Не работает интернет из-за DNS

Встретился довольно-таки противный вирус, который, во-первых, при открытии любого браузера выставляет поиском по умолчанию сайт mailsearchengine.ru, во-вторых, на сайте вконтакте vk.com перестают отображаться картинки, и, в-третьих, при выборе различных пунктов сайта вконтакте, да и любых других сайтов, идет перенаправление на различные сайты с рекламой, чаще всего на сайт wowimpulse.ru. Также через небольшое время просмотра страниц на любых сайтах, вылетает баннер. Причем эти проблемы возникают во всех установленных браузерах.

Во всех встреченных случаях проблема одна и та же : стандартный DNS меняется на 5.199.140.Х

Х может быть любая цифра и отличаться от случая к случаю.

Проблема не настолько велика — в настройках сетевой карты (подключение по локальной сети) в свойствах протокола TCP/IP выставить либо «Получить DNS автоматически» и «Получить IP адрес автоматически» или же ввести данные от своего провайдера интернет.

Уязвимость предположительно кроется в Java Environment. Можно либо удалить через панель управления и поставить свежую версию. Или просто своевременно обновлять Java.

Опасная уязвимость для серверов с apache

Недавно наткнулся на статью про найденную уязвимость в веб-сервере apache.

Пять дней назад в листе рассылки Full Disclosure появился скрипт, по заявлению автора, убивающий Apache начиная от самых старых версий до самых новых.

Работает скрипт очень просто : запускает простой запрос в несколько десятков потоков.

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

В ответ на такой запрос Apache для подсчета Content-Length собирает в памяти длинный ответ из перекрывающихся кусков запрошенного файла, который может занять и занимает значительный объём памяти. При этом потребление памяти Apache начинает резко расти, как на том графике в начале, что при должном, совсем небольшом, количестве запросов приводит к DoS даже на приличных серверах.

Проверить, уязвим ли ваш сервер к этой атаке легко:

curl -I -H "Range: bytes=0-1,0-2" -s www.example.com/robots.txt | grep Partial

Если Вы увидели ответ :

206 Partial Content

То Ваш сервер 100% уязвим для такой атаки.

Что же делать и как поставить защиту ?

Самым простым способомбудет прописать для nginx запрет для проксирования пустых запросов :

proxy_set_header Range "";
proxy_set_header Request-Range "";

А вот если nginx у Вас нет, то рекомендую его установить. Или по сообщениям сайта  cybersecurity.ru :

Разработчики web-сервера Apache сообщают об исправлении опасной уязвимости CVE-2011-3192 , которая использовалась злоумышленниками для проведения атак на отказ в обслуживании web-серверов. Стоит отметить, что web-сервер Apache обеспечивает работу двух третей всех сайтов в мире.

Напомним, что опасная уязвимость была обнаружена независимыми специалистами в области информационной безопасности 20 августа. В тот же день в сети Интернет появился эксплоит, который позволял вывести из строя любой сайт, который использует Apache HTTP Server.

Уязвимость в Apache HTTP Server позволяла злоумышленникам аварийно завершать работу web-серверов, используя простую вредоносную программу. Ошибка заключалась в способе обработки большого количества Range запросов в HTTPD, что приводило к исчерпанию ресурсов удаленной системы. Ошибка была исправлена в новой версии Apache HTTP Server 2.2.20. Однако для того, чтобы предотвратить атаку, все администраторы сайтов, которые используют Apache HTTP Server, должны самостоятельно установить обновление.

Пакет обновлений Windows XP pre-SP4

Обновился пакет обновлений для Windows XP, вышедших после выхода ServicePack3.

В пакет обновлений вошли все апдейты до сентября 2009 года, все исправления безопасности , включая защиту от червей и вирусов таких как sector5 и Conficker.

Скачать с depositfiles.com

Хостинг сайтов.
Акция - домен в подарок при покупке хостинга.
Акция Все клиенты, оплатившие ЛЮБОЙ хостинг-план сроком на один год получают ещё плюс 6 месяцев хостинга по этому тарифному плану В ПОДАРОК!
Эта акция касается как новых клиентов, так и продлевающих свои аккаунты Предоставляется услуга тест драйв - в течении недели можно бесплатно потестить хостинг и все возможности серверов.

sms мошенники — ВКонтакте

Итак многие уже наверно знают, как я отношусь ко всякого рода приложениям на ВКонтакте.

Помимо нового API, предложенного пользователям для раработки своих приложений мошенники на этом не остановились.

Я всегда не доверяю приложениям , разработанными пользователями. Особенно теми, которые запрашивают доступ к личным данным.

Первая волна прокатилась с приложением «Счастливый фермер». На сегодняшний день уже многие копии удалены, что само собой наводит на подозрение. Так же многие не задумываясь, воодили свои пароли по запросу этого приложения.

Но как оказалось приложению не обязательно быть вирусом.

Недавно я сам стал «почти жертвой» таких мошенников.

Однажды утром загрузив страничку и набрав пароль очень удивился :

смс мошенники

смс мошенники

Как видите интерфейс и дизайн полностью совпадает с Вконтактом.

Многие сразу же прикинув — «Как же я буду без ВКонтакта», кинулись отправлять смс. Благо первые версии, очевидно, разрабатывались для России, и деньги с украинских операторов не взымаллись, но думаю это скоро будет исправлено.

