Подмена адреса (вопрос к знатокам net-технологий).

Выхожу я как-то в интернет (компьютер только что включенный), все нормально. "Хожу, брожу" ..., но когда захотел выйти на NNM.RU — вместо него вышел Disney.com! С другими браузерами — аналогично. Звоню друзьям — на сайт они нормально попадают. Звоню провайдеру (Волгателеком) — неполадок не замечено. Уже похоже на троян! Смотрю свой хост-лист — чистенько! Ладно, пытаюсь выйти через прокси-сервер — ВСЁ В ПОРЯДКЕ! Ладно, думаю, перезагружаю свой модем (D-Link 2540) и ... чтобы вы думали? Всё заработало нормально!
Собственно вопрос к знатокам. Где могла произойти подмена адреса? В модеме? У провайдера? (комп не перезагружал, после перезагрузки модема получил от провайдера другой IP).
(Заранее заявляю, вопроса "кому это надо" не задавал и ответа на него знать не желаю!)

virus, троян, подмена адреса

−05+

moiomo / Докеры / 8 марта 2010, 16:37

Рейтинг: ↓0+

bon_gandon 29 декабря 2010, 23:12 #

неееее.. это подмена днс сервера.. причем не у вас и не у прова.. вы обратились к прову за днс адресом вида ***.""".№№№.%%% , днс прова обратился к другому днс за получением ип.. и т д по цепочке, где то произошла подмена сервера и ложный сервер дал ложный днс.. у вас на модеме включено днс кеширование, ему дали неправильный ип он его запомнил и пока хватает памяти — хранит (соответстно ой..).. если комп не перегружался днс кеш компа хранит.. тож ой..
Рейтинг: ↓0+

lenon 8 апреля 2010, 02:53 #

Адрес к DNS серверам может поменяли ?
Рейтинг: ↓0+

botanic22 23 марта 2010, 08:57 #

Вот и я с таким столкнулся сегодня. Ночью, когда пытался зайти на сайт с коммуникатора, через Оперу мини, выскакивала ошибка. Не стал разбираться — спать хотелось. А с самого утра стабильно на коммуникаторе Дисней открывается вместо нонаме :( Пришлось подключить ноут и выйти через обычную Оперу. Тут все нормально, сайт открывается без переадресации...
Рейтинг: ↓0+

cll 11 марта 2010, 14:10 #

Это не вирус и не троян: у меня на дисней идёт перенаправление с ННМ, если зайти на сайт по IP. Вероятно, с этим как-то связана другая проблема — доступ к ННМ с включенным Касперским (обсуждение тут: http://www.nnm-club.ru/forum/viewtopic.php?t=182011).
Рейтинг: ↓2+

SergGGG 9 марта 2010, 12:13 #

лучше диснея не дразнить...
Рейтинг: ↓6+

beshh (ಠ ಠ) 9 марта 2010, 04:06 #

это своеобразный юмор от главамина нонейма :)
с диапазона IP твоей сетки шло слишком много запросов и он попал в IP-банлист, который автоматом перенаправляется на сайт диснея. такой вот защитный механизьм, понимешь :))
- Рейтинг: ↓4+
  
  SHAH 9 марта 2010, 10:01 #
  
  Где ты раньше был?
  Чел уже машину разобрал и помыл с мылом ;))
  - Рейтинг: ↓4+
    
    beshh (ಠ ಠ) 9 марта 2010, 10:04 #
    
    главное, чтоб не перепрошил ... на швейной машинке :))
- Рейтинг: ↓2+
  
  steves 9 марта 2010, 23:44 #
  
  Комментарий то что нужно!
Рейтинг: ↓2+

IzZzI 8 марта 2010, 21:04 #

Уязвимы все маршрутизаторы D-Link со старыми прошивками. Правда уязвимость не критичная. После перезагрузки роутер работает нормально...

http://www.3dnews.ru/news/ispravleniya_uyazvimostei_dlya_nekotorih_marshrutizatorov_d_link/
- Рейтинг: ↓0+
  
  moiomo (Виктор Алексеевич) 8 марта 2010, 21:12 #
  
  Ой, ну да, "замечательная новость"! Заметили только сейчас, хотя об этом, в интернете, было известно чуть ли не с начала выпуска оборудования. Я почему с таким сарказмом — не все могут перепрошить модем. "Процесс, вроде бы, идет", но прошивка не меняется! Надо ехать в сервис и на их программаторе перепрошивать! Видать там крепкий вирус, в их линаксовской прошивке!
  - Рейтинг: ↓0+
    
    SHAH 8 марта 2010, 21:21 #
    
    Нет никаких сложностей с прошивкой D-Link и надо зайти http://www.d-link.ru/ — единственное — к новому интерфейсу надо привыкнуть
    
    Рейтинг: ↓0+
    
    X0MYT 8 марта 2010, 21:35 #
    
    Проблема только с NNM.RU
    E vtyz ghjibdrf 2009 года. Вряд ли дело в ней. Повторю — дело касается только NNM.
    
