Показано с 1 по 11 из 11.

Посторонняя реклама на сайтах. В настройках роутера автоматически меняется Static DNS (заявка № 159989)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2014
    Сообщений
    7
    Вес репутации
    14

    Посторонняя реклама на сайтах. В настройках роутера автоматически меняется Static DNS

    Здравствуйте! Заранее извиняюсь за простыню
    Небольшая предыстория, не уверен, что она относится к делу, но возможно она содержит важную информацию.
    Около 4 месяцев назад у меня упала скорость Интернета примерно в 5-6 раз от заявленной по моему тарифу (вместо 5 Мбит/сек стала около 0.8-1 Мбит/сек). Изредка я наблюдал скачки скорости длительностью 5-10 сек до нормальной или даже выше (до 9-10 Мбит/сек). Замерял онлайн-спидтестерами, а также постоянно мониторил с помощью Диспетчера задач в Windows. 4 месяца я ждал непонятно чего, но никаких изменений не происходило, после чего дозвонился оператору провайдера и подал заявку. Сказали ждать 24 часа, не выключая ADSL-роутер. Через 25 часов никаких изменений. Дозвонился оператору еще раз - оказалось заявку закрыли без моего ведома, оставил новую, сказали опять ждать 24 час. На следующий день пришли мастера со своим роутером и ноутбуком. Не успев ничего сделать, замеряли скорость - и, о чудо, она оказалась ровно такой, как положено (5 Мбит/сек) ! Для приличия поковырялись в настройках роутера, потестили на своем ноуте, сбросили настройки на заводские - всё нормально. Содрали денег за вызов (ну да ладно, Бог с ними) Около двух дней скорость была нормальной, все было хорошо.
    Позавчера я обнаружил непонятно откуда лезущие кучи баннеров на различных веб-сайтах (у меня установлен AdBlock в Chrome), кроме https://, причем на некоторые сайты не пускало вообще, и баннер "Обнаружен AdBlock, отключите его для доступа к контенту блаблабла". Также в Диспетчере задач была видна подозрительная активность в исходящем траффике. На всех сайтах баннеры очень похожи, поэтому меня это сильно насторожило и начал смотреть в web-инспекторе на код страниц (я сам занимаюсь web-программированием). В коде ясно были видны посторонние вставки js-скриптов (на том же google.ru и wikipedia.org). Фигурировал домен out.video-vk.ru.
    Далее я полез в настройки роутера (в них я не особо шарю, скажу сразу) и увидел подозрительный айпишник 91.224.160.10 в поле Static DNS. После того, как я сменил его на гугловский 8.8.8.8 и перезагрузил роутер - все стало норм, баннеры пропали. Далее я удалил весь кэш браузера и куки на всякий случай. Спустя несколько часов, примерно в 1:30 по МСК баннеры полезли снова. Заглянул в настройки роутера - в static dns опять был 91.224.160.10.
    Дальше, я просканировал компьютер с помощью Avast, ничего подозрительного найдено не было. Начал гуглить и вышел на ваш ресурс, где увидел топики с аналогичными проблемами. Прочел инструкцию, все делал по ней (Касперский ничего не нашел, если что я сохранил лог на всякий случай) и вот дошел до пункта "4. Создайте новую тему в разделе Помогите".
    Прикрепляю логи (virusinfo_syscure.zip отсутствует).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Pupkin2, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,142
    Вес репутации
    847
    Cмените пароль на веб-интерфейс роутера на сложный, пропишите DNS, как должно быть. Обновите прошивку роутера на самую последнюю.
    Очистите кеш и куки брoузеров и кэш DNS.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    20.05.2014
    Сообщений
    7
    Вес репутации
    14
    Спасибо за ответ! Выполнять эти действия в том порядке, в каком Вы написали?

