Примерно от начала декабря в основном в разделе Вопросы и жалобы по Dom@Net(*) стали появляться сообщения о наличии вирусов на страницах сайта тенет. У меня нет возможности и желания отсеять все сообщения по этой проблеме и склеить из нее отдельную тему (у кого есть - сделайте, будет только удобней).
Интро.
У абонентов сетей DomaNet при правильных настройках компьютер получает IP адрес от ДХЦП сервера провайдера. В свойствах подключения по локальной сети это выглядит как выбранный пункт "Получить IP адрес автоматически". Кроме самого IP адреса на самом деле компьютер получает еще и маску, шлюзы, маршруты, днс, винс и т.д.
Именно шлюзы. Выглядит это примерно так:
Код:
C:\>ipconfig /all
Основной шлюз . . . . . . . . . . : 192.168.258.250
DHCP-сервер . . . . . . . . . . . : 192.168.258.1
Или другими словами
192.168.258.250 - шлюз доступа на внутренние ресурсы;
192.168.258.1 - шлюз доступа в интернет, он же ДХЦП сервер.
Майн.
Некоторое время назад в некоторых сетях распространился вирус, который на зараженном компьютере "прописывает" ИП адрес шлюза для доступа на внутренние ресурсы (192.168.258.250). Так как этот компьютер для остальных абонентов сети находится ближе, то и пакеты от незараженного компьютера на внутренние ресурсы попадают именно на него, а не на легальный шлюз-сервер_провайдера. Вирус перехватывает запросы юзеров и вписывает опасный код в текст html-страничек, на которых присутствуют поля для ввода логина и пароля (а может и вообще всех подряд). Именно поэтому для обывателей кажется, что заражены только странички сайтов тенет.
На данный момент это наблюдается в сетях Гайдара, Космонавтов2, Экономическая, Пионерская, Терешковой, Вильямса, Генерала Петрова.
В момент, когда проблема не наблюдается надо выяснить МАК-адрес шлюза провайдера:
Код:
C:\> arp -a
Интерфейс: 192.168.258.333 --- 0x4
Адрес IP Физический адрес Тип
192.168.258.250 00-11-22-33-44-55 динамический
(ИП и МАК взяты для примера, у вас будут другие данные).
Этот МАК надо запомнить, а лучше записать. В момент, когда вдруг обнаруживаете вирус в коде страницы, или просто от нефиг делать, очищаете АРП таблицу на своем компе и фиксируете статическую запись:
Код:
C:\>arp -d *
C:\>arp -s 192.168.258.250 00-11-22-33-44-55
C:\>arp -a
Интерфейс: 192.168.258.333 --- 0x4
Адрес IP Физический адрес Тип
192.168.258.250 00-11-22-33-44-55 статический
После этого теоретически шпионский шлюз с вирусами вам не страшен.
Но намного приятней настучать на этого мегахацкера в техсаппорт, чтобы его забанили. Опять же, периодически пингаете указанный ИП и проверяете АРП таблицу. Если МАК не совпадает с зафиксированным ранее, значит можно писать кляузу. !!! Для поиска хулигана статической записи в АРП таблице быть не должно !!!
Аутро.
Если есть толковые вопросы по теме - отвечу. Может вместе разрулим ситуацию, потому что удаленно понять что за вирусяка на компе задрота не получается. На бестолковые вопросы оставляю за собой право не отвечать.
Если вы не поняли, что я написал, значит это не для вас.
Если надумали писать письма в саппорт, постарайтесь указать как можно больше точных и нужных данных, а не просто "заблокируйте кого-нибудь".
Социальные закладки