    Рейтинг: ↓0+
    
    X0MYT 8 марта 2010, 21:35 #
    
    * У меня прошивка 2009 года.
    
    Рейтинг: ↓0+
    
    moiomo (Виктор Алексеевич) 8 марта 2010, 21:48 #
    
    Мой экземпляр модема не прошивается! И, как выяснилось, таких как я "несчастливчиков" — не я один. И утилита фирменная и прошивки новейшие, но только после перепрошивки ... "оказывается"! ... что ничего не перепрошилось! То есть дефект конкретного модема! Но мне непросто добраться/доехать до сервиса, потому и работаю на старой версии. Я мог бы и "почтой отослать", вот только модем у меня один. Запаса нет! :)))
    
    Рейтинг: ↓0+
    
    SHAH 8 марта 2010, 23:39 #
    
    Я ездил на фирму D-Link на алексеевской — была проблемка — невозможность перепрошить — это брак — можно поменять модем без надрыва — главное, чтоб номерок был белый
    
    Рейтинг: ↓0+
    
    SHAH 9 марта 2010, 01:50 #
    
    А что прошивать через браузер введя адрес 192.168.1.1. не получаетя ?
    
    Рейтинг: ↓0+
    
    moiomo (Виктор Алексеевич) 9 марта 2010, 12:48 #
    
    Никак! Я звонил в службу сервиса, этот дефект им знаком. Но надо им привозить (у них есть программатор для таких случаев). Только, увы, приехать не могу — нет машины! А на общественном транспорте мне тяжко (просто тяжело ходить, а до остановки почти километр).
Рейтинг: ↓0+

moiomo (Виктор Алексеевич) 8 марта 2010, 21:04 #

Как говориться, "пользуясь случаем" (господи, во что я превращаю свой пост?!!):
Вирус в аккумуляторном заряднике
По сообщению ИТ-группы US-Cert (United States Computer Emergency Readiness Team), на западные рынке поступила инфицированная партия USB-зарядников для пальчиковых аккумуляторных батарей. Новый вредоносный код уже получил название Energizer Bunny (Кролик Energizer), а получить его на свой компьютер рискуют все покупатели решения Energizer DUO.
Energizer DUO представляет собой зарядное устройство для пальчиковых никель-металл гидридных батарей, работающее от USB-порта компьютера или ноутбука. В компании Energizer Holdings сообщили, что уже начали отзыв с рынка зараженных зарядных устройств. При этом, производитель пока отказывается от комментариев в отношении того, как вредоносный код мог попасть на USB-зарядник.
"Energizer сейчас работает с US-Cert и другими представителями, чтобы понять, как вредоносный код мог попасть в устройство", — говорится в заявлении компании. Решение Energizer DUO продается на рынках США, Латинской Америки, Европы и Азии с 2007 года.
Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и передается на компьютер вместе с управляющим ПО для отображения статуса зарядки аккумулятора. При попадании в компьютер, создается файл Arucer.dll, который привязывается к порту 7777 и принимает через него дальнейшие исполнительные файлы. Троян загружается при каждом включении ПК и остается активным даже когда зарядное устройство уже не подключено к компьютеру.
US-Cert рекомендовала пользователям вручную удалить файл Arucer.dll из папки System32 и перегрузить компьютер. Сама Energizer также удалила управляющее ПО со своего сайта. В заявлении компании говорится, что в памяти заурядного устройства находится еще и версия управляющего ПО для Mac OS X. Она не содержит вредоносного программного обеспечения.
Напомним, что ранее от присутствия вирусов в своих устройствах уже страдали компании Apple, Seagate, Sony и другие.
----
Скоро с вирусами будут не только батарейки, но и разные RF-ярлычки на товарах, купленных вами и по блютуз (Wi-Fi, Wi-Max, "на секретной частоте") связывающихся (с вашим компьютером (зачеркнуть), с другими ярлычками, чтобы обсудить план действий по дележке оставшейся (на сотовом телефоне) наличности!
Не удивлюсь!
Рейтинг: ↓2+

