Сообщений в теме: 5001

[vturekhanov]

MODERATORIAL

Данная тема не относится в сервису поддержки клиентов Мегалайн со стороны Казахтелеком.
1. Все претензии относительно услуги Мегалайн необходимо адресовать непосредственно в АО"Казахтелеком":
- устно по телефону (Центр поддержки пользователей услуги Megaline) - 8 800 080 6456, в рабочие дни, с 9 часов утра до 18 часов вечера.
- письменно на имя Председателя Правления АО"Казахтелеком" К. Есекеева по адресам:
Республика Казахстан,
Офис - 1: 010000, г. Астана, район Сарыарка, пр. Абая, 31. Офис - 2: 050059, г. Алматы, ул Фурманова, 240 Б. (инфо с сайта www.telecom.kz)
2. Корпоративный интернет-блог АО"Қазақтелеком" – blog.telecom.kz. (не работает)
Официальный сайт услуги - www.megaline.kz.
twitter.com/#!/TelecomKZ
 
Локальные правила:
3. Задавать в топике вопросы, - ответы на которые в явной форме опубликованы на официальном сайте www.megaline.kz или доступны при обращении в call-centre Казахтелеком, - ЗАПРЕЩЕНО.
4. Тематические вопросы обсуждаются в соответствующих топиках:
Скорость на Мегалайн/IDNet
Настройки модемов для подключения к aDSL + топики по разным производителям.
Обсуждение adsl-модемов
5. "Платность/бесплатность" пользования ресурсами/сайтами определеяется путем идентификации их IP-адресов на принадлежность к сетям АО "Казахтелеком" в базе RIPE (IP-листинг) или IP-листинге от КТ. Все уточнения по отдельным ресурсам, торрентам и пр. проводить вне данного топика.
6. Обсуждение работоспособности отдельных ресурсов сети проводятся в отдельном сабжевом топике.
Оффтоп удаляется без предупреждения и наказывается согласно Правилам форума.
7. На форуме Все вместе официальных представителей Казахтелеком никогда НЕ БЫЛО и НЕТ.
Начало обсуждения - Интернет от АО "Казахтелеком" (Megaline, IDNet и т.п.), часть 2, часть 3

Сообщение отредактировал vturekhanov: 13.10.2015, 11:38:39
Изменён номер телефона центра поддержки пользователей услуги Megaline

[Jem]

Может кто-нибудь в виде натурного эксперимента временно прописать себе вот этот казахтелекомовский ДНС 95.56.237.24 ???

На самом деле ДНС не может сам по себе баннеры показывать. Он может подменять айпишники хостов, но он не может показывать баннеры там, где их нет, запускать всплывающие окна, и.т.д.

Там какая-то другая зараза. Хз какая даже.

[SXS]

На Казторке оповещение

 

Уважаемые пользователи! 

 

Если Вы подключаете услугу "Родительский контроль" от Казахтелекома - наш трекер и еще масса ресурсов не будут доступны.

Имейте это ввиду. 

 

С уважением, Администрация.

[Nelson Mandella]

 

Может кто-нибудь в виде натурного эксперимента временно прописать себе вот этот казахтелекомовский ДНС 95.56.237.24 ???

На самом деле ДНС не может сам по себе баннеры показывать. Он может подменять айпишники хостов, но он не может показывать баннеры там, где их нет, запускать всплывающие окна, и.т.д.

Там какая-то другая зараза. Хз какая даже.

 

 

А возможно такое, допустим от моего компа идет запрос на ДНС, там на серваке у прова  вмешательством трояна, вместо zakon.kz перенаправляет на другой промежуточный сайт, который встраивает пакеты с баннерами, которые накладываются на сайт zakon.kz. Эх, надо было трассировку сделать, тогда бы наверное было видно откуда и куда пакеты идут. У меня аж азарт появился, докопаться до истенной причины. Дать еще разок деткам посидеть за компом  что ли ))) 

 

Вот что странно, такое ощущение, что я один с подобным столкнулся. В поисковиках ищу, тишина вроде.

