Роутер сам меняет dns

Подмена DNS сервера. Будьте осторожны

Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.

Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.

Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.

Всему виной безответственность

Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:

Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).

Читайте также:  Скорость мобильного роутера мегафон

Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.

Вот это поворот

2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.

Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?

Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.

В тылу врага

image

(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))

Неплохие результаты (не считая btc), да?

Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.

В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.

Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.

Читайте также:  Роутер к ноутбуку напрямую

Результаты

Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.

Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.

Быть осторожен, хаброжитель, зло не дремлет!

P.S.: Видимо, мне теперь придется отказаться от вечерних прогулок 😀

Источник

Предпочитаемый DNS меняются автоматически при перезагрузке

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Здравствуйте, при включении компьютера DNS автоматически устанавливается на 172.16.0.1
После того как я меняю его вручную, на протяжении дня он 2-3 раза снова меняется на этот же адрес в случайные моменты
Cure IT проблему не выявил, лог прикрепляю
FRST логи так же прикрепляю ниже
Hijack лог тоже прикрепил, в нем
O17 — HKLM\System\CCS\Services\Tcpip\..\: NameServer = 172.16.0.1
Это именно этот днс, пробовал фиксить, после перезагрузки снова появилась строчка при повторном скане
cureit.rar FRST + Addition.rar hijackthis.log

Добрый день!
На виртуальной машине стали самопроизвольно меняться адреса DNS, большая нагрузка на процессор.
Kaspersky Security 11 для Windows Server находит вредоносные объекты, которые после удаления появляются опять. (во вложении)
Kaspersky Removal Tool ничего не нашёл.
Файл протоколов во вложении.
AK1205.txt CollectionLog-2021.05.12-09.59.zip

Очень часто при запуске диспетчера задач я вижу такую картину:

Служба узла DNS-клиент ест 29% CPU
Помогите исправить данную проблему
Заранее благодарен.

Приветствую форумчан. Народ подскажите кто знает, как в роутере Ростелеком изменить ДНС. Я пришел из темы :
Специалист, который мне помогает с решением вопроса по удалению трояна, говорит что этот самый троян изменил мне ДНС. В техподдержке Ростелекома, говорят что у них ДНС не прописывается, а присваивается автоматически и является динамическим. Может кто знает как все-таки прописать другой ДНС? Выручайте.

Здравствуйте!
Сам по себе меняется ДНС. Галочка переставляется с выбранного мной «автоматически» тоже сама по себе.
Недавно обнаружил скрытый майнер ‘WMWare’, который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.
Логи приложил.
Спасибо.
CollectionLog-2020.10.16-01.45.zip

Источник

[РЕШЕНО] DNS сервера выставляются сами, 127.0.2.2, из за этого, как я подозреваю, не работают некоторые игры, и плохо работают некоторые сайты.

pulivilizator

Приветствую, у меня возникла проблема. Играл в валорант на сервере Стокгольм с пингом 60-70, после пошел играть в апекс. После апекса захожу в валорант, а там пинг на сервере Стокгольм вырос до 120-140, но появился Франкфурт с пингом в 90-100. Возможно ли то, что апекс поменял мне ДНС сервер? Если да, то как вернуть?
Я пробовал менять ДНС сервер на другой, ничего не изменилось. В настройках сети у меня стоит автоматически (DHCP).
ОС: Windows 10.

Читайте также:  Удлинить вай фай от роутера

Антон6666

Добрый день.
Я разработчик и владелец сайта.
при заходе на страницу товара, антивирус касперского ругается на вредоносный скрипт.

ошибка такая — not-a-virus:HEUR:AdWare.Script.Pusher.gen

как понять какая часть моего скрипта вызывает такую ошибку?

Спустя долгое время я начал замечать что мой компьютер стал шуметь, заходя в игры он шумит невыносимо хотя у него не слабое железо. Мне посоветовали avz, скачал. Шуметь стало меньше, но всё же шумит. Вот вам логи проверьте на наличие угрозы. Заранее спасибо
avz_log.rar
CollectionLog-2023.01.31-17.28.zip

Источник

Сам по себе меняется DNS

Max1214

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

СергейТ

Картина следующая.
В случайное время пользования происходит залипание клавиш клавиатуры (ставил 3 разные клавиатуры) залипает даже с экранной клавиатуры при отключенных всех клавиатурах. Так же и с мышкой. При этом на зараженных компьютерах все клавиатуры и мышки ведут себя одинаково. Эти же клавиатуры и мыши на других ПК ведут себя нормально. Снос системы помогает на очень короткий период. Встречаю на системах под 7, 10, 11. Из того что заметил. Появляются дубли в диспетчере устройств клавиатур. По мышам сложнее. Пока дублей не нашел. С клавиатурой помогает сделать «обновить драйвер» и выбрать универсальный HID. C мышкой сложнее. Ничего не нашел. При этом мышка так себя ведет только под win 7. На других системах не встречал. Пока прослеживаю закономерность что встречается только на платформах АМД. FX8320, r5 3600, r9 7950x. И производители материнок gigabyte. Версии биосов от очень древних до совсем свежих. Не понятно что происходит но за 2 недели 4 компа с такими симптомами.

Подозреваю, что подхватил как-то вирус. Несколько дней назад начались краши виндовса и небольшие зависания. Можно ли это как-то исправить?

Источник

Оцените статью
Adblock
detector