, Нортон, доктор веб и касперский - молчат.
Файл hosts не модифицирован.
Ищу далее - как найду, отпишусь.

Сами же писали что роутер на 5 квартир. Вирус мог атаковать роутер с любого ихнего компа, а ваш всегда был чист. Проводить воспитательные беседы с соседями только и остается.

[ushba]

Днс провайдера в порядке. Домовой роутер хакнут.
Ищу далее - как найду, отпишусь.

Что ищете? Вчерашний день? Вы же сами пишите что роутер хакнут? Зачем дальше еще что-то искать? Меняйте пароли и всего делов то..

Не всё так просто и понятно пока...
Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.
DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

[ushba]

Проверьте пути шифрованных и не шифрованных пакетов - иногда шифрованные утаскивают в какой-то туннель,
при этом в traceroute нифига не видно, но пакеты куда-то убегают по другому пути, потом появляются в другом
месте как будто никуда и не уходили...  (утаскивают на АНБ-шный сервер, который получается вкл в разрыв соединения)

От меня идёт по одним и тем же хостам - что шифрованный, что нешифрованный.

[tvv]

Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.

упс, попалась зверушка...

А можете слить дампы его ПЗУ, у вас есть запасной роутер?..

Кстати если пропишите пароли из внешней сети, могу попросить знакомых админов помоч...

DNS кэш очистил, просканировал весь комп просто по маске IP -ничего не нашёл. Но откуда-то же берётся этот IP, который с роутера выдаётся во внутреннюю сеть! При том что от провайдера идёт нормальный...

не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...

У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..
(обычно разъяснительная беседа что например запладка на точке межпровайдерского обмена траффиком
может быть записана на счет/рекламу любого из них, хорошо помогает, охотников не много объяснять ФСБ
откуда взялась эта хрень и искать как отмазаться...)

Vladimir
PS  что думаете о проекте по реверс-инженерингу?  Вся эта вирусно-АНБ-шная хрень уже достала...

[Vicus]

Вся эта вирусно-АНБ-шная хрень уже достала...

Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

[ushba]

Что-то до сих пор есть на роутере, что подменяет нормальный IP биржи на фишинговый IP.

не, эту хрень в трейсроуте не видно - тут надо в контрольных точках отлавливать траффик...
...
У вас есть доступ/пароли от провайдерских сетей, или знакомые админы у провайдера?..

Всё оказалось проще...
Я предположил, что на сервере IP не хранится, так как фишинговый сайт может менять своё местоположение, и "закладка" с зараженного роутера сначала будет по его имени брать IP, а потом его  подсовывать куда хочет. Поскольку имя уже засветилось - "Ad0be" (через ноль) - то я и прочесал диск в посках "Ad0be". Нашел два файла в папке "...../system32/Macromed/flash", и успешно их хлопнул.
Всё. Вируса больше нет, nslookup с моего компа на роутер даёт результат.
Server:  Rivendell
Address:  192.168.0.1
Name:    btc-e.com
Address:  141.101.121.194

Единственное, о чём жалею - что не сохранил для анализа. Но, блин, три ночи было уже - стормозил...

PS  что думаете о проекте по реверс-инженерингу?

Реверс-инженерингу чего именно?

Вся эта вирусно-АНБ-шная хрень уже достала...

Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

Абсолютно согласен. Уровень исполнения всего крайне низкий - сразу видишь, что имеет место какая-то подмена. Правда, я подумал сначала о взломе сайта - но по любому, было сразу ясно, что что-то  не так.

[sergii]

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.

Вот например записи этого сервера для

http://s2.ipicture.ru/uploads/20140210/SlcMroFl.png

На фишинговой странице по ссылке install скачивается файл зараженный Virus.Win32.Expiro.nr (по класификации Kaspersky). Довольно свежая модификация из семейства Virus.Win32.Expiro, занесён в базу в декабре 2013.
После установки вредоноса все ваши пароли от Firefox, IE, Filezilla, кошельков Litecoin, Bitcoin и т.д. улетают злоумышленникам.
Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. Простое удаление в реестре Ad0be не полечит.