Сообщение отредактировал Nelson Mandella: 17.11.2015, 16:56:42

[ChuPac]

Когда же вы поймете друзья, что IPTV по открытому интернету имеет право быть только в теории и в качестве рабочих примеров, смартТВ всякие, торренты тВ и т.д. А на практике - как звезды сложатся. А мне нафига такое ТВ если сегодня оно идет, а завтра нет? Тут любой провайдер будет пусть, даже 100 мегабит канал - от этого лучше не станет, не в скоростях дело. Именно поэтому много сервисов бесплатно распространяют, ибо брать деньги за "как звезды сложатся" - не православно, никто платить не будет.

 

Ну торрент-тв работает и бесплатно, при желании можно пожертвовать бабло - 300 или больше каналов бесплатно, грех жаловаться.

никто (из хозяев этих сервисов) и не позиционирует как всегда и везде, при любых условиях. Тем не менее, существует много сервисов, которые берут плату за месяц/год и работают на "забугорье" - картина ТВ, например.

А нормальнsе сервисы OTT берут оплату по факту - почасовую, поминутную  и т.д. Не идёт сегодня - клиент выключил и оплата не идет. Завтра идет нормально - клиент пользует. 

А так форс-мажора навалом. Заплатишь кабельному оператору, а не будет света в одном доме твоего района и промежуточное железо не позволит передать сигнал до клиента - виноват оператор или всё же сторонняя проблема? Вот и тут так же.

У меня уже несколько месяцев звезды складываются так, что с ОТТ проблем нет и мне не жалко тех пары баксов, которые с меняли сняли за это. В отличие от 900 тенге кабеля ежемесячно. 

С другой стороны, строить спецовую бродкастную сеть под IP TV как в КТ - удовольствие дорогое и не легкое. К тому же узкий круг привязанных потребителей.

[wertigos sogitrew]

И подтверждением тому нетфликс, хулу, амазон, етк...

[muhu]

У меня у одного последний месяц в вечернее время примерно с 19-00 до 12-00 внешка гонит (патеря пакетов, в играх пинг скачет, твич лагает)? idnet шымкент

[Keffer]

Ведь и вправду, проблема может быть на стороне провайдера. Допустим бацила на их серваке сидит.

Так может говорить только человек, никогда в глаза не видевший оборудования провайдера. И не знающий принципов его работы. Последнее место для троянов  - это оборудование провайдера. Там совершенно другого уровня стоят железки. Проблема 100% не в провайдере а в вашем оборудовании.

 

 

 

На Казторке оповещение

Ну само собой этот контроль обламывает все что можно и не можно. Оставляет только проверенное и одобренное КТ. Умными детками обходится на раз. Если конечно ограничения там не параноидальные до ужаса - например доступны только определенные подсети и протоколы, впн в любых его проявлениях может резаться на корню.

Сообщение отредактировал Keffer: 17.11.2015, 23:00:28

[Ast Team]

Так может говорить только человек, никогда в глаза не видевший оборудования провайдера. И не знающий принципов его работы. Последнее место для троянов - это оборудование провайдера. Там совершенно другого уровня стоят железки. Проблема 100% не в провайдере а в вашем оборудовании.

Вы как всегда категоричны... Роутеры и маршрутизаторы - лакосмый кусок для злоумышленников. Зачем взламывать один компьютер, если можно взломать провайдера или его оборудование и поиметь сеть. "Железки" может быть и другого уровня, но за ними должны сидеть и спецы соотвествующего уровня.

[Keffer]

"Железки" может быть и другого уровня, но за ними должны сидеть и спецы соотвествующего уровня.

Вот именно. И не было пока зафиксировано ни одного случая, чтобы железки провайдера были потроянены, порутаны или как то по другому получен контроль над ними злоумышленниками, с целью перенаправления на баннеры и прочее непотребство. Продолжаю придерживаться мнения что дело в абонентском оборудовании исключительно....

 

p.s. Хотя был один случай в прошлом, BGP у них упал массово, но вряд ли тут дело злоумышленников, выгоды от падения нету никакой.

[Ast Team]

Вот именно. И не было пока зафиксировано ни одного случая, чтобы железки провайдера были потроянены, порутаны или как то по другому получен контроль над ними злоумышленниками, с целью перенаправления на баннеры и прочее непотребство. Продолжаю придерживаться мнения что дело в абонентском оборудовании исключительно....
p.s. Хотя был один случай в прошлом, BGP у них упал массово, но вряд ли тут дело злоумышленников, выгоды от падения нету никакой.

