Negative Опубликовано 18 Января 2014 Жалоба Share Опубликовано 18 Января 2014 Источник http://habrahabr.ru/post/209486/ Завязка Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину. Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась. Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался. Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер. Всему виной безответственность Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами. Проверив DNS я обнаружил следующее: 176.102.38.70 8.8.8.8 Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона. Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там). Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее. Вот это поворот 2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39. Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло? Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения. Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку. В тылу врага Оформлена админка была со вкусом В разделе Stat можно было увидеть сколько всего залогировано входов. Ситуация примерно такая: VK ~72000 OK ~45000 QIWI ~9000 BTC — 5 Неплохие результаты (не считая btc), да? Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе. В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро). А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива. Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас. Результаты Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал. Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька. Ссылка на комментарий Поделиться на других сайтах More sharing options...
ku3nez Опубликовано 18 Января 2014 Жалоба Share Опубликовано 18 Января 2014 "Ахереть как круто" - подумал было я - " и чего Negative мне не позвонил для совместного проведения времени в столь интересном приключении?" - а потом заметил что это хабр... =( Ссылка на комментарий Поделиться на других сайтах More sharing options...
Negative Опубликовано 18 Января 2014 Автор Жалоба Share Опубликовано 18 Января 2014 Новость об этой проблеме промелькнула еще 11 декабря 2013 на профильном форуме сетевиков. После чего сразу же были приняты превентивные меры для защиты пользователей сети ОТС. Маршруты на адреса 176.102.38.39 и 176.102.38.70 были (и остаются) заблокированы на пограничном оборудовании. ip route 176.102.38.39/32 null0 description D-Link's open devices spoofed by this DNS ip route 176.102.38.70/32 null0 description D-Link's open devices spoofed by this DNS p.s. Вот так вот тихо и незаметно... Ссылка на комментарий Поделиться на других сайтах More sharing options...
ku3nez Опубликовано 18 Января 2014 Жалоба Share Опубликовано 18 Января 2014 Новость об этой проблеме промелькнула еще 11 декабря 2013 на профильном форуме сетевиков. После чего сразу же были приняты превентивные меры для защиты пользователей сети ОТС. Маршруты на адреса 176.102.38.39 и 176.102.38.70 были (и остаются) заблокированы на пограничном оборудовании. ip route 176.102.38.39/32 null0 description D-Link's open devices spoofed by this DNS ip route 176.102.38.70/32 null0 description D-Link's open devices spoofed by this DNS p.s. Вот так вот тихо и незаметно... Какие же молодцы-то, прям ну ваще Ссылка на комментарий Поделиться на других сайтах More sharing options...
lola Опубликовано 18 Января 2014 Жалоба Share Опубликовано 18 Января 2014 Ух ты как здорово) Ссылка на комментарий Поделиться на других сайтах More sharing options...
TDKs Опубликовано 18 Января 2014 Жалоба Share Опубликовано 18 Января 2014 Как защититься и чем это грозит в будущем? С карточек деньги не потырят? Ссылка на комментарий Поделиться на других сайтах More sharing options...
Negative Опубликовано 18 Января 2014 Автор Жалоба Share Опубликовано 18 Января 2014 Там есть ссылка на файл с номерами. Попробуйте поискать в нем ваш, если пользуетесь киви-кошельком. Защита простая, ставить пароли на свои роутеры отличные от adminadmin. Закрывать wi-fi паролем. В интернете смотреть внимательно на строку адреса. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Vladislav_A Опубликовано 19 Января 2014 Жалоба Share Опубликовано 19 Января 2014 Ну, если воспользоваться поиском от Google, этой заразе уже более 2х месяцев - первое упоминание датируется 16 ноября прошлого года Сам же недавно столкнулся с похожей дрянью, но работающей более грубо - просто отвалился интернет. Не совсем - пинги шли куда надо, а вот страницы могли открываться часами. Исследование показало - какая-то хрень пописала в настройках IE прокси, ну а остальные браузеры настроены на использование системных настроек. В качестве прокси выступал какойто левый сайт, достучаться до которого у меня не получилось. После исправления интернет заработал. Попутно выплыла еще одна проблема - не запускалась служба "Сервер". И на одном из компьютеров в утилите Autoruns отображалась некая подозрительная служба LanmanServer с ссылкой на несуществующий файл. Переход в редактор реестра показал, что изменен параметр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerImagePath, к стандартному значению - %SystemRoot%system32svchost.exe -k netsvcs, дописана левая DLL. Исправление данного несоответствия результата не дало - все равно в утилите Autoruns отображалась некая подозрительная служба LanmanServer с ссылкой на несуществующий файл. Дальней ший поиск привел к ложному значению параметра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersServiceDll. В место %SystemRoot%System32srvsvc.dll и был прописан левый файл. Восстановление верного значения параметра исправило ситуацию. Ссылка на комментарий Поделиться на других сайтах More sharing options...
