Рятуйте!!! Якийсь вірус або фіг його знає що...

[gruz]

У голові не вкладається.
OpenSuse 12.1

У всіх бравзерах при спробі відкрити легендарну УП pravda.com.ua бачу от таку фігню:



Код тої сторінки, звісно такий:

Код: [Вибрати]

<frameset rows="100%,*" frameborder="no" border="0" framespacing="0">
      <frame src="http://www.pravda.com.ua/?fp=jtkF%2B1mc76IGQ7NK5ZqBtwIT8MEIzaODgeaIrD5RFOu%2BJx6RgjOxT%2FxAGW5Ea9cB%2BPKuFvNuHeOcR%2B0ap%2FVD3g%3D%3D&prvtof=fiFDNUzkbi%2BzOQuDQA8MmNLHJD82S4MdAY%2FzIyzZRUQ%3D&poru=PHuFPeyrOO9Smv6uk7v5SS5Cg4u4Bx9sRhXjev6ydafXHClPVvTtq0MiqkfzHnee&">
</frameset>
<noframes>
      <body bgcolor="#ffffff" text="#000000">
      <a href="http://www.pravda.com.ua/?fp=jtkF%2B1mc76IGQ7NK5ZqBtwIT8MEIzaODgeaIrD5RFOu%2BJx6RgjOxT%2FxAGW5Ea9cB%2BPKuFvNuHeOcR%2B0ap%2FVD3g%3D%3D&prvtof=1nrUlG5zXftPohBp1dC698racgtLfxQNsPbsiKN9GyY%3D&poru=4qcaoyn4X%2FOreoV7xUtwQnI8qDd3a8XMTHea9yrqtZkxkVoLlT0qvlI75OeiPUhd&">Click here to proceed</a>.
      </body>
</noframes>
При чому часом кілька хвилин нормально, відкриваю декілька новин, а потім от таке.
Заглянув через lynx і бачу редірект:

Код: [Вибрати]

                                                                                                                     
   FRAME:                                                                                                              
   http://www.pravda.com.ua/?fp=T9QKBDETz7Q6Rbg55kYk1Aj                                                                
   hS5ZyhA0gnmYEYf55FMSAvvrhp8ReWT92eG%2F5JDXPeq3NQ1HxY                                                                
   pkEhgWMu1HEhg%3D%3D&prvtof=xNVtsw7Gxhxp2mfwakh2%2BV2                                                                
   aP1gEYt1fCxDO9Nwx8Yg%3D&poru=fRlio8iNmcRbhfSmSq7sEFI                                                                
   kqCrv3Lay2qqKwxMAMFo9hTfh5b%2FOGtZEdBYpZNTy&                                                                        
                                                                                                                      
   Click here to proceed.                                                                                              
                                                                                                                      
                                        


При чому через Опера Турбо чи через ТОР все гаразд.

Ладно, списав це на проіскі регіоналів. Правду повідомив, що є така проблема.


Але вчора на іншому сайті те саме. Бачу через ТОР не бачу або бачу калічно у інших бравзерах.

http://www.radion.com.ua/

Так він мусить виглядати і виглядає через ТОР


У Лисиці напряму пуста сторінка. У Konqueror сторінка покоцана:



Відкрив код сторінки, знайшов зображення, на яке посилається і не відображається.
http://www.radion.com.ua/components/com_virtuemart/shop_image/category/resized/_________________4fc1f1769d9cf_124x124.png

Забиваю в тому ж Konqueror  - бачу редірект на пусту сторінку http://www.radion.com.ua/?f




Там джумла. При спробі логіна редиректить на пусту сторінку.


Підкреслюю, через ТОР все працює добре.

Що думати - не знаю.
Варіанти в голову приходять:
- Вірус (clamavом перевірив, але, як водиться, поставив його вже після виникнення проблеми)
- Я на УкрТелеком ОГО. Може мій роутер зламали та завірусували?
- Можна в УкрТелекомі щось не так?

Куди бігти? Куди копати? На сусідній машині в цій же локалці проблеми нема ніби... Але ж через ТОР і в мене нема! ААА!!! Рятуйте!!!! Готовий надати доступи, якщо хтось згоден подивитись сам.

