>
Воскресенье, 22.10.2017, 07:33
Приветствую Вас Гость


Меню сайта
Мини-чат
Наш опрос
Оцените мой сайт
Всего ответов: 66
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Проблема по сей день животрепещущая. На сайте я уже поднимал подобные вопросы, но захотелось объединить все советы в одну инструкцию, чем собственно сейчас и попытаемся заняться. Должно получиться более-менее пошагово, но под конец расплывчато и обрывчато – такой вот у меня стиль)) Сподвиг меня на написание инструкции недавно обнаруженный хитрый способ подмены файла hosts – о нем кратко в конце мануала. А сейчас – инструкция!

Начнем с того, что в ОС Windows перенаправить пользователя на другой сайт в браузере можно тремя (известными мне) способами:

1. С помощью файла hosts.

2. Подменой DNS-серверов.

3. Созданием маршрутов в реестре (PersistentRoutes).

Поэтому в том случае, если я обнаруживаю подмену страницы авторизации сайтов популярных соц. сетей, я по порядку проверяю эти 3 пункта.

Как заподозрить неладное? Обычно, злоумышленники, подменив страницу авторизации просят отправить якобы бесплатную СМС. Уже повод задуматься. Стоимость SMS Вы сможете узнать, проверив короткий номер в соответствующих сервисах, например здесь. Если стоимость не равна нулю, тогда можно начать переживать, кусать ногти, локти и подлокотники.

Чтобы окончательно удостовериться в подмене, запускаем консоль (Пуск – Выполнить – cmd) и выполняем 2 команды:

ping vkontakte.ru

ping odnoklassniki.ru

В результате мы получим IP-адреса обоих сайтов. На скрине ниже подробно подчеркнуто.

Во-первых, оба IP должны быть разными – две конкурирующих соц. сети не могут ютиться на одном сервере. Если IP разные, сверьте их с правильными:

vkontakte.ru IP’s — 87.240.143.244, 87.240.188.249, 87.240.188.250, 93.186.224.240, 93.186.224.243, 87.240.131.97, 87.240.131.98, 87.240.131.99, 87.240.131.100, 87.240.143.241, 87.240.143.242, 87.240.143.243.

 

odnoklassniki.ru IP — 217.20.154.59.

Если подмена имеет место быть – делаем следующее:

1. Открываем «Пуск» — «Выполнить», вводим команду:

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts

и жмем ОК. Откроется Блокнот с содержимым файла hosts. Содержимое файла hosts должно быть следующим:

Т.е. по сути всего одна запись – 127.0.0.1 localhost, все остальное со знаком # в начале – это просто комментарии разработчиков. Если имеют место записи, содержащие vkontakte, odnoklassniki или twitter – удаляем их и приводим файл hosts к нужному виду.

2. Проверяем DNS-сервера. Если компьютер подключен к Интернету через локальную сеть LAN или Wi-Fi (т.е. не через USB-модем и мобильный телефон или, не дай Бог, dial-up модем), открываем «Пуск» — «Панель управления» — «Сетевые подключения». Находим значок подключения по локальной сети или беспроводного подключения, щелкаем на нем правой кнопкой мыши и выбираем «Свойства». В открывшемся окне прокручиваем список и нажимаем на «Протокол Интернета TCP/IP», после чего жмем на кнопку «Свойства» снизу. В открывшихся свойствах обращаем внимание на нижний блок, относящийся к DNS – должна стоять галочка напротив пункта «Получить адрес DNS-сервера автоматически». Или же можно прописать публичные серверы DNS Гугла: 8.8.8.8 и 8.8.4.4.

3. Открываем редактор реестра (Пуск – Выполнить – regedit) и в левой части открываем следующий путь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Щелкнув в левой части на PersistentRoutes, в правой части мы должны увидеть только пустую запись «По умолчанию» и ничего более. Если имеется что-то еще – смело удаляйте.

Обычно этих трех пунктов бывает достаточно. На самом деле, все эти пункты можно выполнить автоматически с помощью AVZ, что впоследствии я и рекомендую делать. Просто в первый раз можно сделать и ручками, дабы вникнуть в суть. С помощью AVZ разблокировать доступ к Вконтакте, Одноклассникам и Твиттеру можно следующим образом:

1. Собственно, скачиваем AVZ.

2. Запускаем.

3. Открываем «Файл» — «Восстановление системы».

4. Отмечаем пункты 13,14,15,20,21.

5. Жмем «Выполнить отмеченные операции».

Под конец добавлю несколько замечаний. Если Вы пытались вводить логин и пароль на «фэйковой» странице авторизации – настоятельно рекомендую после избавления от «каки» сменить пароли, иначе могут просто увести аккаунт. Также если после перезагрузки компьютера подмена снова возникает – проверьте комп на вирусы, однозначно существует вредоносный процесс, создающий подмену. И уже после удаления вируса исправляйте подмену.

Теперь про обещанную хитрую подмену. Недавно обнаружил такую вот проблемку со входом в соц. сети, причем все 3 пункта были в порядке, но IP Вконтакте, Одноклассников и Твиттера был одинаковым – 46.251.228.211. Позже, загрузившись с LiveCD обнаружил хитрую подмену.

В папке C:\WINDOWS\system32\drivers\etc было 2 файла hosts. В Винде по сути не может быть двух одинаковых файлов в одной папке – они бы перезаписали друг друга. Но оба файла сосуществовали потому, что один из них был фэйковым – буква О в слове hosts была написана кириллицей, таким образом имена файлов получались разными, но внешне идентичными.

Оба файла были созданы в одно время. Работающий файл hosts был скрыт и имел гораздо больший размер. При открытии, особо не отличался содержимым, но его пакостные намерения выдали полосы прокрутки в блокноте. Записи о перенаправлении были сдвинуты далеко вниз и вправо, поэтому даже при прокрутке всего документы не были видны. Помог обнаружить записи поиск по файлу слова «vkontakte». Вот уж, голь на выдумку хитра!))

Поиск
Календарь
пополни
МОМЕНТАЛЬНАЯ ОПЛАТА
за WebMoney, RBK Money,
MoneyMail, WebCreds,
Яндекс.Деньги, терминалы
Погода
Друзья сайта