LINUX.ORG.RU

Порнобаннеры или Как убедиться в отсутствии взлома на стороне провайдера?


1

3

Недавно была такая проблема. На всех домашних компах, в частности под Linux Mint и оффтопиком были замечены порнобаннеры на однозначно доверенных сайтах. Скриншоты могу выложить. Однако баннеры были «хитрыми» и на совсем доверенных типа гугла/яндекса сайтах не появлялись и кроме того, имели тенденцию исчезать/появляться надолго. Поскольку проявлялось на всех системах одновременно, в т.ч. из-под лайф-сд, заподозрил взлом сети на стороне провайдера или по пути к провайдеру. После ряда манипуляций: смена пароля vpn, смена пароля на вайфай, они пропали, но не сразу. На текущий момент появилось подозрение, что сеть всё ещё скомпроментирована. Вопрос: можно ли с некоторой долей вероятности определить наличие взлома инет-соединения?

★★★★★

на прошлой неделе ru-center DDOS'или. Может заодно уязвимость нашли и попользовались. Или домашние провайдеры в спешке переключились на кого попало.

1, 2, 3, 4, 5

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)

Вопрос: можно ли с некоторой долей вероятности определить наличие взлома инет-соединения?

Однозначного универсального ответа, сам понимаешь, нет, иначе безопасники остались бы без работы.

Для обнаружения вторжений используются IDS ( устанавливаемые на все компы + пассивный сканер вроде snort )

Для защиты клиентов в DNS используется механизм dnssec, но его используют только крупные компании, т.к., защищая клиента, он резко повышает нагрузку на серверы.

router ★★★★★
()
Ответ на: комментарий от mephistopheles

Мда, эдалт мертв, раз уже личные роутеры ломают чтобы порно-баннерок подсунуть.

По теме — надо сравнивать результаты при обычном подключении с необычными, например с ТОРом. Подменять может прозрачный проксик, или ДНС. Сравнить бы результаты резолвинга с подозреваемой страницы при другом НСе, гугловском, ТОРДНС опять же.

varchar
()
Ответ на: комментарий от anonymous

гугл-днс не помог, думаю что и яндекс днс тоже не решение

Сбросил настройки, поменял пароль и все прошло

я к тому ещё и пароль на впн поменял то же вроде бы прошло. Хотя хз, может просто лиса страницы закэшировала и из кэша потом прочла, кто его знает.

Однозначного универсального ответа, сам понимаешь, нет, иначе безопасники остались бы без работы.

Ну так эти товарищи, кто баннеры кидал, очевидно же, сильно не палятся. Поэтому мне хватило бы и какой-нибудь примитивной проверки. Но я - не админ, поэтому весьма смутные представления имею об инструментарии.

Для обнаружения вторжений используются IDS ( устанавливаемые на все компы + пассивный сканер вроде snort )

с этого момента поподробнее. есть ли что-нибудь попроще в использовании?

next_time ★★★★★
() автор топика
Ответ на: комментарий от next_time

«я к тому ещё и пароль на впн поменял то же вроде бы прошло» забыл дописать, что прошло-то прошло, но не сразу

next_time ★★★★★
() автор топика
Ответ на: комментарий от varchar

уже личные роутеры ломают чтобы порно-баннерок подсунуть.

Выключал в настройках роутера вайфай, баннеры сохранялись. Поэтому подозрение всё-таки на перехват траффика где-то ближе к провайдеру.

next_time ★★★★★
() автор топика
Ответ на: комментарий от varchar

Мда, эдалт мертв, раз уже личные роутеры ломают чтобы порно-баннерок подсунуть.

адалт к локерам никакого отношения не имеет

xtraeft ★★☆☆
()

Скриншоты могу выложить.

Любопытно.

Под оффтопик есть сборки браузеров с ТОРом, поставь одну из них (так проще) и сравни страницы в ней и в браузере на стандартном подключении. С разницей на скриншотах обратись в поддержку ВПН-провайдера.

varchar
()
Ответ на: комментарий от varchar

Под оффтопик есть сборки браузеров с ТОРом, поставь одну из них (так проще) и сравни страницы в ней и в браузере на стандартном подключении. С разницей на скриншотах обратись в поддержку ВПН-провайдера.

да можно было бы и попроще http://tau.rghost.ru/45707693/image.png - вот этот скриншот выложить. думаю никто спорить бы не стал.

Проблема в том, что сейчас баннеров не наблюдается, а есть несколько фактов 1)инет-соединение было взломано 2)90% вероятности что не на стороне роутера 3)с большой долью вероятности что баннеры пропали Не в результате моих непосредственных действий, а значит инет-соединение может в настоящий момент использоваться не только мною и с хз какими темными целями. 4)взломщики не палятся вообще 5)на страницах одного не шибко известного поисковика периодчески вижу сообщение об атаках, происходящих из моей подсети.