Да??? https://xakep.ru/201...3/soho-routers/ вот ботнет из роутеров. Прошу заметить, что ктшные железки - это оборудование провайдера (по крайней мере ONTшные) и на них стоят жестко вшитые пароли доступа в админку. На новых прошивках поменять можно, но до перезагрузки. Плюс есть доступ от провайдера.

[Keffer]

На новых прошивках поменять можно, но до перезагрузки.

Вот вы и сами дали ответ на свой вопрос. Резюмируя кратко, подведем итоги.

 

1) роутер таки был потроянен, ибо к веб-морде открыт извне доступ, как и во всех дешевых адсл тплинках 88xx серии, причем там он не отключаемый в принципе и тплинк смотрит всегда в мир 80 портом, заходи и делай что хочешь.

2) Поскольку управление железкой идет централизованно от КТ, помог сброс в дефолт - роутер стянул дефолтовые настройки с КТ и все что там кто то поменял, встало по местам своим назад. Можно было и пойти другим путем - подождать очередной синхронизации ONT и все снова бы встало на место, такая синхра происходит периодически.

3) Не хотите повторения подобного - есть два пути: А) Отключить веб морду, что крайне сложно, ввиду ее обратного включения при очередной синхр. настроек ONT со станционной частью, Б) Поставить ONT в мост и за ним использовать православный роутер, который имеет на борту фаервол вменяемый и не светит своими дырами в мир. В этом случае будет  100% защита от проникновения в  ONT, но по прежнему зависит от грамотности настроек второй железки. Если вы достаточно квалифицированный админ - трудностей не составит вообще.

4) Упомянутая вами статья на хакере - давным давно не новость, и пароли от PPPoE на адсл тырили еще лет 6-7 назад все желающие, в эпоху "повального засилья" АДСЛ Тплинков. Когда КТ перестал быть альтруистом и показал фигу вместо модема длинк-дсл-200, которые они раздавали, все кинулись по ближайшим компьютерным лавкам и стали массово скупать тплинки, дешево же! Хакеры потирали руки радостно, достаточно свою же подсеть просканить - минимум 2-4 штуки найдется таких тплинков, светящих голой задницей в мир, с доступом admin\admin

[pessimist]

Да??? https://xakep.ru/201...3/soho-routers/ вот ботнет из роутеров. Прошу заметить, что ктшные железки - это оборудование провайдера (по крайней мере ONTшные) и на них стоят жестко вшитые пароли доступа в админку. На новых прошивках поменять можно, но до перезагрузки. Плюс есть доступ от провайдера.

В указанной статье ни слова нет про провайдерское оборудование, включая ONT. Это как минимум. А как максимум - любой провайдер для оптимизации расходов выпиливает из софта и железа всё лишнее, что по его мнению не понадобится абоненту, подключенному к его сети. Поэтому ONT это не SOHO роутер в широком смысле, это огрызок с минимумом свободной памяти, централизованными настройками и прочими провайдерскими фишками. Они конечно лакомые куски для хакеров, но вот что то я не слышал, что в наших пенатах были случаи построения ботнетов на базе ONT. Единичные жалобы да, есть, да и те связаны с заражением не снаружи по открытым портам а изнутри с заражённых ПК абонентов. Причём не факт, что настройки роутера подвергались изменению (я в последнем случае про это ни одного факта не увидел).

А вот всевозможные ADSL (Ethernet) routers таки да, подвержены атакам. Но на сети КТ они стоят или на Мегалайне или на старых FTTB сетях IDNet.

[pessimist]

роутер таки был потроянен, ибо к веб-морде открыт извне доступ

Не факт, сам @Nelson Mandella так и не смог показать были ли изменены какие-либо настройки, изменение DNS - не показатель, они привязаны к подсетям, которые раздаются клиентам и вполне возможно отличаются.

 

 

Поскольку управление железкой идет централизованно от КТ, помог сброс в дефолт - роутер стянул дефолтовые настройки с КТ и все что там кто то поменял, встало по местам своим назад. Можно было и пойти другим путем - подождать очередной синхронизации ONT и все снова бы встало на место, такая синхра происходит периодически.

