تهدید dns unlocker
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
آقای نفیسی طوری میگید مشکل از آی اس پی ماست که انگار من از بقال سر کوچه اینترنت گرفتم، اینطور که شما میگید کل اینترنت کشور رو هواست که. سوالی که واسم پیش میاد اینه که اگه فرض شما درست باشه، چرا وقتی متوالیا رکویست ارسال میشه مثلا ده ریکویست با فاصله زمانی بسیار اندک از هم، ما پشت سر هم اسکریپت با کد آلوده رو دریافت نمیکنیم؟ اگه به قول شما کش شده باشه باید هر ده بار پشت سر هم همون اسکریپت برگرده، اینطور نیست؟ بعد اینی که گفتید رو تحقیق کردید یا برداشت شخصی خودتون بود؟چون هیچ مکانیزم کشی اینطوری من ندیدم که حتی وقتی هدر کش کنترل ست میشه کانتنت کش شده بر گردونه اونم از یه آی پی متفاوت. بازم عرض میکنم اگه کشی در کار باشه انتظار میره چندین ریکویست که به فاصله چند میلی ثانیه از هم ارسال میشه همگی یا اکثرا یک کانتنت داشته باشه نه اینکه از ده تاش یکیش حاوی کد آلوده باشه و مابقی سالم
[quote="Naficy"]راه حذف بدافزار DNS Unlocker
حذف بدافزار سه مرحله دارد:
۱- پاک کردن کامپیوتر از آلودگی بدافزار:
برای این کار سیستم خود را با پادویش، ADWCleaner یا هر ابزار ضدتبلیغافزار دیگر اسکن و تمیز کنید.
۲- به تنظیمات DNS سیستم خود سر زده و آنها را به حالت خودکار تغییر دهید.
میتوانید از این آموزش استفاده کنید فقط در مرحله آخر گزینه Obtain DNS Server Address automatically را انتخاب کنید.
۳- پاک کردن کش مرورگر
در این مرحله باید کش Firefox/Chrome/IE یا هر مرورگری که استفاده میکنید را پاک کنید. (در کروم و فایرفاکس کلید Ctrl+Shift+Del را بزنید و دقت کنید گزینههای مربوط به Cache تیک خورده باشند)
همچنین میتوانید این راهحل تصویری را مطالعه و دنبال کنید. (راهنمای مرکز ماهر)
راه جلوگیری از تبلیغات بدافزار DNS Unlocker
اگر بعد از انجام مراحل بالا بدافزار دوباره بازگشت؛ احتمال دارد کش ISP که اینترنت را از آن خریدهاید دچار مشکل شده است.
برای رفع این مساله میتوانید IP سایت www.google-analytics.com را به طور کامل ببندید:
۱- به فولدر C:\Windows\System32\Drivers\etc\ بروید و فایل hosts را روی دسکتاپ خود کپی کنید.
۲- برنامه notepad را باز کرده و فایل hosts روی دسکتاپ را به روی notepad بکشید تا باز شود.
۳- یک سطر به انتهای فایل اضافه کنید:
۴- فایل را ذخیره کنید و سپس به محل اصلی بازگردانید. (از فایل قبلی یک نسخه نگهدارید که اگر لازم شد بتوانید آن را بازگردانید)[/QUOTE]
جناب مهندس در روش اول برنامه پیغام میده که چیزی روی سیستم من پیدا نکرده
dns رو هم تغییر دادم
بنابراین روش اول جواب نداد
روش دوم درست متوجه نشدم البته یه مقداریش رو انجام دادم ولی نمیدونم دارم درست انجام میدم یا خیر
جناب مهندس من چند بار ویندوز عوض کردم باز برطرف نشده :-(
حذف بدافزار سه مرحله دارد:
۱- پاک کردن کامپیوتر از آلودگی بدافزار:
برای این کار سیستم خود را با پادویش، ADWCleaner یا هر ابزار ضدتبلیغافزار دیگر اسکن و تمیز کنید.
۲- به تنظیمات DNS سیستم خود سر زده و آنها را به حالت خودکار تغییر دهید.
میتوانید از این آموزش استفاده کنید فقط در مرحله آخر گزینه Obtain DNS Server Address automatically را انتخاب کنید.
۳- پاک کردن کش مرورگر
در این مرحله باید کش Firefox/Chrome/IE یا هر مرورگری که استفاده میکنید را پاک کنید. (در کروم و فایرفاکس کلید Ctrl+Shift+Del را بزنید و دقت کنید گزینههای مربوط به Cache تیک خورده باشند)
همچنین میتوانید این راهحل تصویری را مطالعه و دنبال کنید. (راهنمای مرکز ماهر)
راه جلوگیری از تبلیغات بدافزار DNS Unlocker
اگر بعد از انجام مراحل بالا بدافزار دوباره بازگشت؛ احتمال دارد کش ISP که اینترنت را از آن خریدهاید دچار مشکل شده است.
برای رفع این مساله میتوانید IP سایت www.google-analytics.com را به طور کامل ببندید:
۱- به فولدر C:\Windows\System32\Drivers\etc\ بروید و فایل hosts را روی دسکتاپ خود کپی کنید.
۲- برنامه notepad را باز کرده و فایل hosts روی دسکتاپ را به روی notepad بکشید تا باز شود.