Но, думаю, с простыми опасениями к провайдеру не придёшь.

next_time ★★★★★
() автор топика
Ответ на: комментарий от next_time

да можно было бы и попроще http://tau.rghost.ru/45707693/image.png - вот этот скриншот выложить. думаю никто спорить бы не стал.

ох, а в других браузерах та же проблема?
похоже на малвару в плагинах фф

xtraeft ★★☆☆
()
Ответ на: комментарий от next_time

порнобаннеры на однозначно доверенных сайтах

Баннер везде одинаковый? Как много сайтов о которых речь? Самые доверенные из них? Спрашиваю потому, что развлекательный bash.im доверенным не считаю, вполне по-моему могли кратковременно побаловаться штучкой с высоким CTR.

инет-соединение было взломано

Пока не факт.

90% вероятности что не на стороне роутера

Проверить ДНС на роутере. Сменить WEP на WPA, отключить WPS.

а значит инет-соединение может в настоящий момент использоваться не только мною

Сделай всё возможное на своей стороне, потом таки к провайдеру.

с простыми опасениями к провайдеру не придёшь

Идти незачем, позвони для начала, может не единичный случай и уже были обращения.

varchar
()
Ответ на: комментарий от varchar

Как много сайтов о которых речь?

доверенных на которых проявлялось было не так много. этом и проблема. но на баше - не могли

ох, а в других браузерах та же проблема?

opera лиса konquerror

Проверить ДНС на роутере. Сменить WEP на WPA, отключить WPS.

Wpa стояло, смена днс на гугло не помогла

Сделай всё возможное на своей стороне, потом таки к провайдеру.

вот я и хочу

next_time ★★★★★
() автор топика
Ответ на: комментарий от next_time

На этом всё. Если инжект/подмена повторится её причина будет где-то за пределом твоего влияния.

varchar
()
Ответ на: комментарий от xtraeft

nslookup bash.im

Server: 127.0.0.1 Address: 127.0.0.1#53

Non-authoritative answer: Name: bash.im Address: 95.211.181.153

хотя, сейчас уже бесполезно было смотреть

next_time ★★★★★
() автор топика
Ответ на: комментарий от varchar

Плюсую за Tor.

Еще 8.8.8.8 или openDNS попробовать стоит.

ololoid ★★★★
()
Ответ на: комментарий от next_time

Тем, что подходит сразу ко всем браузерам (создает локальный прокси сервер). Есть возможность выбора сервера по странам, подробный лог в реальном времени.

ololoid ★★★★
()
Ответ на: комментарий от ololoid

Не больно широкий функционал, ради которого ставить стороннюю утилиту... но всё-таки, под дебиан-базед такое есть?

next_time ★★★★★
() автор топика
Ответ на: комментарий от next_time

В любом случае, спасибо.

Но мне также интересно: разве тор в данном случае панацея? Тор, насколько мне известно годится для защиты траффика от прослушки и соответственно внедрения ненужной инфы. От внедрения и адблокс спасет, который всё равно нужно ставить, от прослушки защищаться не вижу цели. Ну прочитает кто-то мой траффик, ну и что? Мне не жалко. Мне больше интересно убедиться в том, что мой айпишник не используется кем-то в левых целях.

next_time ★★★★★
() автор топика
Ответ на: комментарий от next_time

Речь шла об оффтопике :(

А утилита opensource, вообще-то...

ololoid ★★★★
()
Ответ на: комментарий от next_time

Панацея - ибо до ноды тора трафик идет шифрованный, перехват и модификация возможна на стороне ноды.

ololoid ★★★★
()
Ответ на: комментарий от anonymous

у тебя днс сервер на локалхосте? на роутере

«перехват и модификация» - а речь о том чтобы «убедиться в том, что мой айпишник не используется кем-то в левых целях.» Впрочем, до меня уже дошло, что это в принципе не возможно.

next_time ★★★★★
() автор топика
17 июня 2013 г.

1. Баннеры появляются только, если доступ к ресурсу по протоколу http? по протоколу https баннеры есть или нет?

2.

После ряда манипуляций: смена пароля vpn, смена пароля на вайфай, они пропали, но не сразу.

Чтобы убедиться, что пропали или нет сразу, надо сделать в браузере Ctrl+F5, т.к. могли остаться просто в кеше браузера, и надо было просто обновить страницу.

Infra_HDC ★★★★★
()
Ответ на: комментарий от Infra_HDC

Баннеры появляются только, если доступ к ресурсу по протоколу http? по протоколу https баннеры есть или нет?

Среди доверенных сайтов я их не видел. Но и на недоверенных они появлялись постоянно. Поэтому на 100% вспомнить не смогу. Вроде, всё-таки, не появлялись.

Чтобы убедиться, что пропали или нет сразу, надо сделать в браузере Ctrl+F5, т.к. могли остаться просто в кеше браузера, и надо было просто обновить страницу.

честно говоря, не знал про Ctrl+F5 )

next_time ★★★★★
() автор топика
Ответ на: комментарий от teod0r

обновляет страницу, ничего не загружая из кеша

zikasak ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.