Все записи с меткой ‘безопасность’

Проблема по сей день животрепещущая. На сайте я уже поднимал подобные вопросы, но захотелось объединить все советы в одну инструкцию, чем собственно сейчас и попытаемся заняться. Должно получиться более-менее пошагово, но под конец расплывчато и обрывчато – такой вот у меня стиль)) Сподвиг меня на написание инструкции недавно обнаруженный хитрый способ подмены файла hosts – о нем кратко в конце мануала. А сейчас – инструкция!

Начнем с того, что в ОС Windows перенаправить пользователя на другой сайт в браузере можно тремя (известными мне) способами:

1. С помощью файла hosts.

2. Подменой DNS-серверов.

3. Созданием маршрутов в реестре (PersistentRoutes).

Поэтому в том случае, если я обнаруживаю подмену страницы авторизации сайтов популярных соц. сетей, я по порядку проверяю эти 3 пункта.

Как заподозрить неладное? Обычно, злоумышленники, подменив страницу авторизации просят отправить якобы бесплатную СМС. Уже повод задуматься. Стоимость SMS Вы сможете узнать, проверив короткий номер в соответствующих сервисах, например здесь. Если стоимость не равна нулю, тогда можно начать переживать, кусать ногти, локти и подлокотники.

Чтобы окончательно удостовериться в подмене, запускаем консоль (Пуск – Выполнить – cmd) и выполняем 2 команды:

ping vkontakte.ru

ping odnoklassniki.ru

В результате мы получим IP-адреса обоих сайтов. На скрине ниже подробно подчеркнуто.

Во-первых, оба IP должны быть разными – две конкурирующих соц. сети не могут ютиться на одном сервере. Если IP разные, сверьте их с правильными:

vkontakte.ru IP’s – 87.240.143.244, 87.240.188.249, 87.240.188.250, 93.186.224.240, 93.186.224.243, 87.240.131.97, 87.240.131.98, 87.240.131.99, 87.240.131.100, 87.240.143.241, 87.240.143.242, 87.240.143.243.

odnoklassniki.ru IP – 217.20.154.59.

Если подмена имеет место быть – делаем следующее:

1. Открываем «Пуск» – «Выполнить», вводим команду:

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts

и жмем ОК. Откроется Блокнот с содержимым файла hosts. Содержимое файла hosts должно быть следующим:

Т.е. по сути всего одна запись – 127.0.0.1 localhost, все остальное со знаком # в начале – это просто комментарии разработчиков. Если имеют место записи, содержащие vkontakte, odnoklassniki или twitter – удаляем их и приводим файл hosts к нужному виду.

2. Проверяем DNS-сервера. Если компьютер подключен к Интернету через локальную сеть LAN или Wi-Fi (т.е. не через USB-модем и мобильный телефон или, не дай Бог, dial-up модем), открываем «Пуск» – «Панель управления» – «Сетевые подключения». Находим значок подключения по локальной сети или беспроводного подключения, щелкаем на нем правой кнопкой мыши и выбираем «Свойства». В открывшемся окне прокручиваем список и нажимаем на «Протокол Интернета TCP/IP», после чего жмем на кнопку «Свойства» снизу. В открывшихся свойствах обращаем внимание на нижний блок, относящийся к DNS – должна стоять галочка напротив пункта «Получить адрес DNS-сервера автоматически». Или же можно прописать публичные серверы DNS Гугла: 8.8.8.8 и 8.8.4.4.

3. Открываем редактор реестра (Пуск – Выполнить – regedit) и в левой части открываем следующий путь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Щелкнув в левой части на PersistentRoutes, в правой части мы должны увидеть только пустую запись «По умолчанию» и ничего более. Если имеется что-то еще – смело удаляйте.

Обычно этих трех пунктов бывает достаточно. На самом деле, все эти пункты можно выполнить автоматически с помощью AVZ, что впоследствии я и рекомендую делать. Просто в первый раз можно сделать и ручками, дабы вникнуть в суть. С помощью AVZ разблокировать доступ к Вконтакте, Одноклассникам и Твиттеру можно следующим образом:

1. Собственно, скачиваем AVZ.

2. Запускаем.

3. Открываем «Файл» – «Восстановление системы».

4. Отмечаем пункты 13,14,15,20,21.

5. Жмем «Выполнить отмеченные операции».

Под конец добавлю несколько замечаний. Если Вы пытались вводить логин и пароль на «фэйковой» странице авторизации – настоятельно рекомендую после избавления от «каки» сменить пароли, иначе могут просто увести аккаунт. Также если после перезагрузки компьютера подмена снова возникает – проверьте комп на вирусы, однозначно существует вредоносный процесс, создающий подмену. И уже после удаления вируса исправляйте подмену.