Alexander2 8 марта 2010, 20:53 #

Нечисто дело. Я уж было плохое подумал.
Рейтинг: ↓1+

X0MYT 8 марта 2010, 19:32 #

Такая же хрень. ТОлько хоител об этом новость сюда написать. Началось 7 марта. Модем адсл. Происходит с разных компов и даже с разных операционок. Причем с любых браузеров. Заметил — переодресация происходит только для определенных IP (которые вам выдает провайдер). IP — больше определенного числа — переадресация, меньше — все нормально. Выходил в нет и из биоса материнки (есть в асусах такая фича — Express Gate) — там вообще микро линукс какой-то всё подтвердилось многократно — при ваших определенных IP идет переадресация. При пользовании аномайзерами — все работает.
У меня так:
IP
ХХ.ХХХ.48.ХХХ и выше 48 — переадресация есть. При ниже 48 — нет.
- Рейтинг: ↓1+
  
  moiomo (Виктор Алексеевич) 8 марта 2010, 19:37 #
  
  О! До чего наука дошла! Самое интересное, касается это только NNM.
  Прям "полигон" какой-то, по отработке методов управления массами!!!
  - Рейтинг: ↓1+
    
    X0MYT 8 марта 2010, 19:40 #
    
    Действительно. Только NNM заметил. Остальное тьфу-тьфу-тьфу работает. Врят ли это диснеевский сайт такими вещами шалит.
  - Рейтинг: ↓0+
    
    X0MYT 8 марта 2010, 20:32 #
    
    Вы какую нибеть закономерность заметили? Когда Вас перебрасывает?
    
    Рейтинг: ↓0+
    
    moiomo (Виктор Алексеевич) 8 марта 2010, 20:52 #
    
    Нет статистики, случай однократный. Сразу после включения началось. Скорее всего, это "диверсия" самого сайта, раз уж всплыл "диапазон IP". На нем и надо искать.
    Сейчас мой IP: 80.234.11.229. А где-то на компе могли сохраниться IP (куки, журналы фаервола, самой винды)?
    
    Рейтинг: ↓1+
    
    X0MYT 8 марта 2010, 20:58 #
    
    Куки я первым делом почистил. Не помагло :(
    А Ваш IP в мою статистику подходит :)
Рейтинг: ↓0+

hlphlp 8 марта 2010, 17:20 #

net-технологий — ну нет тут ни при чем. NET — это технология МС, а ты про веб говоришь. ну да ладно

первое что при хордит на ум — проверить файл hosts — там подмену можно сделать запросто
(файл лежит в C:\WINDOWS\system32\drivers\etc)
по минимум выглядит так

127.0.0.1 localhost
- Рейтинг: ↓0+
  
  moiomo (Виктор Алексеевич) 8 марта 2010, 19:08 #
  
  "Смотрю свой хост-лист — чистенько!"
  Нет там лишних строчек! Только эта — 127.0.0.1 localhost
Рейтинг: ↓0+

serg_user2 8 марта 2010, 17:10 #

У меня такая ж хрень. Вчера, 7-го числа под вечер ни с того ни с сего слал ННМ подменяться этим диснеем. Недавно всё вернулось в прежнее положение. Стал просматривать сайт — твоё сообщение о подмене — уже второе. Так что нас минимут уже трое, коих кто-то посчитал любителями диснея против нашего согласия.
Кстати, не перезагружал специально комп. Просто выжидал, не "торкая" на подозрительные кнопки "диснея". Меньше чем через сутки всё стало н7ормально(надеюсь).
Но не теряя времени, пошерстил комп антивирусниками, добавил чистку ещё другими не конфликтующими с основным. Выявил попутно с десяток заразных файлов. Удалил безжалостно.
Может это была атака заразы, может кто-то спецом попёр на ННМ и мы оказались случайно "избранными"
По-любому, лучше бы таких сюрпризов больше не происходило.
- Рейтинг: ↓0+
  
  moiomo (Виктор Алексеевич) 8 марта 2010, 19:19 #
  
  Похоже на "стелс-технологию" — ни в процессах, ни в соединениях никаких "лишних" не замечено. Я бы еще "косил" на фаерфокс, но и опера и ИЕ "туда же, попадали"! Я вот не догадался в настройки модема (порт-маппинг и прочее) заглянуть, до его перезагрузки. В модеме линакс установлен (2 мегабайта), а его несложно "дистанционно перенастроить".
  Но мне что-то кажется, что эта "шняга" на сервере провайдера обосновалась. Или "у специальных товарищей", которые контролируют трафик и, заодно, "блокируют" наиболее неугодных? Есть статистика какие конкретные люди "попали под раздачу"? За что боролись, кого поддерживали?
- Рейтинг: ↓2+
  
  moiomo (Виктор Алексеевич) 8 марта 2010, 19:30 #
  
  Как вариант, "зараза" могла быть и на самом "нонейме"! По "айпишнику перебросили"!
  А то, что у вас "само прошло", можно объяснить тем, что ваш провайдер сменил ваш IP. У вас, наверное, он динамический. Вот при смене оно и "прошло само собой"!