ИМХО только поэтому провайдерские железки для хакеров опасны - если на стороне OLT ведутся журналы изменений то всевозможные отделы К лехко смогут отследить маршрут заражения и нейтрализовать подобные ботнеты. В отличии от этого SOHO роутеры (как ADSL так и Ethernet) могут годами торчать голой задницей в Интернете на 80м порту с дефолтными паролями, пока нерадивый обманент не начнёт поднимать панику почему у него лезут левые баннеры, скорость инета в нуле и вообще что-то не так.

 

Не хотите повторения подобного - есть два пути: А) Отключить веб морду, что крайне сложно, ввиду ее обратного включения при очередной синхр. настроек ONT со станционной частью, Б) Поставить ONT в мост и за ним использовать православный роутер, который имеет на борту фаервол вменяемый и не светит своими дырами в мир. В этом случае будет 100% защита от проникновения в ONT, но по прежнему зависит от грамотности настроек второй железки. Если вы достаточно квалифицированный админ - трудностей не составит вообще.

Насколько я понял уважаемый @Nelson Mandella ни разу не айтишник, даже в этот раз он не смог понять механизма заражения, а так как таких как он в сети КТ мильён с хвостиком то и случаев скорее всего много, только вот понять в чём причина довольно сложно.

 

А про баннеры в браузерах я уже писал в этой теме, вот тот пост

Сообщение отредактировал pessimist: 18.11.2015, 09:37:51

[pessimist]

Кстати в тему ботнетов, адварей и прочего барахла - ИМХО адвари и похожий на них софт к роутерам никакого отношения не имеют, потому что в этом случае нет механизма встраивания фреймов в окна браузера на стороне роутера. Точнее подобный функционал требует значительных вычислительных ресурсов, которые на ONT или SOHO роутерах отсутствуют. Максимум, что может получить хакер- это контроль за роутером, включающий подмену DNS, редирект трафика на свои ресурсы и DDoS с этого роутера.

Но вот во что не поверю - так это в то, что хакер средствами роутера внедрит в браузеры на устройствах домашней сети адвари. Тут всё куда проще делается именно на этих устройствах или накрайняк на серверах редиректа (но это уже другие масштабы атаки), а роутер куда ценнее именно в качестве зомби в ботнете для организации атак.

Сообщение отредактировал pessimist: 18.11.2015, 09:49:41

[Nelson Mandella]

 

роутер таки был потроянен, ибо к веб-морде открыт извне доступ

Не факт, сам @Nelson Mandella так и не смог показать были ли изменены какие-либо настройки, изменение DNS - не показатель, они привязаны к подсетям, которые раздаются клиентам и вполне возможно отличаются.

 

 

Поскольку управление железкой идет централизованно от КТ, помог сброс в дефолт - роутер стянул дефолтовые настройки с КТ и все что там кто то поменял, встало по местам своим назад. Можно было и пойти другим путем - подождать очередной синхронизации ONT и все снова бы встало на место, такая синхра происходит периодически.

ИМХО только поэтому провайдерские железки для хакеров опасны - если на стороне OLT ведутся журналы изменений то всевозможные отделы К лехко смогут отследить маршрут заражения и нейтрализовать подобные ботнеты. В отличии от этого SOHO роутеры (как ADSL так и Ethernet) могут годами торчать голой задницей в Интернете на 80м порту с дефолтными паролями, пока нерадивый обманент не начнёт поднимать панику почему у него лезут левые баннеры, скорость инета в нуле и вообще что-то не так.

 

Не хотите повторения подобного - есть два пути: А) Отключить веб морду, что крайне сложно, ввиду ее обратного включения при очередной синхр. настроек ONT со станционной частью, Б) Поставить ONT в мост и за ним использовать православный роутер, который имеет на борту фаервол вменяемый и не светит своими дырами в мир. В этом случае будет 100% защита от проникновения в ONT, но по прежнему зависит от грамотности настроек второй железки. Если вы достаточно квалифицированный админ - трудностей не составит вообще.

Насколько я понял уважаемый @Nelson Mandella ни разу не айтишник, даже в этот раз он не смог понять механизма заражения, а так как таких как он в сети КТ мильён с хвостиком то и случаев скорее всего много, только вот понять в чём причина довольно сложно.

