Защита от фарминг-атаки

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт.

Файл hosts

По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc).

Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого):

1.1.1.1 vkontakte.ru

Теперь при заходе на сайт ВКонтакте, браузер пользователя будет загружать его с адреса злоумышленника – 1.1.1.1.

Для восстановления работоспособности, в файле HOSTS следует удалить все строчки, оставив только 127.0.0.1 localhost и те, которые лично вы туда добавляли (если добавляли). Не забудьте сменить пароли ко всем веб-сервисам, которыми вы пользуетесь и фишинговые сайты которых были указаны в измененном файле HOSTS.

/!\ Важно! После внесения изменений в файл HOSTS, следует перезапустить все открытые браузеры, а лучше всего, – перезагрузить компьютер.

Местоположение файла HOSTS

Модификацию файла HOSTS легко обнаружить. В поисках путей повышения скрытности своих действий, злоумышленники придумали изменять местоположение файла HOSTS. Путь к файлу HOSTS может быть изменен путем определения нового значения в ключе системного реестра DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N). Так Trojan.BAT.Delude.e создает собственный файл HOSTS в каталоге %WINDIR%\Help и устанавливает путь к нему в системном реестре, а Trojan-Downloader.Win32.Esepor.z устанавливает путь %WINDIR%\NSDB к файлу HOSTS.

hosts

Если в данном ключе прописан путь, отличный от %SystemRoot%\System32\drivers\etc, то проверьте файл HOSTS по указанному там пути, чтобы узнать, к каким сайтам имеет смысл менять пароли. Затем поменяйте путь на стандартный, а зловредный файл HOSTS удалите.

Проверка настроек DNS-серверов

Еще один метод фарминга заключается в указании DNS-серверов злоумышленника. Например, вредоносная программаTrojan.Win32.DNSChanger.pwf заменяет указанные в операционной системе DNS-сервера на DNS-сервера злоумышленников путем изменений в системном реестре.

Для обнаружения такого типа фарминг-атаки выполните команду:

ipconfig /all

которая выведет вам все настройки сетевых интерфейсов. Проверьте указанные там "DNS Servers" и сравните их с выданными вам вашим провайдером.
Если обнаружите, что DNS-сервера подменены, то восстановить корректные значения можно в настройках свойств TCP/IP.

по материалам habrahabr

rsync — памятка 

%> rsync -av user@IP:/remote/path/ /local/path2
# так скопируются файлы из /remote/path/ в /local/path2
%> rsync -av user@IP:/remote/path /local/path2
# а так - в /local/path2 будет каталог path

Ключи:

  • -a – "архивный режим" – сохранение атрибутов файлов (владелец, права и т.п.)
  • -z – компрессия (сжатие)
  • -v – вывод подробностей
  • —progress – показывать сколько осталось времени на передачу файла
  • -H – сохранить хардлинки
  • —exclude – исключить файлы (не передаваать), например, исключить каталог и файлы определенного типа:
    —exclude ‘- cgi-bin/*’ —exclude ‘*.tgz’

Налоговый кодекс

протест против НК

https://www.ustream.tv/channel/kat-ua1

Прямая трансляция с киевской Площади независимости (Майдана незалежності), народ протестует против нового Налогового кодекса.

Еще трансляция и комментарии на сайте https://live.comments.ua/

Только что закончился митинг возле администрации Президента, Янукович срочно уехал и митингующие перешли на Майдан.

По условиям митингующих, если новый НК (налоговый кодекс) не ветируют до 18:00, люди вернутся к администрации Президента.

Почтовые баталии

удаляйте спам оптом

Как удалить письмо из очереди писем? Или как удалить плохие письма, например, спамовые, из очереди писем?

Все зависит от почтовой программы. Просмотреть список писем (очередь) можно командой

mailq
Postfix

Письма, которые почтовая программа postfix не доставила (зависит от ваших настроек, количества отправляемых писем в час), можно быстро просмотреть так:

lynx -dump /var/spool/postfix/deferred/X/XYYYYYY

Идентификатор письма XYYYYYY можно увидеть  в выводе mailq. Соответственно, первая цифра или буква является именем подкаталога в каталоге deferred.

Для перекодировки письма в другую кодировку, к вышеуказанной команде можно добавить через пайп (|):

iconv -f utf-8 -t koi8-r -c
# -c - подавляет ошибки

Перезапустить всю очередь (обычно используется при внесении изменений в конфиг, сообщения начнут обрабатываться заново):

postsuper -r ALL

Если в очереди нет полезных писем, можно удалить всю очередь postfix:

postsuper -d ALL

Чтобы удалить конкретное письмо:

postsuper -d ИДЕНТИФИКАТОР_ПИСЬМА

Понятное дело, что, если в очереди сотни или тысячи плохих писем, то на таком удалении далеко не уедешь. Поэтому можно просто найти письма со спамом и удалить:

find /var/spool/postfix/deferred/ -name "*" -exec grep -i "LONASEX" {} \; \
| awk -F / '{print $7}' | awk '{print $1}' | postsuper -d -

Будут найдены и удалены письма, содержащие ключевое слово "LONASEX".

Удалить письма ошибок доставки можно так:

mailq | grep DAEMON | awk '{print $1}' | postsuper -d –
Читать далее

IDN шизофрения

Сервис nic.ua разослал уведомление своим клиентам:

Начинается второй этап регистрации кириллических доменов com.ua/kiev.ua

Вчера, 17 ноября 2010 года закончился первый этап приоритетной регистрации кириллических доменов в com.ua/kiev.ua. Второй этап регистрации начнется 19 ноября и продлится месяц. В течение этого времени пользователи смогут зарегистрировать IDN-домены сроком на 10 лет.

Уже завтра зарегистрировать свой домен смогут все желающие, наличие торговой марки при этом не требуется. Единственным условием является регистрация таких доменов на 10 лет.

Лично у меня IDN-домены вызывают гомерический хохот.

Вот вы бы набирали в браузере вася.com.ua?

Microsoft всерьез взялась за Россию

Steve Ballmer

Корпорация Майкрософт серьезно взялась за Россию. Сразу после визита главы компании Microsoft Стива Баллмера 2-го ноября (Steve Ballmer), на телевидении, в частности – на ВГТРК, развернулась настоящая травля продуктов компании Apple.

Первым вышел сюжет о том, какой плохой новый гаджет iPhone 4 от Apple(07.11.2010):

Затем последовал сюжет, где iPad просто выбросили в мусор:

Ходят также слухи, что это заказуха от Samsung.

Но, судя по всему, Баллмер просто наобещал золотые горы фонду Сколково 🙂