Порнобаннеры или Как убедиться в отсутствии взлома на стороне провайдера?

на прошлой неделе ru-center DDOS'или. Может заодно уязвимость нашли и попользовались. Или домашние провайдеры в спешке переключились на кого попало.

1, 2, 3, 4, 5

Вопрос: можно ли с некоторой долей вероятности определить наличие взлома инет-соединения?

Однозначного универсального ответа, сам понимаешь, нет, иначе безопасники остались бы без работы.

Для обнаружения вторжений используются IDS ( устанавливаемые на все компы + пассивный сканер вроде snort )

Для защиты клиентов в DNS используется механизм dnssec, но его используют только крупные компании, т.к., защищая клиента, он резко повышает нагрузку на серверы.

Была такая же фигня — у меня роутер взломали. Сбросил настройки, поменял пароль и все прошло.

http://dns.yandex.ru/ - про вот это?

Мда, эдалт мертв, раз уже личные роутеры ломают чтобы порно-баннерок подсунуть.

По теме — надо сравнивать результаты при обычном подключении с необычными, например с ТОРом. Подменять может прозрачный проксик, или ДНС. Сравнить бы результаты резолвинга с подозреваемой страницы при другом НСе, гугловском, ТОРДНС опять же.

гугл-днс не помог, думаю что и яндекс днс тоже не решение

Сбросил настройки, поменял пароль и все прошло

я к тому ещё и пароль на впн поменял то же вроде бы прошло. Хотя хз, может просто лиса страницы закэшировала и из кэша потом прочла, кто его знает.

Однозначного универсального ответа, сам понимаешь, нет, иначе безопасники остались бы без работы.

Ну так эти товарищи, кто баннеры кидал, очевидно же, сильно не палятся. Поэтому мне хватило бы и какой-нибудь примитивной проверки. Но я - не админ, поэтому весьма смутные представления имею об инструментарии.

Для обнаружения вторжений используются IDS ( устанавливаемые на все компы + пассивный сканер вроде snort )

с этого момента поподробнее. есть ли что-нибудь попроще в использовании?

«я к тому ещё и пароль на впн поменял то же вроде бы прошло» забыл дописать, что прошло-то прошло, но не сразу

уже личные роутеры ломают чтобы порно-баннерок подсунуть.

Выключал в настройках роутера вайфай, баннеры сохранялись. Поэтому подозрение всё-таки на перехват траффика где-то ближе к провайдеру.

проверь dns

Мда, эдалт мертв, раз уже личные роутеры ломают чтобы порно-баннерок подсунуть.

адалт к локерам никакого отношения не имеет

Ты прав, титьки просто хорошая приманка.

В саппорт позвони

Скриншоты могу выложить.

Любопытно.

Под оффтопик есть сборки браузеров с ТОРом, поставь одну из них (так проще) и сравни страницы в ней и в браузере на стандартном подключении. С разницей на скриншотах обратись в поддержку ВПН-провайдера.

Под оффтопик есть сборки браузеров с ТОРом, поставь одну из них (так проще) и сравни страницы в ней и в браузере на стандартном подключении. С разницей на скриншотах обратись в поддержку ВПН-провайдера.

да можно было бы и попроще http://tau.rghost.ru/45707693/image.png - вот этот скриншот выложить. думаю никто спорить бы не стал.

Проблема в том, что сейчас баннеров не наблюдается, а есть несколько фактов 1)инет-соединение было взломано 2)90% вероятности что не на стороне роутера 3)с большой долью вероятности что баннеры пропали Не в результате моих непосредственных действий, а значит инет-соединение может в настоящий момент использоваться не только мною и с хз какими темными целями. 4)взломщики не палятся вообще 5)на страницах одного не шибко известного поисковика периодчески вижу сообщение об атаках, происходящих из моей подсети.

Но, думаю, с простыми опасениями к провайдеру не придёшь.

поставь гугловые днс 8.8.8.8 в качестве ns и проверь, останется ли проблема

не помогло

а покажи выхлоп nslookup bash.im

да можно было бы и попроще http://tau.rghost.ru/45707693/image.png - вот этот скриншот выложить. думаю никто спорить бы не стал.

