Вирус или не вирус?

Question

[Frelsie]

Всем привет. Надеюсь вы поможете мне прояснить ситуацию, хотя это происходило полгода назад, до сих пор не дает покоя...

Скажу сразу, что я параноик в плане посещения подозрительных сайтов, скачивания файлов и так далее. Только торренты или проверенные вирустоталом файлы.

Началось всё с того, что в браузере появилась невидимая "плёнка" на всю страницу, благодаря которой, куда на странице не кликни, шел редирект на подозрительные сайты. Поначалу я этого не особо замечала, потому что заботливая Огненная Лисичка сразу всплывающие новые окна закрывала, да так быстро, что я вообще не могла это заметить. Но стоило мне однажды накликать колесиком несколько вкладок, с ужасом обнаружила, что это отнюдь не заинтересовавшие меня посты, а какая-то неведомая хренотень, я в ужасе всё позакрывала. Поглядела в журнале, так сказать, с безопасного расстояния на все эти ссылки - ну точно, всякий сайтосброд.
Долго я думала, как от этой хрени избавиться. Прогнала различными программами, CureIt!, Касперычем, AVG, AVZ, еще там какие-то, короче всеми, что я нашла погуглив эту тему. Ничего не находилось. Всем знакомым эникейщикам написала - никто не мог помочь. Зараза была на всех браузерах, даже непопулярных. Вы, наверно, уже догадались, в чем было дело. Каково же моё счастье было догадаться, что проблема идет из настроек роутера :) Пошла я туда, и увидела картину маслом: левые DNS. Несколько раз я их меняла на гугловские в качестве эксперимента - проблема на сутки исчезала, затем всё по новой. Пасс/логин в интерфейс роутера, естественно, были дефолтные (admin/admin). Я изменила пароль на сложный и всё это прекратилось. Однако, меня мучает это до сих пор: как менялось DNS? Кто или что это делал? Я до сих пор прогоняю компьютер, на всякий случай. Но ничего не находится.

Answer 1

[Saboteur]

Прогонять нужно не компьютер, а ваш роутер.

При покупке/настройке нового роутера, нужно первым делом зайти в его настройки и сменить админский пароль. Затем можно посмотреть на сайте производителя свежие прошивки.
В идеале еще перед покупкой роутера поискать отзывы о нем на независимых сайтах, да хотя бы том же тостере и stackoverflow насчет статей с инженерными паролями.

Comments

[Frelsie]

Ваш бы комментарий да год назад мне в уши... уже поздно :(

[Saboteur]

Frelsie: ваш бы вопрос да год назад на тостер :)

[Frelsie]

Сергей: :) знать бы о существовании тостера год назад...

[Saboteur]

> Если человека, то как кто-либо мог проникнуть в мой WiFi (во-первых, ведь без этого в интерфейс роутера не зайти) и заниматься такой хренью (во-вторых), ведь редирект шел на всякие рекламные сайты с предложением "скачать то-то бесплатно".

Почему нужно проникать в WiFi?
Во многих роутерах в админку можно зайти прямо через инет, снаружи. Можно проверить, доступна ли у вас админка с аплинка, или только из интранета

И могут быть опять таки уязвимости роутера, что несмотря на отключенную опцию, можно в него проникнуть - это решается поиском по инету с вопросом выпущена ли обновленная прошивка роутера, где эта проблема исправлена и перепрошивкой.

[Frelsie]

Сергей: вот теперь уже понемногу становится понятно.
Теперь осталось разобраться с тем, что такое аплинк и интранет :)

[Saboteur]

Frelsie:
Аплинк - внешнее подключение, по которому к вам пришел интернет, то есть грубо говоря провод к провайдеру.

Интранет - внутренняя сеть. То есть ваш wifi или компьютер подключенный кабелем к роутеру, и получающие доступ к интернет через него - все они обычно имеют внутренний IP адрес типа 10.x.x.x или 192.168.x.x

[Frelsie]

Сергей: так, поняла, а как теперь определить, откуда можно получить доступ к админке?

[Saboteur]

Frelsie:
Зайдите в панель управления роутером и поищите в настройках, есть ли там remote access enabled/disabled.

Попробуйте просто зайти в панель управления роутером с интернета (из кафе, с работы, попросите друга), для этого только нужно знать ваш внешний IP адрес (можно проверить через http://myip.ru)

В принципе если есть знакомые эникейщики с физическим доступом, проще позвать их - ведь теперь вы уже знаете что ковырять надо роутер, а не комп. Выберите самого симпатичного, но чтобы шарил.

[Frelsie]

Сергей: спасибо большое за советы!
Покопалась, не нашла. Всё облазила :(
Нашла зато кое-что, но поскольку не разбираюсь и гугл не дал особо ничего понять. В routing table list в первой строчке ip 212.57.162.85, принадлежащий какой-то Светлане Гриценко, даже дом с улицей указан. И на этот ip идет gateway (Status > WAN). Что это значит?

Если у меня динамический адрес, то что тогда? Юзать тот, который сейчас выдали?

Эникейщики, увы, не ИРЛ :) Поэтому это отпадает.

[Saboteur]

Frelsie:
WAN это и есть настройки для внешнего подключения (wide area network), локальная сеть это LAN (local area network).

По поводу адресов и что юзать - В принципе дефолтный пароль вы сменили, и раз проблема больше не возникает - наверное тогда забейте и не мучайтесь. И да, адрес менять не стоит.

А по поводу Гриценко и где именно вы взяли улицу - если роутер покупали не вы лично, а его устанавливал ваш провайдер, может стоит обратиться в его техподдержку? Пусть посмотрят, уточнят что это за Светлана и почему у вас ее роутер и нужно ли что-то поменять.