Перейти к содержанию
A.

Comodo Secure DNS вёл россиян на фишинговые сайты

Recommended Posts

A.

перепечатка с Вебпланеты http://webplanet.ru/news/security/2011/11/...secure_dns.html

--

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

следующий шаг это когда комодо вместо обновлений начнет малварь качать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И подписывать малварь и выписывать сертификаты сайтам с приватной информацией. WAIT... OH, SHI~

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

этожжжж неспроста, еще пара таких ляпов и банкрот как diginotar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo) :lol::lol::lol: она обкуреная походу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
еще пара таких ляпов и банкрот

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

C другой стороны какие богатые возможности к накрутке репутации открываются :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Разницу между пользователями и посетителями сайта андестенд ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Разницу между пользователями и посетителями сайта андестенд ? :)

Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Для тугих, еще раз:

1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

да ладно, все равно из общей серии - компания занимающаяся безопасностью позволяет каким-либо способом заразиться юзерам.

если у одной строительной компании рухнет строящийся мост, а у другой рядом с офисом упадет плита с крыши на крыльцо с посетителями, то эффект сравним, особенно если жертвы будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
3. У ЛК никогда не было проблем с главными серверами и сервисами.

А как же взлом американского сайта касперского в 2009 году? тоже с серверами все ништяк?

"Американское зеркало веб-сайта «Лаборатории Касперского», известного российского производителя антивирусов, был взломан неизвестными злоумышленниками. В течение 3,5 часов официальный интернет-ресурс компании предлагал посетителям скачать вредоносные программы под видом ПО для защиты компьютера.

Как сообщает ресурс PC World, страницы с описанием продуктов от «Лаборатории» автоматически перенаправляли пользователей на мошеннические сайты, которые показывали им всплывающие окна с сообщениями об обнаруженных вирусах и об острой необходимости скачивания новейших «лекарств». Естественно, вместо защитных программ посетителям предлагалось загрузить опасные вирусы."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Для нелепо оправдывающихся, еще раз:

1. Пользователи/посетители USA сайта KL попадали на сайт, впаривающий им Fake AV.

2. Вы позволите мне не комментировать эту нелепую ахинею, а просто сделать скриншот на память ?

3. Редирект с сайта компании по безопасности на вредоносный сайт это сущая безделица, понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

http://dev.recursive.dns.com/

перепечатка с Вебпланеты

--

...продвинутые пользователи...

...в качестве DNS-серверов указаны "левые"...

8.26.56.26

8.20.247.20

...mail.ru, yandex.ru и другие...

...ЖЖ...

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Раньше адреса DNS-серверов были другие: 156.154.70.22 и 156.154.71.22. © продвинутый пользователь из ЖуЖучки

A., спасибо, улыбнуло, перепечатайте ещё что-нибудь (из ЖЖ или Одноклассничков)

Предпочитаемый DNS: 156.154.70.25

Альтернативный DNS: 156.154.71.25

(с) online HELP

"продвинутый пользователь" наверняка поиск майл.ру пользует :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl

A., думаю, что лучше всё-таки читать мануалы, а не желтушные изданьица. А в мануалах вполне явно написано, что:

Primary DNS : 156.154.70.22

Secondary DNS : 156.154.71.22

для англоязычных пользователей и

Preferred DNS : 156.154.70.25

Alternate DNS : 156.154.71.25

для остальных. Это во-первых.

Во-вторых, 8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

В-третьих, 174.129.145.134 - это сервер, который показывает алерт Secure DNS.

http://help.comodo.com/topic-72-1-284-3002...NS-Service.html

http://dev.recursive.dns.com/switch/

ЗЫ. Очень повеселил "компетентный" камент от "главы пресс-службы Mail.Ru Group Валерии Комиссаровой". Стоило бы ей напомнить, что не так уж и давно mail.ru абсолютно по-настоящему и месяцами распространял самую натуральную малварь через свой кривой редирект, а их саппорт и слышать ничего не хотел про это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

тогда объясните что это было. почему редиректили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
тогда объясните что это было. почему редиректили?

priv8v, мне, если честно, сложно понять, "что это было", поскольку вся приведённая, с позволения сказать, статья - один большой испорченый телефон. CSDNS блочит mail.ru с вердиктами "social" и "phishing", естественно, что в силу специфики он может делать это только "редиректом", если угоден такой термин. Этот факт может быть весьма неудобен для пользователя, о чём много раз говорилось, скажем здесь, тем более, что сервис, в котором пользователь сможет управлять исключениями и блокировками, ещё на бета-стадии, но это не имеет отношения к распространению чего-либо вредоносного, как утверждается. Если внимательно изучить ссылки, приведённые в "статье", то станет ясно, что этот вывод построен целиком на домыслах её автора и на странной интерпретации тех материалов. Один автор заявил, что у него "эксплойты на майлру", другой сделал два "открытия", что CSDNS, "оказывается", "перенаправляет" mail.ru и что серверов CSDNS несколько, третий не нашел ничего умнее, как, по какой-то своей логике, увязать эти факты между собой, четвертый слепил из этого "жареную новость" руководствуясь своми представлениями, скорее всего, начисто отсутствующими, о работе сетей и т.п., в результате на ©"информационно-аналитическом портале по информационной безопасности" мы обсуждаем это бульварное творение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
тогда объясните что это было...
перепечатка с Вебпланеты...
... вирусы раздавал сервер 174.129.145.134 igor_krein

Разве "продвинутые пользователи" (1 шт. - dil) не объяснил в ЖуЖу ?

(про то, как правильно установить BETA)

2:47

"Моя дорогая, бедная мама уронила меня с …надцатого этажа."

"…как трахнет меня… с четырнадцатого этажа…"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×