Теперь про обещанную хитрую подмену. Недавно обнаружил такую вот проблемку со входом в соц. сети, причем все 3 пункта были в порядке, но IP Вконтакте, Одноклассников и Твиттера был одинаковым – 46.251.228.211. Позже, загрузившись с LiveCD обнаружил хитрую подмену.

В папке C:\WINDOWS\system32\drivers\etc было 2 файла hosts. В Винде по сути не может быть двух одинаковых файлов в одной папке – они бы перезаписали друг друга. Но оба файла сосуществовали потому, что один из них был фэйковым – буква О в слове hosts была написана кириллицей, таким образом имена файлов получались разными, но внешне идентичными.

Оба файла были созданы в одно время. Работающий файл hosts был скрыт и имел гораздо больший размер. При открытии, особо не отличался содержимым, но его пакостные намерения выдали полосы прокрутки в блокноте. Записи о перенаправлении были сдвинуты далеко вниз и вправо, поэтому даже при прокрутке всего документы не были видны. Помог обнаружить записи поиск по файлу слова «vkontakte». Вот уж, голь на выдумку хитра!))

Сисадминский анекдот:

Вот я проснулся и сказал тебе, что жопа болит. А у других для этого ТВИТТЕР есть, млять!

Буквально сегодня попался как ребенок)) На почту пришло письмо о том, что Вконтакте для меня оставили личное сообщение и добавили в друзья (ну, как обычно). Захожу Вконтакт посмотреть – передо мной открывается главная страница с интерфейсом Контакта, на которой красуется сообщение «Ваш аккаунт недоcтупен по причине распpостранения cпама или нарушения условий пользования сайтом. Для разблокиpoвки анкеты вам необходимо отправить cмс сообщение с текcтoм ######## на номеp 1350. Далее вам поступит кoд активации, котоpый необходимо ввести в нижнее поле».

Признаюсь, малость спамил, но только на благо народа и для раскрутки своей группы. Ну и, продолжая тупить, отправил СМС куда надо (или не надо). Код действительно пришел, но толку никакого, ибо аккаунт как был заблокирован, так и остался. Поняв, что я лох, отправился на сайт smswm.ru, узнать стоимость СМС – не сильно обрадовался, узнав, что СМС стоит 300 рэ. Но так как на счету у меня и до этого был «-», то снять с меня не смогли (у меня кредит от МТС, поэтому до -150 рэ все прекрасно работает).

А устроено все довольно просто: гуляя по сети, вы подцепляете скрипт (шелл), который прописывает в файле hosts перенаправление с основной страницы Вконтакте на фэйковую (это я уже потом понял, когда мозг почесал).

Ну и, собственно, если с вами случилось то же самое – делаем следующим образом. Открываем «Блокнот», нажимаем «Файл» – «Открыть» и чешем по следующему адресу:

C:\WINDOWS\system32\drivers\etc

И, добравшись до папки etc, открываем файл hosts. В этом файле удаляем абсолютно все, что находится после строчки:

127.0.0.1 localhost

Обратите внимание, что в этих строчках находится сайт Контакта, значит идем по верному пути. Теперь закрываем блокнот, не забыв сохранить изменения, и закрываем браузер (если открыт). Вот и все. Не будет лишним после всего проверить компьютер на вирусы.

Сисадминский анекдот:

Адвокат говорит на суде речь:
- Прошу принять во внимание, ваша честь, что у моего подзащитного было тяжелое детство – родители не купили ему персональный компьютер.

Недавно попался как мальчишка – скачал русификатор на какую-то игру и без задней мысли установил его. DrWeb ругнулся, но я проигнорировал – уж очень хотелось русифицировать. В итоге я сам себе установил вирус, после которого посреди рабочего стола появился неубираемый рекламный баннер, размещающийся поверх всех окон. Правда, спустя несколько минут он убирался сам, но все же доставлял определенный дискомфорт. Чтобы его убрать, естественно нужно было отправить смс – в моем случае это был номер 4125 (также известен под номером 7132). В заголовке окна баннера была надпись «Появились новые товары (для постоянных клиентов магазина» и в самом окне описание и стоимость товаров сексуально-извращенческого характера. Такой вот вирусный маркетинг.