[idontremember]

Ви працюєте в махазіні "радіон"? Тему в балачки!

І не будьте такими наівними - Правди неіснує!

---
Так ви праві - то "якась фігня".

[gruz]

Дякую за звинувачення.
Ні, я не працюю в мазині радіон. Я для сайту технічну роботи виконував, коли він відвалився.

Треба було написати "на одному з сайтів у мене стався певний редірект на деякий лінк" без прикладів? Чи що? Чи нафіга цей сарказм? Дякую за допомогу, блін.

[Re.]

Це ви так жартуєте? Таке може тільки iptables або squid якийсь, просто так статись не могло.

[gruz]

В чому жарт? Я не жартую.

За машиною сиджу лише я. Звичайна домашня машина. Не сервер ніяки. Що таке iptables тільки в загальних рисах орієнтуюсь. Що таке squid - взагалі не знаю.

Де саме перевірити ті iptables? Я так розумію, є якийсь файл, де прописані якісь правила?

І якщо вони навіть десь таки прописані, то як вони туди потрапили?

[gruz]

Я з лайв-сд зараз завантажився. В якому файлі ті правила iptables можна глянути? Чи як це зробити?

[Prahlad Jani]

А слабо протрейсити з’єднання?

[gruz]

Ребутнувся. Одразу після ребуту все ніби в нормі. І так вже було. Чекаю, доки знову вилізе.

Раніше, коли вилазило, робив traceroute, це пару днів тому:

# traceroute pravda.com.ua
traceroute to pravda.com.ua (212.113.33.73), 30 hops max, 40 byte packets using UDP
 1  192.168.1.1 (192.168.1.1)  0.905 ms   0.764 ms   0.765 ms
 2  * * *
 3  10.5.55.82 (10.5.55.82)  27.644 ms 10.5.55.6 (10.5.55.6)  28.855 ms 10.5.55.38 (10.5.55.38)  27.385 ms
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Пінг був добрий на правильну ІР адресу Правди.

З.І. О, знову вилізло, замість правди та "заглушка". Трейсроут такий:

Код: [Вибрати]

linux-7dyq:~ # traceroute pravda.com.ua
traceroute to pravda.com.ua (212.113.33.73), 30 hops max, 40 byte packets using UDP
 1  192.168.1.1 (192.168.1.1)  1.052 ms   0.904 ms   0.905 ms
 2  * * *
 3  10.5.55.38 (10.5.55.38)  28.240 ms   28.097 ms 10.5.55.6 (10.5.55.6)  28.977 ms
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
linux-7dyq:~ #
IP tables:

Код: [Вибрати]

linux-7dyq:~ # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             ctstate RELATED
input_ext  all  --  anywhere             anywhere                                                                                                                                                                              
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-IN-ILL-TARGET "
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-FWD-ILL-ROUTING "

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            

Chain forward_ext (0 references)
target     prot opt source               destination        

Chain input_ext (1 references)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere             PKTTYPE = broadcast udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere             PKTTYPE = broadcast udp dpt:netbios-dgm
DROP       all  --  anywhere             anywhere             PKTTYPE = broadcast
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:netbios-ns ctstate RELATED
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:rsyncflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:rsync
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:netbios-ssnflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:microsoft-dsflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:sshflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpts:5800:5899flags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:5800:5899
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpts:vnc-server:cvsupflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:vnc-server:cvsup
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:5801flags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5801
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:5901flags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5901
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-dgm
DROP       all  --  anywhere             anywhere             PKTTYPE = multicast
DROP       all  --  anywhere             anywhere             PKTTYPE = broadcast
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcpflags: FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
LOG        icmp --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
LOG        udp  --  anywhere             anywhere             limit: avg 3/min burst 5 ctstate NEW LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
DROP       all  --  anywhere             anywhere            

Chain reject_func (0 references)
target     prot opt source               destination        
REJECT     tcp  --  anywhere             anywhere             reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-proto-unreachable


[gruz]

Е.... Вирубив firewall у yast. Правда повернулась. Що ж таке? Зрозуміло, хто винні (жиди і москалі), але що робити?