Первое, что я сделал — это , конечно, проверил свой компьютер на предмет вирусов, но 3 антивируса (Nod32 v.4 BE, AVAST Pro и КИС) ничего не нашли.

Второе что мне пришло в голову это проверить соответствие адреса Вконтакта :

nslookup vkontakte.ru:
Address:  ххх.ххх.ххх.ххх
vkontakte.ru
Addresses:  93.186.227.124
93.186.227.125
93.186.227.126
93.186.227.129
93.186.227.130
93.186.228.129
93.186.229.2
93.186.229.3
93.186.224.233
93.186.224.234
93.186.224.235
93.186.224.236
93.186.224.238
93.186.224.239
93.186.225.6
93.186.225.211
93.186.225.212
93.186.226.4
93.186.226.5
93.186.226.129
93.186.226.130
93.186.227.123

Как видим и тут все в порядке.

Третей мыслью осталось только проверить путь маршрута :

не буду приводить полный маршрут,но уже первые строчки заставили насторожиться :

C:\Users\spider>tracert vkontakte.ru
Трассировка маршрута к vkontakte.ru [188.120.244.207]
с максимальным числом прыжков 30:


188.120.244.207

Этого адреса не должно быть (см. код выше зарегестрированных адресов ВКонтакта)

Уже догадываясь, куда смотреть открываю файл C:\windows\system32\drivers\etc\hosts :
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru

и точно, подмена оригинальных адресов левыми.

Кто не в курсе, разьясню : этот файл ресолвит (определяет адреса IP сайтов по их имени) адреса сайтов ДО DNS сервера.

Чтобы избавиться от этого псевдосайта просто удалите вышеперечисленные адреса из файла C:\windows\system32\drivers\etc\hosts

Мораль: не устанавливайте подозрительные приложения, а особенно те, для работы которых нужно установить их себе на страницу и дать доступ к личным данным.

Проверяйте периодически данный файл на предмет «лишних» записей (по умолчанию там должна быть только 1 строчка 127.0.0.1 localhost).

И самое главное: не спешите отсылать смс — мошенники рядом !

Вирус W32 Sality.AE/v/h

Началось все с компа друга. Способ распространения — скорее всего : СЕТЬ.

Симптомы :

  • не загружается в безопасном режиме
  • периодические «синие экраны смерти» (bluescreen)
  • периодическое увеличение сетевого траффика
  • зависание страниц сетевого браузеров
  • зависание компьютера
  • отключение антивирусов
  • блокирование обновлений антивирусных программ

Описание.
Это только из того , что нашел я. Вот некоторые описания с других форумов :

Virus.Win32.Sality.v

Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)

Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.

Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.

Вот полностью правильное описание :
Прочитать больше

Сетевые черви Net-Worm.Win32.Kido/Conficker.AA(win32/Conficker.AE)

Симптомы заражения в сети

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Часто вылетают звуковые драйвера.
  4. Ошибка generic host process failed.
  5. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
  3. Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://www.whatsmyipaddress.com
    • http://www.whatismyip.org
    • http://checkip.dyndns.org
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
    • http://trafficconverter.biz
    • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальных утилит:

Утилита от ESET EConfickerRemover.

kidokiller_v31.

kidokiller_v333 (обновленная)

kkiller_v344 (обновленная)

Ключи для запуска утилиты KK.exe из командной строки:

Параметр

Описание

-p <путь для сканирования>

Cканировать определённый каталог.

-f

Cканировать жёсткие диски.

-n

Cканировать сетевые диски.

-r

Cканировать flash-накопители.

-y

Не ждать нажатия любой клавиши.

s

«Тихий» режим (без чёрного окна консоли).

-l <имя файла>

Запись информации в лог-файл.

-v

Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

z

Восстановление служб

· Background Intelligent Transfer Service (BITS),

· Windows Automatic Update Service (wuauserv),

· Error Reporting Service (ERSvc/WerSvc)

Восстановление возможности показа скрытых и системных файлов.

a

Отключение автозапуска со всех носителей.

m

Режим мониторинга потоков, заданий, сервисов.

-j

Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

-help

Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

А вот еще 2 утилитки

Скачать с depositfiles.com

Скачать с letitbit.net

Обновленные версии Утилиты от BitDefender :

Скачать с depositfiles

Скачать с letitbit.net

И еще утилита для Сетевого лечения:

Скачать с depositfiles

Скачать с letitbit.net

Лечит сразу несколько компьютеров в сети (требуется аутентификация)

Так же обновилось средство удаления вредоносного кода от самой Microsoft:

Скачать с depositfiles

Скачать с letitbit.net

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  • Отключить автозапуск исполняемых файлов со съемных носителей.

Линки на патчи для разных ОС:

Windows XP:

Скачать с depositfiles.com

Скачать с letitbit.net

Windows XP x64 Edit:

windowsserver2003windowsxp-kb958644-x64-enu

Windows Vista:

windows60-kb958644-x86

Windows 2003 Server:

Скачать с depositfiles.com

Скачать с letitbit.net

После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.

Удачи !!!

ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU)  эта гадость не пролезла.

ЗЫЫ. Утилиты обновлены от 14.04.09