Подобные вирусы также помещаются в электронные книги, работающие через запускаемый .exe файл. Производителей подобного чуда известно пока 4 – Adrive, AdSubscribe, Cmedia и FieryAds. Лечится это дело следующим способом – открываем папку C:\Documents and Settings\Имя пользователя\Application Data. Вместо имени ползователя, естественно должно быть имя вашей учетной записи Windows, ну и диск может быть не обязательно С, а тот, на котором у вас установлена операционная система. Стоит также учесть, что папка Application Data имеет атрибуты скрытый и системный, поэтому для ее отображение необходимо включить показ системных и скрытых файлов во вкладке «Сервис» – «Свойства папки» – «Вид». Или же открыть эту папку через Total Commander.

Попав наконец-таки в папку Application Data, находим и удаляем папки Adrive, AdSubscribe, Cmedia или FieryAds. Все, на этом процесс удаления вируса завершен.

З.Ы. В ОС Vista папки Adrive, AdSubscribe, Cmedia и FieryAds стоит искать по следующему пути – C:\Users\Имя пользователя\AppData\Roaming. Если папки не хотят удаляться – пользуемся утилитой Unlocker.

Сисадминский анекдот:

Насильник – программист на Си.
Подмышка – коврик для мыши.

Этот способ хранения данных чем-то схож с архивами rar, zip, но в какой-то степени превосходит их, потому что пользователь не только не сможет получить доступ к хранимым файлам, но и даже не сможет увидеть имена и тип хранимых файлов. Может кому-то это и покажется идиотизмом, но метод довольно интересный.

Суть состоит в том, чтобы хранить абсолютно любые файлы в вордовском документе. Кроме того, что файлы с расширением .doc и названием «Макроэкономические показатели ЮАР» абсолютно никого не заинтересуют и не вызовут подозрения – они еще и защищены паролем, дабы ограничить содержимое от чересчур любознательных экземпляров.

Думаю, суть метода понятна. Ну а реализовывается все это довольно просто – открываем Microsoft Word и перетягиваем в него все, что нужно скрыть. В дальнейшем, открыв документ, вы сможете запустить любой хранящийся в нем файл, просто дважды щелкнув на его изображении в документе. Чтобы извлечь файл из документа, достаточно щелкнуть на нем правой кнопкой мыши, выбрать «Копировать» и затем вставить его в нужный каталог на сменном носителе или жестком диске. Правда, некоторые затруднения возникают с файлами изображений – Word их сразу конвертирует в нужный ему формат и извлечь их обратно в прежнем виде невозможно. Но, если вам настолько важно затем вернуть изображения на место – перед тем, как отправить их в документ, заархивируйте файлы и вставляйте уже в виде архива.

О том, как поставить пароль на документы, я уже писал ранее – можете почитать об этом в статье «Как защитить документы»

Сисадминский анекдот:

Девушка из группы обслуживания компьютеров помогает новому сотруднику:
- Какой вы хотите ввести пароль?
Он, желая ее смутить, говорит:
- Пенис.
Она невозмутимо набирает слово и закатывается в хохоте.
Компьютер написал:
«Пароль не принят – слишком короткий».

Изложенный ниже способ позволяет заблокировать доступ на определенные сайты. Необходимость для этого может быть совершенно различная – от блокировки Одноклассников в офисе до защиты ребенка от сайтов неблаговидного содержания (так называемый, «родительский контроль»).

Для начала, необходимо обзавестись списком сайтов, доступ к которым необходимо заблокировать. После этого приступить к редактированию файла hosts, к которому Windows обращается каждый раз при отправке запроса на серверы, проверяя, не находится ли данный сайт в фильтре заблокированных.

Итак, щелкаем на кнопке «Пуск», затем выбираем пункт «Выполнить…». В строке «Открыть» вводим «notepad %systemdrive%\WINDOWS\system32\drivers\etc\hosts» без кавчек, после чего щелкаем ОК. Откроется файл hosts в Блокноте, в самом конце которого необходимо ввести список сайтов, доступ к которым необходимо ограничить. Причем перед каждым сайтом нужно ставить IP (по умолчанию, 127.0.0.1). К примеру, если необходимо заблокировать сайты www.vkontakte.ru и www.odnoklassniki.ru – в конец файла добавляем две строки:

127.0.0.1 www.vkontakte.ru
127.0.0.1 www.odnoklassniki.ru

После того, как все адреса «нехороших» сайтов записаны, сохраняем файл («Файл» -> «Сохранить») и закрываем Блокнот. В принципе, на это и все, доступ к введенным сайтам заблокирован. Чтобы изменения вступили в силу, необходимо закрыть открытые окна браузера (если таковые имеются) и перезапустить соединение с Интернетом или же просто перезагрузить компьютер. Для возобновления доступа необходимо просто удалить записи о соответствующих сайтах в файле hosts.