ох, а в других браузерах та же проблема?
похоже на малвару в плагинах фф

порнобаннеры на однозначно доверенных сайтах

Баннер везде одинаковый? Как много сайтов о которых речь? Самые доверенные из них? Спрашиваю потому, что развлекательный bash.im доверенным не считаю, вполне по-моему могли кратковременно побаловаться штучкой с высоким CTR.

инет-соединение было взломано

Пока не факт.

90% вероятности что не на стороне роутера

Проверить ДНС на роутере. Сменить WEP на WPA, отключить WPS.

а значит инет-соединение может в настоящий момент использоваться не только мною

Сделай всё возможное на своей стороне, потом таки к провайдеру.

с простыми опасениями к провайдеру не придёшь

Идти незачем, позвони для начала, может не единичный случай и уже были обращения.

Как много сайтов о которых речь?

доверенных на которых проявлялось было не так много. этом и проблема. но на баше - не могли

ох, а в других браузерах та же проблема?

opera лиса konquerror

Проверить ДНС на роутере. Сменить WEP на WPA, отключить WPS.

Wpa стояло, смена днс на гугло не помогла

Сделай всё возможное на своей стороне, потом таки к провайдеру.

вот я и хочу

А ВПН чей, провайдерский или сторонний? Может ВПНщики таким образом окупаются...

провайдерский

На этом всё. Если инжект/подмена повторится её причина будет где-то за пределом твоего влияния.

nslookup bash.im

Server: 127.0.0.1 Address: 127.0.0.1#53

Non-authoritative answer: Name: bash.im Address: 95.211.181.153

хотя, сейчас уже бесполезно было смотреть

Плюсую за Tor.

Еще 8.8.8.8 или openDNS попробовать стоит.

Ах да, для оффтопика есть чудесный AdvOr.

Ах да, для оффтопика есть чудесный AdvOr.

а чем оно лучше банального плагина TOR к лисе?

Тем, что подходит сразу ко всем браузерам (создает локальный прокси сервер). Есть возможность выбора сервера по странам, подробный лог в реальном времени.

Не больно широкий функционал, ради которого ставить стороннюю утилиту... но всё-таки, под дебиан-базед такое есть?

В любом случае, спасибо.

Но мне также интересно: разве тор в данном случае панацея? Тор, насколько мне известно годится для защиты траффика от прослушки и соответственно внедрения ненужной инфы. От внедрения и адблокс спасет, который всё равно нужно ставить, от прослушки защищаться не вижу цели. Ну прочитает кто-то мой траффик, ну и что? Мне не жалко. Мне больше интересно убедиться в том, что мой айпишник не используется кем-то в левых целях.

Речь шла об оффтопике :(

А утилита opensource, вообще-то...

Панацея - ибо до ноды тора трафик идет шифрованный, перехват и модификация возможна на стороне ноды.

Server: 127.0.0.1 Address: 127.0.0.1#53

у тебя днс сервер на локалхосте?

у тебя днс сервер на локалхосте? на роутере

«перехват и модификация» - а речь о том чтобы «убедиться в том, что мой айпишник не используется кем-то в левых целях.» Впрочем, до меня уже дошло, что это в принципе не возможно.

1. Баннеры появляются только, если доступ к ресурсу по протоколу http? по протоколу https баннеры есть или нет?

2.

После ряда манипуляций: смена пароля vpn, смена пароля на вайфай, они пропали, но не сразу.

Чтобы убедиться, что пропали или нет сразу, надо сделать в браузере Ctrl+F5, т.к. могли остаться просто в кеше браузера, и надо было просто обновить страницу.

Баннеры появляются только, если доступ к ресурсу по протоколу http? по протоколу https баннеры есть или нет?

Среди доверенных сайтов я их не видел. Но и на недоверенных они появлялись постоянно. Поэтому на 100% вспомнить не смогу. Вроде, всё-таки, не появлялись.

Чтобы убедиться, что пропали или нет сразу, надо сделать в браузере Ctrl+F5, т.к. могли остаться просто в кеше браузера, и надо было просто обновить страницу.

честно говоря, не знал про Ctrl+F5 )

Ctrl+F5

а что оно делает?

обновляет страницу, ничего не загружая из кеша