Не работает интернет из-за DNS

Встретился довольно-таки противный вирус, который, во-первых, при открытии любого браузера выставляет поиском по умолчанию сайт mailsearchengine.ru, во-вторых, на сайте вконтакте vk.com перестают отображаться картинки, и, в-третьих, при выборе различных пунктов сайта вконтакте, да и любых других сайтов, идет перенаправление на различные сайты с рекламой, чаще всего на сайт wowimpulse.ru. Также через небольшое время просмотра страниц на любых сайтах, вылетает баннер. Причем эти проблемы возникают во всех установленных браузерах.

Во всех встреченных случаях проблема одна и та же : стандартный DNS меняется на 5.199.140.Х

Х может быть любая цифра и отличаться от случая к случаю.

Проблема не настолько велика — в настройках сетевой карты (подключение по локальной сети) в свойствах протокола TCP/IP выставить либо «Получить DNS автоматически» и «Получить IP адрес автоматически» или же ввести данные от своего провайдера интернет.

Уязвимость предположительно кроется в Java Environment. Можно либо удалить через панель управления и поставить свежую версию. Или просто своевременно обновлять Java.

Опасная уязвимость для серверов с apache

Недавно наткнулся на статью про найденную уязвимость в веб-сервере apache.

Пять дней назад в листе рассылки Full Disclosure появился скрипт, по заявлению автора, убивающий Apache начиная от самых старых версий до самых новых.

Работает скрипт очень просто : запускает простой запрос в несколько десятков потоков.

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

В ответ на такой запрос Apache для подсчета Content-Length собирает в памяти длинный ответ из перекрывающихся кусков запрошенного файла, который может занять и занимает значительный объём памяти. При этом потребление памяти Apache начинает резко расти, как на том графике в начале, что при должном, совсем небольшом, количестве запросов приводит к DoS даже на приличных серверах.

Проверить, уязвим ли ваш сервер к этой атаке легко:

curl -I -H "Range: bytes=0-1,0-2" -s www.example.com/robots.txt | grep Partial

Если Вы увидели ответ :

206 Partial Content

То Ваш сервер 100% уязвим для такой атаки.

Что же делать и как поставить защиту ?

Самым простым способомбудет прописать для nginx запрет для проксирования пустых запросов :

proxy_set_header Range "";
proxy_set_header Request-Range "";

А вот если nginx у Вас нет, то рекомендую его установить. Или по сообщениям сайта  cybersecurity.ru :

Разработчики web-сервера Apache сообщают об исправлении опасной уязвимости CVE-2011-3192 , которая использовалась злоумышленниками для проведения атак на отказ в обслуживании web-серверов. Стоит отметить, что web-сервер Apache обеспечивает работу двух третей всех сайтов в мире.

Напомним, что опасная уязвимость была обнаружена независимыми специалистами в области информационной безопасности 20 августа. В тот же день в сети Интернет появился эксплоит, который позволял вывести из строя любой сайт, который использует Apache HTTP Server.

Уязвимость в Apache HTTP Server позволяла злоумышленникам аварийно завершать работу web-серверов, используя простую вредоносную программу. Ошибка заключалась в способе обработки большого количества Range запросов в HTTPD, что приводило к исчерпанию ресурсов удаленной системы. Ошибка была исправлена в новой версии Apache HTTP Server 2.2.20. Однако для того, чтобы предотвратить атаку, все администраторы сайтов, которые используют Apache HTTP Server, должны самостоятельно установить обновление.