 

А про баннеры в браузерах я уже писал в этой теме, вот тот пост

 

 

Да я не айтишник, но то что бацила не на компе я понял сразу (когда на андроид телефоне при заходе через вайфай тоже стали появляться баннеры). Потом я вычистил комп руками и касперским и еще сверху прошелся Dr.Web CureIt. В итоге помогла даже не чистая переустановка винды, а только сброс оптоволоконного модема до заводских настроект. И вот где все таки сидела бацила я так и не понял. Да и не каждый айтишник это сможет объяснить. Я думал подмена ДНС на роутере, но выяснилось что все ДНС казахтелекомовские. Стал думать на инфицирование провайдерских серваков, на что люди разбирающиеся в провайдерском оборудовании, категорически отвергли и этот вариант.

 

Тогда что остается? Вирус сидел в каком-то разделе внутренней памяти роутера? Типа в биосе роутера прописался что ли?

[Jem]

https://xakep.ru/201...3/soho-routers/ вот ботнет из роутеров

Речь шла о железках установленных у провайдера. Причём тут end-user железяки? Как раз-таки этот пост говорит о том, что проще заразить end-user железку, нежели залезть на железо операторского уровня, расположенное в гермозонах провайдера.

[Keffer]

Тогда что остается? Вирус сидел в каком-то разделе внутренней памяти роутера? Типа в биосе роутера прописался что ли?

Элементарно. Если телнет роутера открыт во внутр. сеть, то легко написать батник\JS\VBS, который будет коннектиться к роутеру, логиниться в телнет, менять там что нужно, те же ДНСЫ или маршруты новые прописывать статичные (которых не видно в веб морде) все это лечится после сброса в дефолт железки.  Это наиболее вероятная картина произошедшего. Но не последняя инстанция истины.

 

проще заразить end-user железку,

Это и происходит в 99,9% случаев - зараза прет из локалок юзеров бытовых, их девайсы превращаются успешно в ботнеты. Ибо администрирование и безопасность там на нуле полном. И доступ admin\admin никто из обычных обманентов не меняет никогда. Так же как и пароль к вифи домашнему устанавтеры ставят в виде полного номера телефона - 7222123456 и имя ssid ставят дом-вартира. Простор для взлома - невероятный.

Сообщение отредактировал Keffer: 18.11.2015, 10:00:04

[pessimist]

Да я не айтишник, но то что бацила не на компе я понял сразу (когда на андроид телефоне при заходе через вайфай тоже стали появляться баннеры). Потом я вычистил комп руками и касперским и еще сверху прошелся Dr.Web CureIt. В итоге помогла даже не чистая переустановка винды, а только сброс оптоволоконного модема до заводских настроект. И вот где все таки сидела бацила я так и не понял. Да и не каждый айтишник это сможет объяснить. Я думал подмена ДНС на роутере, но выяснилось что все ДНС казахтелекомовские. Стал думать на инфицирование провайдерских серваков, на что люди разбирающиеся в провайдерском оборудовании, категорически отвергли и этот вариант. Тогда что остается? Вирус сидел в каком-то разделе внутренней памяти роутера? Типа в биосе роутера прописался что ли?

Резюмируем Ваши посты:

1. Проверка ПК ограничилась прогоном каспера и дрвеба с антивирусными базами на момент проверки. Вариант того, что именно Ваша зараза появилась в этих базах чуть позже не проверялся.

2. Зараза якобы пропала после перезагрузки ONT, при этом причинно-следственная связь между событиями так же не проверялась. Исключить того, что именно Ваш зловред получил контроль над ONT нельзя, но сделать выводы какого уровня был этот контроль невозможно. Если поверить Вам и принять, что DNS были на месте остаётся только правка таблицы маршрутизации на роутере с заворотом всего трафика в сторону серверов хакера. НО!!! Такие атаки не проводятся на 1-2 устройства огромной сети КТ, так как от хакера требуются сервера приличной мощности для того, чтобы атакуемые не увидели отличия в скорости сёрфинга между дефолтными маршрутами и хакерским редиректом довольно продолжительное время. А это окупается при массированных атаках на всю сеть не с целью внедрения банальных адварей, а для создания глобальных ботнетов для организации атак на крупные предприятия, готовые заплатить деньги иного порядка чем маржа от адвари.