скриншот
http://s2.ipicture.ru/uploads/20140210/thumbs/l23iRGOG.png

Пока писал пост, фишинговую страницу уже переместили - теперь она не отвечает. Сам DNS работает.

[ushba]

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)
Далее идёт подмена DNS сервера на 5.45.75.10. В фраудинг-DNS на многие сайты (youtube, btc-e.com, litecoinpool.ru, и т.д.)
внесены записи на фишинговую страницу, расположенную по адресу 5.45.69.162 http://myip.ms/info/whois/5.45.69.162.

Да, это именно оно.
Причем роутер не вайфайный.
Метод взлома отследить не удалось.
Что интересно. Роутер имеет коннекты на двух провайдеров.
После прописывания в настройках соединений DNS вместо автоматического на 8.8.8.8 - все штуки-глюки кончились.

Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...

[sergii]

Метод взлома отследить не удалось.

аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.

[tvv]

Вся эта вирусно-АНБ-шная хрень уже достала...

Что за чушь. Закладка от АНБ не обосралась бы так с сертификатами и уж тем более с подставным плеером адоба.

1  А с чего вы взяли что только АНБ использует АНБ-шные технологии?..

2  АНБ очень любит прикрываться тупыми вирусами - видели как они красиво прикрылись, после того как хакнули TOR когда остатки урожая после SR собирали?..   План лет на 10 будет

3

Причем роутер не вайфайный.
Метод взлома отследить не удалось.
...
Однако 4 разных антивируса (постфактум) на сервере-роутере ничего не нашли...

PS  дак какой IP у QIWI и сбербанка, кстати?..

PPS  АНБ может загрузить вам что угодно когда вы заходите на любую страницу - технологии включения в разрыв соединения это позволяют.   Обновите какой-нить виндус, адоб или даже интивирусник, либо просто зайдете на страницу своего любимого сайта - а вместо нее загрузиться по этому TCP немного другая... 
Быстро и качественно, и дырки в системе искать не надо, даже если у вас линукс или огрызок от него в роутере.

PPPS  если будете помогать(хотя бы на первое время, потом можете свалить когда еще люди подтянуться) делать сайт по безопасности, то поищу в архиве ссылки на описания этих технологий, а так лень...  (Это имеет смысл только если за всем этим следить и операжать их творения, иначе проще расслабиться и ...)

[tvv]

Не ясно каким именно образом, но тем не менее производят взлом роутера (в моём случае это был TP-Link). Причем был установлен пароль из 8 символов (цифры и буквы)

о, кстати, у меня такой уже несколько дней стоит, полностью подключен, но кнопку POWER я еще не нажимал...
(так и не смог решить - надо ли сперва открутить ему антенны на всякий случай перед включением?.. )

Доктор, я параноик, или очень предусмотрительный?

Метод взлома отследить не удалось.

аналогично. это меня и беспокоит. Я думал взлом был "изнутри", кто-то из домашних установил "троян", и уже после сменили DNS на роутере имея удаленный доступ к ПК.

НО!
я вчера просидел сутки без перерыва, сканирование 4-мя антивирусными программами (Kaspersky, Dr.Web, NOD32, Symantec) + 2-мя антируткитами (GMER, OSAM), и попытками сниффить трафик на наличие соединения с командным пунктом - трояна найти так и не удалось. Ни трояна ни вируса.

Как попали на роутер, который в принципе не имеет никаких смотрящих портов в WAN - загадка.

Разгребаю сейчас историю и кэш браузера. Возможно подсказка прийдет оттуда.

Причем я даже знаю приблизительный интервал заражения - ближайшие 3-4 недели, так где-то после рождества я заходил на роутер и там были прописаны ДНСы яндекса.

лучше на дату производства роутера посмотрите - она равна дате заражения


PS  ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..
(кстати есть вероятность что даже окупиться - старые железки вполне могут майнить новые форки, 1 из 1000 выстрелит, но 1000 старых железок слегка дешевле 1000 ферм...)