TDKs Опубликовано 19 Января 2014 Жалоба Share Опубликовано 19 Января 2014 У меня WI-FI было запаролено , а вход на роутер нет. Сейчас проверяю. Стоит динамическая DNS DynDNS c доменным именем host.dyndns.org. Все нормально, так должно и быть? Сменил пароль на роутере. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Julia Опубликовано 6 Февраля 2014 Жалоба Share Опубликовано 6 Февраля 2014 я в природе не помню есть ли у меня пароль на роутере, была уверена, что достаточно запаролить вай фай( а как узнать свой пароль роутера со своего компа? Ссылка на комментарий Поделиться на других сайтах More sharing options...
lola Опубликовано 6 Февраля 2014 Жалоба Share Опубликовано 6 Февраля 2014 Login: Admin Password: Admin Перед этим зайдите по ссылке : http://192.168.10.1 Ссылка на комментарий Поделиться на других сайтах More sharing options...
fanazipan Опубликовано 6 Февраля 2014 Жалоба Share Опубликовано 6 Февраля 2014 Login: Admin Password: Admin Перед этим зайдите по ссылке : http://192.168.10.1 С чего ты взял что у неё 10 подсеть и где такая сеть по умолчанию? )) По умолчанию роутеры в основном имеют 1.1 или 0.1, и не у всех пароли adminadmin Ссылка на комментарий Поделиться на других сайтах More sharing options...
Negative Опубликовано 6 Февраля 2014 Автор Жалоба Share Опубликовано 6 Февраля 2014 Нужно посмотреть адрес своего шлюза. Это и есть роутер. Посмотреть можно комадной ipconfig/all (правда в винды от семерки там уже ничего не поймешь с ходу) или в статусе сетевого соединения. Попасть на него и ввести логин и пароль из инструкции (либо напечатанный с обратной стороны устройства). Ссылка на комментарий Поделиться на других сайтах More sharing options...
lola Опубликовано 6 Февраля 2014 Жалоба Share Опубликовано 6 Февраля 2014 С чего ты взял что у неё 10 подсеть и где такая сеть по умолчанию? )) По умолчанию роутеры в основном имеют 1.1 или 0.1, и не у всех пароли adminadmin Кстати да. Что-то я не подумал. Ссылка на комментарий Поделиться на других сайтах More sharing options...
polecat Опубликовано 6 Февраля 2014 Жалоба Share Опубликовано 6 Февраля 2014 я в природе не помню есть ли у меня пароль на роутере, была уверена, что достаточно запаролить вай фай( а как узнать свой пароль роутера со своего компа? Таки стесняюсь спросить, а как вам удалось запаролить ваш вай фай не зная пароля ну рутер? Нужно посмотреть адрес своего шлюза. Это и есть роутер. Посмотреть можно комадной ipconfig/all (правда в винды от семерки там уже ничего не поймешь с ходу)... Пуск->Выполнить: cmd /k "route print 0.0.0.0" или cmd /k "ipconfig | findstr Gate". В семерке прямо в строке поиска можно. А с /all она, конечно, страшный зверь. Ссылка на комментарий Поделиться на других сайтах More sharing options...
MaSSteR Опубликовано 7 Февраля 2014 Жалоба Share Опубликовано 7 Февраля 2014 Если человек не знает стандартный пароль, значит настраивать роутер кого-то приглашали. Ссылка на комментарий Поделиться на других сайтах More sharing options...
lola Опубликовано 7 Февраля 2014 Жалоба Share Опубликовано 7 Февраля 2014 Так вроде запаролить вафлю можно и через виндоус. Или я ошибаюсь? Ссылка на комментарий Поделиться на других сайтах More sharing options...
Slaavon Опубликовано 7 Февраля 2014 Жалоба Share Опубликовано 7 Февраля 2014 Так вроде запаролить вафлю можно и через виндоус. Или я ошибаюсь? Кто ви-фи раздает? Правильно - твой роутер. А как ты на него "зайдешь" и запаролишь ви-фи через виндас на компе или как, это не важно. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Julia Опубликовано 12 Февраля 2014 Жалоба Share Опубликовано 12 Февраля 2014 Таки отвечу сразу всем) Давно это было. Настроить роутер типа подключиться я повозившись смогла сама. А вот запаролить приглашала соседа. Подключала я его методом инструкция + тык и запомнить или записать чего там было/не было не удосужилась, просто рада была, что ОНО заработало) Потом напряглась, что нет пароля и вай фай раздается соседу и попросила его же поставить пароль) Мне не было жалко вай фая, я просто подумала, что вдруг кто чего незаконного наделает с моего вай фая, а мне отвечать. Не знаю вобще оно имеет место бывать или же нет. Общем блондинка с русыми волосами я. А виндус у меня семь, да. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Сергей Карнаухов Опубликовано 12 Февраля 2014 Жалоба Share Опубликовано 12 Февраля 2014 Мне не было жалко вай фая, я просто подумала, что вдруг кто чего незаконного наделает с моего вай фая, а мне отвечать. Не знаю вобще оно имеет место бывать или же нет. Общем блондинка с русыми волосами я. Имеет место. Иногда правоохранительные органы присылают запросы. В случае чего стрелки будут переведены на вас. Поэтому WiFi надо обязательно паролить. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Recommended Posts
Пожалуйста, авторизуйтесь, чтобы оставить комментарий
Вы сможете оставлять комментарии после авторизации
Войти