3. Т.н. "провайдерские серваки" это Ваша личная выдумка, потому что подразумевается, что заражена вся цепочка абонент-транспортная сеть-сервер провайдера. Это конечно не лишено смысла при организации глобальных атак с целью создания ботнетов, но увы, не подтверждается на форуме.

 

Т.е. в очередной раз "неайтишник" рассуждает на серьёзные айтишные темы, но неспособен аргументировать свою позицию фактами.

Сообщение отредактировал pessimist: 18.11.2015, 10:06:15

[Nelson Mandella]

 

Да я не айтишник, но то что бацила не на компе я понял сразу (когда на андроид телефоне при заходе через вайфай тоже стали появляться баннеры). Потом я вычистил комп руками и касперским и еще сверху прошелся Dr.Web CureIt. В итоге помогла даже не чистая переустановка винды, а только сброс оптоволоконного модема до заводских настроект. И вот где все таки сидела бацила я так и не понял. Да и не каждый айтишник это сможет объяснить. Я думал подмена ДНС на роутере, но выяснилось что все ДНС казахтелекомовские. Стал думать на инфицирование провайдерских серваков, на что люди разбирающиеся в провайдерском оборудовании, категорически отвергли и этот вариант. Тогда что остается? Вирус сидел в каком-то разделе внутренней памяти роутера? Типа в биосе роутера прописался что ли?

Резюмируем Ваши посты:

1. Проверка ПК ограничилась прогоном каспера и дрвеба с антивирусными базами на момент проверки. Вариант того, что именно Ваша зараза появилась в этих базах чуть позже не проверялся.

2. Зараза якобы пропала после перезагрузки ONT, при этом причинно-следственная связь между событиями так же не проверялась. Исключить того, что именно Ваш зловред получил контроль над ONT нельзя, но сделать выводы какого уровня был этот контроль невозможно. Если поверить Вам и принять, что DNS были на месте остаётся только правка таблицы маршрутизации на роутере с заворотом всего трафика в сторону серверов хакера. НО!!! Такие атаки не проводятся на 1-2 устройства огромной сети КТ, так как от хакера требуются сервера приличной мощности для того, чтобы атакуемые не увидели отличия в скорости сёрфинга между дефолтными маршрутами и хакерским редиректом довольно продолжительное время. А это окупается при массированных атаках на всю сеть не с целью внедрения банальных адварей, а для создания глобальных ботнетов для организации атак на крупные предприятия, готовые заплатить деньги иного порядка чем маржа от адвари.

3. Т.н. "провайдерские серваки" это Ваша личная выдумка, потому что подразумевается, что заражена вся цепочка абонент-транспортная сеть-сервер провайдера. Это конечно не лишено смысла при организации глобальных атак с целью создания ботнетов, но увы, не подтверждается на форуме.

 

Т.е. в очередной раз "неайтишник" рассуждает на серьёзные айтишные темы, но неспособен аргументировать свою позицию фактами.

 

 

Ничего не понял из вашего поста. Какие факты вам нужны? Я ничего не рассуждаю, я пытаюсь найти ответ на простые вопросы, а не "серьезные айтишные темы", тут не надо быть супер-айтишником, что бы выстроить логическую цепочку, было-осталось-исчезло.

 

Антивирусом вычистились множество других троянов, но баннеры остались.

Практически в течении месяца каспер стоял и обновлялся, у меня руки не доходили заняться сносом винды, так как это подразумевает перенос огромного количества информации на съемные носители.

 

 А факты, факты они такие

1. 100% факт отсутствие вируса или трояна на ПК, так как баннеры остались после форматирования. 

2. 100% факт наличие баннеров и редайректа после форматирования дисков и установки винды.

3. 100% факт отсутствие баннеров и редайректа после сброса роутера до заводских настроек.

 

Вот ваша версия с подменой таблицы маршрутизации на роутере, более менее похожа на правду. Только подтвердить или опровергнуть ее сейчас уже нельзя.

Эта таблица прописывается в роутере? Она отображается в настройках или она скрыта от пользователей?

[Ivan18]

О каких баннерах речь - вот что хотелось бы узнать. Вам надо было наскринить их для примера, чтобы мы посмотрели, на что вы, собственно, жалуетесь.

Баннеров хватает на многих сайтах, но это не признак заражения системы вообщето.