Редирект на левые сайты, в частности казино. Как исправить?

Question

[Kurman_Dzhappuev]

Всем добрый вечер. Проблема: в корпоративной сетке уже недели 2 бушует то ли вирус, то ли еще что. При переходе по многим ссылкам автоматом переадресовывает на левые сайты, в частности казино. Проверял свой пк всеми антивирусами: Касперский, DrwebCureit, AntiMalware и тд. Проверял DNS-сервера, заметил, что на большей части устройств одни DNS-сервера, на некоторых другие. Скидывал роутер к заводским, менял значения DNS-сервера и в роутере, и в коммутаторе, и на компьютере - результата ноль. Это крик о помощи от безысходности

Comments

[Ivan Ustûžanin]

прокси?

[Kurman_Dzhappuev]

Ivan Ustûžanin, распишите пожалуйста подробнее, что вы имеете в виду. Просто я шарю в компах на уровне обывателя, может чуть повыше уровнем, но далеко не спец в администрировании, тем более сетки

[Ivan Ustûžanin]

Kurman_Dzhappuev, прокси серверы в настройках браузера(ов) и/или системы, когда-то давно видел подобное, если не используется какой-о корпоративный прокси, а в прокси таки что-то прописано, то это оно

[Kurman_Dzhappuev]

Ivan Ustûžanin, браузер не при делах, система чиста

[Refguser]

Это нормально когда сетью занимаются обыватели, а не системные администраторы.

[Ziptar]

Kurman_Dzhappuev, если в настройках браузеров или системы указан прокси - это не повод для антивирей бить тревогу. Даже если в браузерах есть вредоносные расширения - не факт, что антивири на них как-то прореагируют. Ручками, ручками такие вещи шерстить. Есть 1001 способ нагадить по мелочи и уйти незамеченным.

[Kurman_Dzhappuev]

Ziptar, я ручками прошерстил фулл настройки коммутатора, роутера, каждую из 4 точек доступа, отслеживал все процессы в диспетчере, менял dns всех компьютеров в сети, юзал все антивирусы - выхода не нашел

[Ziptar]

Kurman_Dzhappuev, значит не везде пошерудил) через autoruns посмотри, может какая дрянь в шедулере или автозагрузках

[Kurman_Dzhappuev]

Ziptar, Всё проверил, почистил, но не помогло

[Drno]

Kurman_Dzhappuev, скачайте портабл моззилу -
https://portableapps.com/apps/internet/firefox_portable

запустите на проблемном ПК, проверьте.

если будет редиректить - то вирусня где тото глубже в системе

если не будет - настройки браузера смотреть

Поспрашивайте по знакомым сисадмина адекватного, пригласите в гости...

[itshnick88]

Какие конкретно ссылки редиректит? Напишите хотя бы несколько примеров)
Проверяли ли файл hosts?

Например, если хотите зайти, условно говоря, на gosuslugi.ru, а вас редиректит на другой сайт... попробуйте зайти на gosuslugi.ru не по доменному имени, а по IP-адресу, если по IP-адресу не редиректит, то тогда копаем в сторону подмены DNS ответов. Если всё-равно редиректит, то DNS, скорее всего, не причём, нужно смотреть в другом направлении. Условно говоря, нужно понять, действительно ли вас именно редиректит, или просто подменяется А запись и отдаётся IP другого сайта

[Сергей]

На одном устройстве или на всех? Если подключить условный андроид (айфон) к сети, то будет тоже редирект?

[SunTechnik]

Kurman_Dzhappuev,
Если Вы утверждаете, что сделали все возможное, все сделали правильно, то никто Вам не в силах помочь. (ибо приходится убеждать, что есть ошибка и раз не работает, то где-то, что-то упустили).

Нельзя решить абстрактную проблему, нужна конкретика.
Берём сайт, с которого Вас редиректят.
- проверяем с телефона с отключенным fiwi, что на телефоне открывается нормально. (может сайт взломали).
Проверяем, проблема на одном компьютере с этим сайтом или на всех.
Смотрим в какой адрес ресолвится имя сайта у Вас на компьютере и любом online сайте проверки dns.

Так, по шагам, отметаете возможные причины.

Полезно проверить разные броузеры. Тот же firefox использует собственные настройки dns, а не системные.

[Kurman_Dzhappuev]

itshnick88, файл hosts смотрел до этого, вроде всё закомменчено. Я ошибки не увидел, но я не гуру, поэтому они могут быть
Как пример, перехожу на ИИ qwen(понравилась сильно) - иногда получается, иногда перекидывает. А перекидывает по вот этому айпи 89.208.107.49:8081 на сайт gettranslate.ir:18443/baner?sig=d9687c05df7a6bc162.... Попытался сейчас подключиться к этому же сайту по айпи (ping chat.qwen.ai вывод: 47.91.78.155) при переходе вижу это

[Kurman_Dzhappuev]

Сергей, на всех. При подключении по wifi в браузерах начинается та же проблема, будь то ноутбук или телефон

[Kurman_Dzhappuev]

Drno, ни в коем случае не утверждаю, что сделал всё возможное, только то, что знал сам/нашел в инете. Поэтому и задал вопрос здесь (это в принципе первый мой опыт форумов).

Если не подключаться к этой сети, то всё работает нормально; проблема на всех компьютерах и не на каком то одном сайте, к примеру, часто скидывает с сайта Росмолодёжи(https://fadm.gov.ru) и ему подобных

[SunTechnik]

Если подвести итог:
1. Проблема во всей сети, на устройствах с разной ОС.
2. Проблема на постоянная (может перекинуть, а может попадёшь на сайт.
3. При контрольном ping chat.qwen.ai, адрес отресолвился правильно. (интересно, в этот момент можно было попасть на сайт или срабатывал redirect).