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,142
    Вес репутации
    847
    Конечно.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    20.05.2014
    Сообщений
    7
    Вес репутации
    14
    Выполнил все инструкции. Пара нюансов: пароль на веб-интерфейс стоял сложный (15-значный, буквы + цифры, не словарный), прошивка стояла самая свежая (за 2011 год последняя версия).
    Думаю, надо теперь подождать 2-3 дня, чтоб знать наверняка, т.к. сегодня ночью, в отличие от вчерашней, DNS не менялся.
    Есть вопрос: у Вас есть предположения о том, что произошло? Каким образом мог меняться DNS, если антивирусы ничего не нашли? Спрашиваю, дабы избежать рецидивов в дальнейшем.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,142
    Вес репутации
    847
    Через уязвимости роутера, скорее всего. Надеюсь, снаружи доступа к роутеру нет? Хотя, и это не гарантия от взлома. Модель роутера сообщите.

    Вижу Apache HTTP Server и MySQL, к ним снаружи доступа нет? Теоретически и через них ломануть возможно.

    Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
    Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    20.05.2014
    Сообщений
    7
    Вес репутации
    14
    Надеюсь, снаружи доступа к роутеру нет?
    есть, оказывается. Раньше (до прихода "мастеров" от провайдера), насколько я помню, его не было. Пытаюсь найти, как его отключить...

    Модель роутера сообщите.
    Glitel GT5802W (антенна слева). Кстати, оказывается есть аккаунт "support" помимо "admin" и "user". Причем пароль "support" не подходит (я сбросил настройки на заводские) http://habrahabr.ru/post/169669/ Пытался нагуглить дефолтный пароль - не получилось Уже отчаялся и написал на e-mail производителя роутера, правда сомневаюсь, что они ответят.

    Вижу Apache HTTP Server и MySQL, к ним снаружи доступа нет?
    нет, к ним доступа нет снаружи

    Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
    ...
    Выполните скрипт в AVZ при наличии доступа в интернет:
    чуть позже это сделаю, как пофикшу проблемы с доступом к роутером. По сути я в курсе, какие у меня уязвимости есть - из перечисленных Вами только Java не обновлена.

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,142
    Вес репутации
    847
    Навскидку не нашёл, возможно ли перешить это чудо на Tomato/DD-WRT или ещё что-то альтернативное.

    Выполните (Win-R) команду
    Код:
    tracert ukr.net > %USERPROFILE%\desktop\trace.txt
    Сообщите мне в личку результат - будет в файле trace.txt на рабочем столе. Хочу кой-что проверить
    WBR,
    Vadim

  13. #10
    Junior Member Репутация
    Регистрация
    20.05.2014
    Сообщений
    7
    Вес репутации
    14
    Запустите в AVZ мастер поиска и устранения проблем и устраните следующие:
    сделал, заодно отключил автозапуск с носителей

    Выполните скрипт в AVZ при наличии доступа в интернет:
    тоже сделал, скрипт не обнаружил уязвимостей (вчера обновил Java и еще пару прог)

    Сегодня наконец поменял пароль к аккаунту support. Причем он оказался support Вот ответ от производителя роутера на мой запрос:
    By GT-5802W for support account is password – „support“ Support account is available from WAN side only.
    Однако почему-то меня не пускало при авторизации по таким данными, пробовал и через 192.168.1.1 и через внешний IP Или я неправильно понял, что такое "WAN side only" ?
    Закрыть доступ извне так и не получилось, не нашел в веб-интерфейсе такой фичи, видимо ее там и нет. Через telnet приконнектился и выполнил
    iptables -A INPUT -s! 192.168.1.0/24 -p tcp --dport 80 -j DROP
    iptables -A INPUT -s! 192.168.1.0/24 -p tcp --dport 23 -j DROP
    save
    выдало что-то вроде changes has been saved succesfully, но порты по-прежнему видны снаружи и можно авторизоваться

    PS. В целом, проблема вроде бы решена. Еще раз спасибо за помощь.
    Последний раз редактировалось Pupkin2; 23.05.2014 в 19:48.

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,142
    Вес репутации
    847
    WBR,
    Vadim

  • Уважаемый(ая) Pupkin2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 26
      Последнее сообщение: 29.04.2014, 19:57
    2. Ответов: 1
      Последнее сообщение: 28.04.2014, 17:29
    3. Ответов: 9
      Последнее сообщение: 20.12.2013, 18:11
    4. Ответов: 10
      Последнее сообщение: 15.11.2013, 22:01
    5. Ответов: 2
      Последнее сообщение: 07.10.2012, 11:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01059 seconds with 17 queries