[sergii]

tvv

PS  дак какой IP у QIWI и сбербанка, кстати?..

qiwi.ua и qiwi.com не был подменён, я пробивал сразу же qiwi, webmoney, google, btc-e... что подменили litecoinpool.ru нагуглил здесь https://forum.btcsec.com/index.php?/topic/5581-litecoinpoolru-vzlomali-predlagaiut-skachat-obnovlenie-flashplayer/

походу охотились за битками.

И еще сейчас этот DNS 5.45.75.10 резолвит валидные адреса видимо залёгли на дно.

http://s2.ipicture.ru/uploads/20140210/O1tIO0BE.png

в любом случае я отпишусь регистратору этих серверов 3Nt Solutions Llp, может пойдут на встречу и прикроют.

лучше на дату производства роутера посмотрите - она равна дате заражения

намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..

реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? или для себя?
Для себя есть dd-wrt, tomato. Шас глянул в opt - доступен:

Code:

bfgminer - 3.8.1-1 - Modular Bitcoin CPU/GPU/FPGA miner in C

DD-WRT, кстати, пилят уже на linux kernel 3.X. Не такое решето как 2.4 и 2.6

[tvv]

qiwi.ua и qiwi.com не был подменён,

дак и у меня не подменен...  Тем не менее даже шифрованное соединение и подтв по смс перехватываются...

Еще один из форексных серверов mt4 перехвачен(но что интересно - не все - даже на btc-e почему-то не все сервера перехватываются)

лучше на дату производства роутера посмотрите - она равна дате заражения

намёк не понят. Шибко старый? ну да... решето наверно. Но вон у человека софт-роутер на windows походу - и ломанули...

нет, я намекал на то что АНБ-шники там заранее оставили закладки, которые мог найти любой хакер, даже если вы не интересны АНБ...

ну что, дети, теперь вы понимаете, зачем нам проект по реверс инжинирингу?..

реверс-инжиниринг чего? прошивки железных роутеров? ломать пользовательские роутеры и ставить туда майнеры? или для себя?

ну майнеры это просто для частичной самоокупаемости проекта, может быть мелкий бизнес какой-нить получиться, это не главное.

Главное что это надо делать из-за безопасности - а прошивки роутеров и цисок (перехват траффика идет именно где-то на цисках провайдера! ) все равно потрошить придеться, причем именно дизассемблером, а не по исходникам, куда скорее всего закладки никогда и не заливали(либо убрали сразу как выпустили партию роутеров - мол старая версия - зачем лишний раз светиться)...

Vladimir
PS  история чата в google talk ни у кого не глючит?..

PPS  кстати, настроить сервак и поиграть с АНБ-шной точкой перехвата траффика никто не хочет?
Забавная игрушка я вам скажу, не такая тупая как СОРМ(очень узкие фильтры выхватывают только то что им надо), но блин нельзя же их отпускать без бэкапа всего порнолаба на серверах АНБ...  Скрипт такой кто-нить может написать по-быстрому?  Надо короче эмулировать передачу TCP по портам и IP которые они перехватывают, это вроде не сложно, но блин не могу придумать как бы это сразу с торрентов лить туда напрямую, не засирая свой диск, а то места жалко, на убогих...
(они ваще обарзели - мало того что пасуться в российских сетях как у себя дома, дак еще и русских за лохов держат! А вот за это уже надо наказывать...)

[Vicus]

Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.

[tvv]

Вы tvv не слушайте, это местный шизофреник, косящий под спеца во всем. Мне с ним даже лень спорить.

это вы потом не забудьте повторить еще раз, когда ваши кошельки почистят...


PS  исходники ГСЧ который у вас в кошельке используется хорошо посмотрели?..
(проект по реверс-инж. все еще не нужен вам?    Но нычего, нычего...   "лох платит всегда"  )

[ushba]

PS  дак какой IP у QIWI и сбербанка, кстати?..

qiwi у меня показывает 91.232.231.67