Остались вопросы:
— используется ли в сети Proxy?
- Что используется в качестве router?
Проверить, если сработал redirect при обращении к chat.qwen.ai, что покажет ping на него?

[Kurman_Dzhappuev]

SunTechnik,

ПРИМЕР ТОГО, КУДА КИДАЕТ https://1wcjlr.com/casino/list/4?sub1=5083ef542d2d...

Роутер QTECH QFR-300, коммутатор MES2308(не знаю, имеет ли значение, но на всякий случай пусть будет)

Насчёт прокси не уверен
В ОС прокси нет
В веб интерфейсе роутера и коммутатора не нашел настроек прокси (мб там их и не должно быть), настройки браузера (Opera GX) вроде повторяют системные касательно прокси

[shurshur]

Kurman_Dzhappuev, посмотреть также список дополнений в браузере. Дополнения тоже могут управлять прокси, которых в настройках видно не будет.

Например, некоторые "бесплатные VPN" (браузер никак не может VPN, это всегда прокси) вставляют в страницы рекламу порой весьма сомнительного содержания. Ещё расширения могут быть угнаны и там может оказаться косая версия, или автор их может начать вести себя странно.

Рекомендую попробовать инкогнито-режим браузера. Дополнения по умолчанию не должны в нём использоваться (там в настройках можно разрешить, но это дополнительные усилия).

[SunTechnik]

shurshur,
Странно, что проблема на мобилках воспроизводится. Обычно, туда не ставят расширения..

[Kurman_Dzhappuev]

shurshur, Подскажите в таком случае, нужно проверять браузеры всех сотрудников? Просто лично у меня нет никаких дополнений

[shurshur]

SunTechnik, да, странно.

Может там всё же левый DNS или может кто-то скомпроментировал captive portal в этой сети?

[shurshur]

Kurman_Dzhappuev, я выдвинул замечание, если это у всех то вряд ли прям все поставили себе дополнение (разве что у вас домен и кто-то через GP разлил всем. Но если это и на мобилах - то вряд ли это направление мысли имеет смысл развивать.

[Kurman_Dzhappuev]

shurshur, вот я тоже больше в сторону dns думаю, насчёт captive portal - даже не слышал о таком

[Kurman_Dzhappuev]

Редирект на адрес 89.208.107.49:8081 что делать?
Проблема НУ ОЧЕНЬ похожа на эту, только вот замена ДНС не помогла. Может я не там поменял, кто то может подсказать?

[shurshur]

Kurman_Dzhappuev, если это и на мобилке, значит, условно, ваш местный Wi-Fi сообщает левый DNS. Либо вышестоящий провайдер подменяет вам ответы на DNS-запросы.

[BadCat]

Пароль на роутере при сбросе меняли ?

[Kurman_Dzhappuev]

BadCat, нет
Но сейчас вроде нет проблемы, понаблюдаю пару дней

[BadCat]

Kurman_Dzhappuev, пароль смените на всякий случай, если роутер был скомпрометирован, ваш сброс роутера без смены пароля не имеет смысла. можно подключится и прописать свои настройки в любое удобное для злоумышленников время )

Answer 1

[Михаил Лялин]

приглашайте специалиста по договору на обслуживание, если до сих пор у вас локальная сеть беспризорная
дальше - обчистят счёт в банке, т.д.

Comments

[BadCat]

классный ответ

Answer 2

[PjaniyAdmin]

Эм.. и откуда у вас берутся левые днс с dhcp? Или ктото руками назабивал?
Откуда берутся редиректы dns запись кривая? Или dns волбще не при делах?
Прокся есть?
Пока вводная звучит "машина не едет, я фары протер, колеса ногами потолкал".

Answer 3

[Elio Don]

Попробуй на пк adwcleaner.
Проверь автозапуски.
Антивирусы используй которые работают через свой загрузчик, не путай с теми которые устанавливаются на ос

Answer 4

[JahongirTashpulatov]

Ситуация с редиректами в корпоративной сети — это реальный трэш, который выносит мозг любому админу, особенно когда антивирусы молчат, а DNS-сервера живут своей жизнью. Если сброс роутера не помог, скорее всего, зараза сидит на уровне подмены шлюза или в кэше браузеров на всех тачках, так что копать надо в сторону прокси-настроек и чистки хостов. Но если честно, раз уж сама судьба так настойчиво подсовывает тебе азартную тематику, может, это знак, что пора отвлечься от системных логов и заценить реально качественный продукт типа pinco casino, где всё настроено по уму и без всяких вирусов. Я сам там периодически зависаю, когда хочется разгрузить голову после кодинга или настройки серваков, и могу сказать, что площадка — просто пушка для Узбекистана. Здесь тебе и лицензия, и софт топовый от мировых провайдеров, так что всё работает чётко, как часы. Особенно радует, что можно гонять сумы через Uzcard или Humo без лишних танцев с бубном, а кэшбек до десяти процентов каждую неделю реально греет душу, если вдруг фортуна решила взять выходной. На старте проект вообще не скупится, насыпая жирные бонусы до 120 процентов и пачку фриспинов, так что можно зайти красиво и с нормальным банкроллом. Интерфейс вылизан до блеска, приложение летает даже на старых ведрах, а выплаты прилетают на карту быстрее, чем ты успеешь обновить страницу. В общем, пока решаешь траблы с сетью, загляни на огонёк, чтобы почувствовать настоящий драйв и честный сервис, ведь этот обзор — мой личный рекомендасьон для тех, кто ценит качество, безопасность и быстрый вывод профита без лишнего головняка.