Посторонняя реклама на сайтах. В настройках роутера автоматически меняется Static DNS
Здравствуйте! Заранее извиняюсь за простыню
Небольшая предыстория, не уверен, что она относится к делу, но возможно она содержит важную информацию.
Около 4 месяцев назад у меня упала скорость Интернета примерно в 5-6 раз от заявленной по моему тарифу (вместо 5 Мбит/сек стала около 0.8-1 Мбит/сек). Изредка я наблюдал скачки скорости длительностью 5-10 сек до нормальной или даже выше (до 9-10 Мбит/сек). Замерял онлайн-спидтестерами, а также постоянно мониторил с помощью Диспетчера задач в Windows. 4 месяца я ждал непонятно чего, но никаких изменений не происходило, после чего дозвонился оператору провайдера и подал заявку. Сказали ждать 24 часа, не выключая ADSL-роутер. Через 25 часов никаких изменений. Дозвонился оператору еще раз - оказалось заявку закрыли без моего ведома, оставил новую, сказали опять ждать 24 час. На следующий день пришли мастера со своим роутером и ноутбуком. Не успев ничего сделать, замеряли скорость - и, о чудо, она оказалась ровно такой, как положено (5 Мбит/сек) ! Для приличия поковырялись в настройках роутера, потестили на своем ноуте, сбросили настройки на заводские - всё нормально. Содрали денег за вызов (ну да ладно, Бог с ними) Около двух дней скорость была нормальной, все было хорошо.
Позавчера я обнаружил непонятно откуда лезущие кучи баннеров на различных веб-сайтах (у меня установлен AdBlock в Chrome), кроме https://, причем на некоторые сайты не пускало вообще, и баннер "Обнаружен AdBlock, отключите его для доступа к контенту блаблабла". Также в Диспетчере задач была видна подозрительная активность в исходящем траффике. На всех сайтах баннеры очень похожи, поэтому меня это сильно насторожило и начал смотреть в web-инспекторе на код страниц (я сам занимаюсь web-программированием). В коде ясно были видны посторонние вставки js-скриптов (на том же google.ru и wikipedia.org). Фигурировал домен out.video-vk.ru.
Далее я полез в настройки роутера (в них я не особо шарю, скажу сразу) и увидел подозрительный айпишник 91.224.160.10 в поле Static DNS. После того, как я сменил его на гугловский 8.8.8.8 и перезагрузил роутер - все стало норм, баннеры пропали. Далее я удалил весь кэш браузера и куки на всякий случай. Спустя несколько часов, примерно в 1:30 по МСК баннеры полезли снова. Заглянул в настройки роутера - в static dns опять был 91.224.160.10.
Дальше, я просканировал компьютер с помощью Avast, ничего подозрительного найдено не было. Начал гуглить и вышел на ваш ресурс, где увидел топики с аналогичными проблемами. Прочел инструкцию, все делал по ней (Касперский ничего не нашел, если что я сохранил лог на всякий случай) и вот дошел до пункта "4. Создайте новую тему в разделе Помогите".
Прикрепляю логи (virusinfo_syscure.zip отсутствует).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Pupkin2, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Cмените пароль на веб-интерфейс роутера на сложный, пропишите DNS, как должно быть. Обновите прошивку роутера на самую последнюю. Очистите кеш и куки брoузеров и кэш DNS.
Выполнил все инструкции. Пара нюансов: пароль на веб-интерфейс стоял сложный (15-значный, буквы + цифры, не словарный), прошивка стояла самая свежая (за 2011 год последняя версия).
Думаю, надо теперь подождать 2-3 дня, чтоб знать наверняка, т.к. сегодня ночью, в отличие от вчерашней, DNS не менялся.
Есть вопрос: у Вас есть предположения о том, что произошло? Каким образом мог меняться DNS, если антивирусы ничего не нашли? Спрашиваю, дабы избежать рецидивов в дальнейшем.
Через уязвимости роутера, скорее всего. Надеюсь, снаружи доступа к роутеру нет? Хотя, и это не гарантия от взлома. Модель роутера сообщите.
Вижу Apache HTTP Server и MySQL, к ним снаружи доступа нет? Теоретически и через них ломануть возможно.
Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
есть, оказывается. Раньше (до прихода "мастеров" от провайдера), насколько я помню, его не было. Пытаюсь найти, как его отключить...
Модель роутера сообщите.
Glitel GT5802W (антенна слева). Кстати, оказывается есть аккаунт "support" помимо "admin" и "user". Причем пароль "support" не подходит (я сбросил настройки на заводские) http://habrahabr.ru/post/169669/ Пытался нагуглить дефолтный пароль - не получилось Уже отчаялся и написал на e-mail производителя роутера, правда сомневаюсь, что они ответят.
Вижу Apache HTTP Server и MySQL, к ним снаружи доступа нет?
нет, к ним доступа нет снаружи
Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
...
Выполните скрипт в AVZ при наличии доступа в интернет:
чуть позже это сделаю, как пофикшу проблемы с доступом к роутером. По сути я в курсе, какие у меня уязвимости есть - из перечисленных Вами только Java не обновлена.
Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
сделал, заодно отключил автозапуск с носителей
Выполните скрипт в AVZ при наличии доступа в интернет:
тоже сделал, скрипт не обнаружил уязвимостей (вчера обновил Java и еще пару прог)
Сегодня наконец поменял пароль к аккаунту support. Причем он оказался support Вот ответ от производителя роутера на мой запрос:
By GT-5802W for support account is password – „support“ Support account is available from WAN side only.
Однако почему-то меня не пускало при авторизации по таким данными, пробовал и через 192.168.1.1 и через внешний IP Или я неправильно понял, что такое "WAN side only" ?
Закрыть доступ извне так и не получилось, не нашел в веб-интерфейсе такой фичи, видимо ее там и нет. Через telnet приконнектился и выполнил
iptables -A INPUT -s! 192.168.1.0/24 -p tcp --dport 80 -j DROP
iptables -A INPUT -s! 192.168.1.0/24 -p tcp --dport 23 -j DROP
save
выдало что-то вроде changes has been saved succesfully, но порты по-прежнему видны снаружи и можно авторизоваться
PS. В целом, проблема вроде бы решена. Еще раз спасибо за помощь.
Последний раз редактировалось Pupkin2; 23.05.2014 в 20:48.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: