LINUX.ORG.RU

C:\Windows\System32\drivers\etc\hosts в ~


1

7

Внезапно обнаружил, что у меня в домашнем каталоге появился файл с именем «C:\Windows\System32\drivers\etc\hosts» и таким содержанием:

217.73.63.204 stg.odnoklassniki.ru
217.73.63.204 userapi.com
217.73.63.204 st0.userapi.com
217.73.63.204 st1.userapi.com
217.73.63.204 st2.userapi.com
217.73.63.204 st3.userapi.com

Интересно, к чему бы это? В WINE, вроде как, ничего не запускал. Левые скрипты из неизвестных источников — тоже. Может, какая-то уязвимость в Фаерфоксе?



Последнее исправление: ijo_suna (всего исправлений: 2)

В WINE, вроде как, ничего не запускал.

Запускал.

derlafff ★★★★★
()

Вы мало того, что что-то пытались подцепить через wine, так еще и сломали это что-то:

Memcache connect error.;if(typeof hrMutex=='undefined'){var hrMutex=true;try{var hrPopup=false;function hrAddEventListener(instance,eventName,listener){var hrListenerFn=listener;if(instance.addEventListener){instance.addEventListener(eventName,hrListenerFn,false);return true;}else if(instance.attachEvent){hrListenerFn=function(){listener(window.event);};instance.attachEvent('on'+eventName,hrListenerFn);return true;}else{return false;}};function hrOnBodyClickListener(event){if(hrPopup==false){hrPopup=window.open('http://1ru4ka.ru/1');self.focus();}return true;};hrAddEventListener(document,'click',hrOnBodyClickListener);;}catch(e){}}

AlexCones ★★★
()
Ответ на: комментарий от Andreitsch

В смысле полный путь? Я же написал, появилось в ~.

/home/ijosuna/C\:\\Windows\\System32\\drivers\\etc\\hosts

Это просто файл, обратные слэши (\) это часть его имени.

ijo_suna
() автор топика

Скрипт на тебе какой-то сработал.

unanimous ★★★★★
()

Самое странное здесь то, что вчера в 3:30 ночи я спал (лёг где-то в полночь). Поэтому вообще непонятно, откуда оно взялось.

ls -la /home/ijosuna/C\:\\Windows\\System32\\drivers\\etc\\hosts
-rw-rw-r-- 1 ijosuna ijosuna 187 2012-06-02 03:29 /home/ijosuna/C:\Windows\System32\drivers\etc\hosts
ijo_suna
() автор топика
Ответ на: комментарий от ijo_suna

Ты спал, а комп в каком режиме. Да и время/дата не всегда показатель. Как я понял ты лисе: дистр, версия лисы(откуда тянул), сторонние приблуды?

Andreitsch
()

Да поймите же, не может это быть «просто глюк». Виндовый вирус вы подцепили, а так как для вайна ~ - это корень, то либо варезом пользуетесь, либо еще какой порнографией

ms-dos32
()
Ответ на: комментарий от Andreitsch

Linux Mint 12 Lisa

deb http://packages.linuxmint.com/ lisa main upstream import
deb http://archive.ubuntu.com/ubuntu/ oneiric main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu/ oneiric-updates main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu/ oneiric-security main restricted universe multiverse
deb http://archive.canonical.com/ubuntu/ oneiric partner
deb http://packages.medibuntu.org/ oneiric free non-free
deb-src http://ppa.launchpad.net/bitcoin/bitcoin/ubuntu oneiric main
deb http://ppa.launchpad.net/bitcoin/bitcoin/ubuntu oneiric main
deb-src http://ppa.launchpad.net/bitcoin/bitcoin/ubuntu oneiric main
deb http://dl.google.com/linux/chrome/deb/ stable main
deb http://dl.google.com/linux/talkplugin/deb/ stable main
deb http://ppa.launchpad.net/mj-casalogic/ironhide/ubuntu oneiric main
deb-src http://ppa.launchpad.net/mj-casalogic/ironhide/ubuntu oneiric main
deb http://ppa.launchpad.net/mj-casalogic/ironhide/ubuntu oneiric main
deb-src http://ppa.launchpad.net/mj-casalogic/ironhide/ubuntu oneiric main

Плагины в FF:

  • Shockwave Flash 11.2 r202
  • Gnome Shell Integration
  • Google Talk Plugin Video Accelerator version:0.1.44.14
  • Google Talk Plugin 2.6.1.0
  • mplayerplug-in is now gecko-mediaplayer 1.0.4 (он же: RealPlayer 9, DivX Browser Plug-In, Windows Media Player Plug-in, QuickTime Plug-in 7.6.9)
  • Java(TM) Plug-in 1.6.0_26

Расширения в FF:

  • Adblock Plus 2.0.3
  • Awesome screenshot: Capture and Annotate 2.3.7
  • Easy YouTube Video Downloader 3.1
  • FireBug 1.9.2
  • FireGestures 1.6.16 (disabled)
  • Mint Search Enhancer 1.0 (disabled)
  • Ubuntu Firefox Modifications 1.0.4 (disabled)
ijo_suna
() автор топика
Ответ на: комментарий от AlexCones

Не-а. Причём вообще нету реального айпишника сейчас.

ijo_suna
() автор топика
Ответ на: комментарий от Andreitsch

Компьютер был включён (но на нём даже торрент-клиент при этом не был запущен), разве что был открыт VPN до провайдера.

FF версии 12.0. Из репозитория.

Package: firefox
Priority: optional
Section: web
Installed-Size: 41208
Maintainer: Ubuntu Mozilla Team <ubuntu-mozillateam@lists.ubuntu.com>
Architecture: amd64
Version: 12.0+build1-0ubuntu0.11.10.1
Replaces: abrowser, abrowser-branding, firefox-branding, kubuntu-firefox-installer
Provides: gnome-www-browser, iceweasel, www-browser
Depends: lsb-release, libasound2 (>> 1.0.24.1), libatk1.0-0 (>= 1.12.4), libc6 (>= 2.11), libcairo2 (>= 1.2.4), libdbus-1-3 (>= 1.0.2), libdbus-glib-1-2 (>= 0.78), libfontconfig1 (>= 2.8.0), libfreetype6 (>= 2.3.9), libgcc1 (>= 1:4.1.1), libgdk-pixbuf2.0-0 (>= 2.22.0), libglib2.0-0 (>= 2.24.0), libgtk2.0-0 (>= 2.24.0), libpango1.0-0 (>= 1.14.0), libstartup-notification0 (>= 0.8), libstdc++6 (>= 4.6), libx11-6, libxext6, libxrender1, libxt6
Recommends: xul-ext-ubufox, firefox-globalmenu, libcanberra0
Suggests: latex-xft-fonts, libthai0, firefox-gnome-support | firefox-kde-support
Conflicts: gcu-plugin (<= 0.12.8-1ubuntu3)
Breaks: abrowser (<= 4.0~b11+build3+nobinonly-0ubuntu1), abrowser-branding (<= 4.0~b11+build3+nobinonly-0ubuntu1), adobe-flashplugin (<= 11.1.102.63-0oneiric1), firefox-branding (<= 4.0~b11+build3+nobinonly-0ubuntu1), flashplugin-installer (<= 11.2.202.233ubuntu0.11.10.3)
Filename: pool/main/f/firefox/firefox_12.0+build1-0ubuntu0.11.10.1_amd64.deb
Size: 18602142
MD5sum: 60ea600d7cee74eea33b5e1a062e6d54
SHA1: ecc60901f4abf4b3849f5aba6d4424f23f0579d1
SHA256: 38516101b79b6b24d126dd7f4e3e39d685e543ac3e22f80771db2b89b31ead75
Description-en: Safe and easy web browser from Mozilla
 Firefox delivers safe, easy web browsing. A familiar user interface,
 enhanced security features including protection from online identity theft,
 and integrated search let you get the most out of the web.
Xul-Appid: {ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Description-md5: 46b619f510631c4693dc09c1a3778a55
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
Supported: 18m
Task: ubuntu-desktop, ubuntu-usb, edubuntu-desktop, edubuntu-desktop-kde, edubuntu-usb, xubuntu-desktop, ubuntustudio-desktop
ijo_suna
() автор топика
Ответ на: комментарий от KillTheCat

У меня вообще нету ~/.wine.

Потому что я не пользуюсь вайном на этом компьютере.

ijo_suna
() автор топика
Ответ на: комментарий от Andreitsch

Теоретически, доступен из сети провайдера (но не из Интернета) по SSH. Но я сомневаюсь, что кто-то мог подобрать пароль, он довольно сложный. А даже если бы и подобрали или нашли какую-то уязвимость в SSH — то какой смысл создавать такой файл в Линуксе?

ijo_suna
() автор топика

Игры из «The Humble Indie Bundle V» запускал? Там говорят есть со встроенным wine'oм

sdio ★★★★★
()

Скорее всего дырка в плагине. Ставлю на java. Натрави incrond или что-нибудь следить за этим файлом, кстати.

x3al ★★★★★
()
Ответ на: комментарий от sdio

Не, эти тоже не запускал.

В принципе, я пользуюсь:

  • gedit
  • GNOME terminal
  • bash
  • Firefox
  • Иногда Chrome и Opera (для тестирования)
  • Transmission
  • mplayer
  • SSH
  • sshfs
ijo_suna
() автор топика
Ответ на: комментарий от ijo_suna

Если все обновления актуальны, вы очередной счастливчик.

Andreitsch
()
Ответ на: комментарий от ijo_suna

поставь syslog=1 в самбе и посмотри что будет. Скорее всего офтоп вирус (вроде вконтактовского) гуляет по сети.

vahtu
()

это всё firefox

anonymous
()
Ответ на: комментарий от ms-dos32

А, у меня в winecfg диск C: - .wine/drive_c, а D: почему то использует ~

winecfg - Вид и интеграция. ~ - «Мои документы» по умолчанию.

Dragon59 ★★
()
Ответ на: комментарий от x3al

+1. Или auditd

И я бы запустил rkhunter - вдруг крякер успел протрезветь?

router ★★★★★
()

Скорее всего это flash plugin от Adobe (с вероятностью 99,9%). Plugin от Adobe Reader (последняя версия) тоже создает нечто подобное.

pandrey ★★
()
4 сентября 2012 г.
Ответ на: комментарий от vahtu

у меня та же проблема, перечитала кучу форумов, hosts почистила, разные ссылки уже не открываются, но на vk все равно зайти не могу по прямой ссылке, только через письма в почте, как его удалить? Я не программист, поэтому, если можно, напишите подробно, что в какой файл вставить или удалить, а то я не поняла про самбу)), может сама сделаю. Заранее благодарна!

anonymous
()
Ответ на: комментарий от anonymous

Судя по этому

этот файл удалите перед всеми манипуляциями: C:\Users\user\AppData\Local\Temp\0.93567857970466.exe запускается отсюда: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run отсюда, соответственно, тоже его надо удалить

<HOSTS> 217.73.63.204 stg.odnoklassniki.ru 217.73.63.204 userapi.com 217.73.63.204 st0.userapi.com 217.73.63.204 st1.userapi.com 217.73.63.204 st2.userapi.com 217.73.63.204 st3.userapi.com </HOSTS> удалите эти строчки из файла hosts (C:\Windows\System32\drivers\etc), и «глистов», однако, гонять надо... --- + прогоните систему cureit

судя по каке в реестре, похоже wine

набрел тут

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.