Дело было 4 дня назад. Зайдя домой мельком глянул на компьютер жены, там красным по белому gmail предупреждал о смене пароля аккаунта. Я резко вмешался и поменял пасс обратно, включил двух факторную аутификацию и заодно глянул сессии ip, там красовался 189.33.44.246. Выяснять источник я не стал т.к. один хрен без анноимайзера или прокси в наше время никто никуда не полезет. Вместо этого, проверил почту на телефоне — тот предательски сообщил о неверном пароле уже на моем основном аккаунте, я напрягся и в темпе вальса к стационару. Пароль на своем аккаунте я восстановил через смс к нему подключались с 212.156.58.182. Рабочий gmail тоже ушел, его удалось вернуть только сегодня. Так же мне поменяли пароли и слили bitcoin с Mtgox, deepbit.net, slush pool.
На данный момент все 3 компа просканированы на малаварь 2-McAfee и 1- Nod32, Rootkit reliever, Sophos Anti-Rootkit, tdsskiller. Результат нулевой.
До атаки ни один компьютер не эксплуатировался без антивируса, все пароли на моих аккаунтах были не короче 10 символов с буквами и цифрами (брутафорс по словарю исключаю) и разные. За свой ноутбук и стационар могу сказать, что все скачанные файлы сканировались на вирусы перед открытием, сайты сомнительного содержания не посещались. Исключения в антивирусах проверил-нет.
Телефон исключаю т.к. на рабочий аккаунт и пулы я с него не заходил.
Из подозрений. На компьютере жены, в папке firefox была обнаружена папка dumbva0z на 500Мб с базой sql-я вроде. Но ни одного срабатывания антивируса или другого сканера.
Что посоветуете?
Заранее всем спасибо!
P.S.: Кто дочитал — молодец!
Никогда не разрешаю браузеру запоминать важные пароли, все пароли храню в голове.
P.P.S.: Включайте двух факторную аутификацию.
Жена, не причем — она не в теме (про биткоин)!
UPD: Всем огромное спасибо за помощь, ну и лучей! А я просто переставлю свои системы и впредь буду аккуратнее.
Как я понимаю, для подобной атаки надо находится в одной подсети, поправьте если я не прав. Топология домашнего подключения: ADSL модем к нему роутер на DD-WRT с WPA2 шифрованием, лишних маков в сети не обнаружено. Ну а на работе, компьютер моей жены никогда не был да и стационар тоже.
Скорее всего атака не сетевая. Аутентификация в gmail происходит по https протоколу, если бы было вмешательство в него, браузер бы об этом громко закричал. Судя по тому, что слиты и другие пароли, это что-то локальное, и может быть простое (например самодельный кейлогер, который шлет на емейл логи нажимаемых клавиш, или плагин для браузера), естественно, антивирусы это вам не найдут, если атака была конкретно на вас.
Неа. Я всего лишь хотел поинтересоваться у автора этого ответа чем был вызван вопрос с его стороны о наличии вроде бы вполне безобидной программки Punto Switcher.
раньше — пунто свитчер и был тем самым кей логгером, которого пропускали все антивирусы, и который не стесняясь писал все нажатия клавиатуры в обычый текстовый файл.
Средний
Простой
Средний