Нє, брешу. Це після вирублення фаєрвола перших пару хвилин все було. Тепер знову замість Правди та заставка.

При чому, наприклад, http://blogs.pravda.com.ua, це не стосується. Вони відображаються нормально.




Для radion.com.ua замість адмінки знову пуста сторінка. Тобто пробую зайти http://www.radion.com.ua/administrator/index.php а воно перекидає на пусту сторінку.
Ніби з трейсроутом все добре при цьому:

Код: [Вибрати]

linux-7dyq:~ # traceroute radion.com.ua
traceroute to radion.com.ua (178.63.214.174), 30 hops max, 40 byte packets using UDP
 1  192.168.1.1 (192.168.1.1)  1.287 ms   0.938 ms   0.885 ms
 2  * * *
 3  * 10.50.19.6 (10.50.19.6)  28.469 ms   30.208 ms
 4  212.162.26.9 (212.162.26.9)  51.648 ms   52.417 ms *
 5  * * 4.69.141.250 (4.69.141.250)  69.430 ms
 6  ae-71-71.csw2.Frankfurt1.Level3.net (4.69.140.6)  67.941 ms ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14)  73.273 ms   77.987 ms
 7  ae-2-70.edge7.Frankfurt1.Level3.net (4.69.154.75)  70.556 ms ae-4-90.edge7.Frankfurt1.Level3.net (4.69.154.203)  71.643 ms ae-2-70.edge7.Frankfurt1.Level3.net (4.69.154.75)  72.479 ms
 8  AS33891-NET.edge7.Frankfurt1.Level3.net (195.16.162.94)  63.419 ms   62.202 ms   63.691 ms
 9  * * hos-bb1.juniper1.rz11.hetzner.de (213.239.240.248)  68.653 ms
10  hos-tr1.ex3k5.rz11.hetzner.de (213.239.228.6)  67.200 ms *   67.121 ms
11  ovz33.fastvps.ru (178.63.14.3)  68.362 ms *   71.118 ms
12  * slavianin.ru (178.63.214.174)  70.636 ms   71.679 ms
linux-7dyq:~ #


[gruz]

Додаткова інформація.

Це від мене:

Код: [Вибрати]

linux-7dyq:~ # dig pravda.com.ua

; <<>> DiG 9.8.1-P1 <<>> pravda.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64124
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;pravda.com.ua.                 IN      A

;; ANSWER SECTION:
pravda.com.ua.          336     IN      A       212.113.33.73

;; Query time: 68 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jun 12 21:26:40 2012
;; MSG SIZE  rcvd: 47

А це з іншого сервера, куди по ssh зайшов

Код: [Вибрати]

# dig pravda.com.ua

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5 <<>> pravda.com.ua
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45687
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;pravda.com.ua.                 IN      A

;; ANSWER SECTION:
pravda.com.ua.          600     IN      A       193.178.147.113
pravda.com.ua.          600     IN      A       193.178.147.155

;; AUTHORITY SECTION:
pravda.com.ua.          86400   IN      NS      mns3.imena.com.ua.
pravda.com.ua.          86400   IN      NS      mns2.imena.com.ua.
pravda.com.ua.          86400   IN      NS      mns1.imena.com.ua.

;; Query time: 10 msec
;; SERVER: 217.12.192.44#53(217.12.192.44)
;; WHEN: Tue Jun 12 20:35:04 2012
;; MSG SIZE  rcvd: 126


IP адреси різні в ;; ANSWER SECTION:

[Михайло Даниленко]

Ги. Ви використовуєте гуглівські днс, і схоже, що там на них щось не так — чи то їх потруїли, чи щось інше трапилося. У мене dig те ж саме видає.

[gruz]

Гуглівський я кілька хвилин тому поставив для тестів. Не в ньому проблема.

192.168.1.1 - мій огошний модем.

Код: [Вибрати]

linux-7dyq:~ # cat /etc/resolv.conf
### /etc/resolv.conf file autogenerated by netconfig!
#
# Before you change this file manually, consider to define the
# static DNS configuration using the following variables in the
# /etc/sysconfig/network/config file:
#     NETCONFIG_DNS_STATIC_SEARCHLIST
#     NETCONFIG_DNS_STATIC_SERVERS
#     NETCONFIG_DNS_FORWARDER
# or disable DNS configuration updates via netconfig by setting:
#     NETCONFIG_DNS_POLICY=''
#
# See also the netconfig(8) manual page and other documentation.
#
# Note: Manual change of this file disables netconfig too, but
# may get lost when this file contains comments or empty lines
# only, the netconfig settings are same with settings in this
# file and in case of a "netconfig update -f" call.
#
### Please remove (at least) this line when you modify the file!
nameserver 192.168.1.1
#nameserver 8.8.8.8
linux-7dyq:~ #


Код: [Вибрати]

linux-7dyq:~ # dig pravda.com.ua

; <<>> DiG 9.8.1-P1 <<>> pravda.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54742
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;pravda.com.ua.                 IN      A

;; ANSWER SECTION:
pravda.com.ua.          372     IN      A       212.113.33.73

;; AUTHORITY SECTION:
pravda.com.ua.          46585   IN      NS      mns2.imena.com.ua.
pravda.com.ua.          46585   IN      NS      mns3.imena.com.ua.
pravda.com.ua.          46585   IN      NS      mns1.imena.com.ua.

;; ADDITIONAL SECTION:
mns1.imena.com.ua.      1024    IN      A       188.40.253.35
mns2.imena.com.ua.      1024    IN      A       188.40.47.124
mns3.imena.com.ua.      1024    IN      A       89.184.64.114

;; Query time: 36 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Tue Jun 12 22:04:25 2012
;; MSG SIZE  rcvd: 158

linux-7dyq:~ #


[gruz]

Вибивство процеса nmbd вирішує проблему. Дива якісь...

Доклідніше так.
Вирішив вирубати все по черзі через yast runlevels


Дійщов до nmb. Вирубив, перевірив - сайти з'явились. Запустив - доовго пускалось, сказало щось про результат nill.
Сайти зникли. Тоді руками вбив процеси nmbd - сайти з'явились.
Тепер запускаю nmbd - зникають, вирубаю - з'являються.

Код: [Вибрати]

linux-7dyq:/usr # ps ax | grep nmbd
 7385 ?        Ss     0:00 /usr/sbin/nmbd -D -s /etc/samba/smb.conf
 7386 ?        S      0:00 /usr/sbin/nmbd -D -s /etc/samba/smb.conf
 7391 pts/3    S+     0:00 grep --color=auto nmbd
clam віруса не бачить в  /usr/sbin/nmbd

Код: [Вибрати]

linux-7dyq:/usr # cat /etc/samba/smb.conf
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2012-05-02
[global]
        workgroup = WORKGROUP
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = Yes
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        domain logons = No
        domain master = No
        netbios name = gruz
        security = user
        wins support = Yes
        usershare max shares = 100
        ldap suffix =
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
[profiles]
        comment = Network Profiles Service
        path = %H
        read only = No
        store dos attributes = Yes
        create mask = 0600
        directory mask = 0700
[users]
        comment = All users
        path = /home
        read only = No
        inherit acls = Yes
        veto files = /aquota.user/groups/shares/
[groups]
        comment = All groups
        path = /home/groups
        read only = No
        inherit acls = Yes
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

## Share disabled by YaST
# [netlogon]
Що далі робити? Я можу спробувати знести/поставити самбу, але боюсь втратити щось корисне з т.з. боротьби з вірусами. Чув, що варто в такому випадку "сообщіть куда слєдуєт".

Порадьте, будь ласка! Дякую.

[r00t x]

Що далі робити? Я можу спробувати знести/поставити самбу, але боюсь втратити щось корисне з т.з. боротьби з вірусами. Чув, що варто в такому випадку "сообщіть куда слєдуєт".

Порадьте, будь ласка! Дякую.

:-/
http://www.us-cert.gov/
http://www.cert.org/work/coordinating_response.html

[Re.]

Код: [Вибрати]

## Share disabled by YaSTМені здається, що тут щось yast нагрішив.