۳- یک سطر به انتهای فایل اضافه کنید:
کد: انتخاب همه
0.0.0.0 www.google-analytics.comجناب مهندس در روش اول برنامه پیغام میده که چیزی روی سیستم من پیدا نکرده
dns رو هم تغییر دادم
بنابراین روش اول جواب نداد
روش دوم درست متوجه نشدم البته یه مقداریش رو انجام دادم ولی نمیدونم دارم درست انجام میدم یا خیر
جناب مهندس من چند بار ویندوز عوض کردم باز برطرف نشده :-(
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
درست گفتید آقای نفیسی، حتی با آی پی تابناک هم ریزالت بر میگردونه، خب میدونید اگه هر جای دیگه دنیا بود من کاربر اینترنت یا مدعی العموم میتونست با تنظیم شکایت نامه از آی اس پی ها به خاطر ضرر و زیانی که به میلیون ها ایرانی وارد شده در این موضوع تنظیم دادخواست بکنه، سرویس دهنده های اینترنت ایران به خاطر سودجویی با پیاده سازی چنین مکانیزم کش معیوبی باعث شدن هزاران کاربر بیگناه که سیستمشون آلوده نبوده و گناهی هم نداشتن، مورد سوء استفاده و ضرر و زیان قرار بگیرن. اما الان چیکار کنیم؟ از ارتباطات زیر ساخت شکایت کنیم؟ توقع میره مرکز ماهر به عنوان متولی امر در کشور ضمن پیگیری اصولی این موضوع از مراجع ذی صلاح مانع از تکرار وقوع چنین فجایعی بشه نه اینکه شما به کاربران توصیه کنید گوگل آنالیتیکز رو کلا ببندن.
الان من نوعی فهمیدم که میتونم یه هاست و یه dns سرور در خارج کشور راه بندازم و با فرستادن هزاران درخواست به اون آی پی با سرور نیم گوگل و یا مایکروسافت و باز گردوندن هر محتوای دلخواه، به واسطه این کش معیوب هزاران کاربر آی اس پی خودم رو فریب بدم و هر سایتی که میخوام از گوگل گرفته تا مایکروسافت رو جعل کنم و حملات فیشینگ و غیره انجام بدم.
الان من نوعی فهمیدم که میتونم یه هاست و یه dns سرور در خارج کشور راه بندازم و با فرستادن هزاران درخواست به اون آی پی با سرور نیم گوگل و یا مایکروسافت و باز گردوندن هر محتوای دلخواه، به واسطه این کش معیوب هزاران کاربر آی اس پی خودم رو فریب بدم و هر سایتی که میخوام از گوگل گرفته تا مایکروسافت رو جعل کنم و حملات فیشینگ و غیره انجام بدم.
[quote="علیرضا حسنی"]درست گفتید آقای نفیسی، حتی با آی پی تابناک هم ریزالت بر میگردونه، خب میدونید اگه هر جای دیگه دنیا بود من کاربر اینترنت یا مدعی العموم میتونست با تنظیم شکایت نامه از آی اس پی ها به خاطر ضرر و زیانی که به میلیون ها ایرانی وارد شده در این موضوع تنظیم دادخواست بکنه، سرویس دهنده های اینترنت ایران به خاطر سودجویی با پیاده سازی چنین مکانیزم کش معیوبی باعث شدن هزاران کاربر بیگناه که سیستمشون آلوده نبوده و گناهی هم نداشتن، مورد سوء استفاده و ضرر و زیان قرار بگیرن. اما الان چیکار کنیم؟ از ارتباطات زیر ساخت شکایت کنیم؟ توقع میره مرکز ماهر به عنوان متولی امر در کشور ضمن پیگیری اصولی این موضوع از مراجع ذی صلاح مانع از تکرار وقوع چنین فجایعی بشه نه اینکه شما به کاربران توصیه کنید گوگل آنالیتیکز رو ببندن.
الان من نوعی فهمیدم که میتونم یه هاست و یه dns سرور در خارج کشور راه بندازم و با فرستادن هزاران درخواست به اون آی پی با سرور نیم گوگل و یا مایکروسافت و باز گردوندن هر محتوای دلخواه، به واسطه این کش معیوب هزاران کاربر آی اس پی خودم رو فریب بدم و هر سایتی که میخوام از گوگل گرفته تا مایکروسافت رو جعل کنم و حملات فیشینگ انجام بدم.[/QUOTE]
آقای مهندس امکانش هست یه اکرین شات از نحوه حذف گوگل آنالیتیکال در هاست بزارید
مرسی
الان من نوعی فهمیدم که میتونم یه هاست و یه dns سرور در خارج کشور راه بندازم و با فرستادن هزاران درخواست به اون آی پی با سرور نیم گوگل و یا مایکروسافت و باز گردوندن هر محتوای دلخواه، به واسطه این کش معیوب هزاران کاربر آی اس پی خودم رو فریب بدم و هر سایتی که میخوام از گوگل گرفته تا مایکروسافت رو جعل کنم و حملات فیشینگ انجام بدم.[/QUOTE]
آقای مهندس امکانش هست یه اکرین شات از نحوه حذف گوگل آنالیتیکال در هاست بزارید
مرسی
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="upm1051"]آقای مهندس امکانش هست یه اکرین شات از نحوه حذف گوگل آنالیتیکال در هاست بزارید
مرسی[/QUOTE]
البته بنده این راه رو به هیچ وجه توصیه نمیکنم، چون کم کم ممکنه مجبور شید به مرور زمان خود گوگل و مایکروسافت و تابناک و سایت های دیگه رو هم ببندید. مشکل اصلی جای دیگست و اونجا باید اصلاح شه، گیریم من و شما و پنج نفر دیگه هم که این تاپیک رو میخونن گوگل آنالیتیکزشون رو بستن، میلیون ها کاربر دیگه چی؟
ولی موقتا همین روش که آقای نفیسی گفتن توضیح کاملی بود، شما باید خط زیر رو
0.0.0.0 www.google-analytics.com
به محتوای فایل hosts که در آدرس زیر هست
C:\Windows\System32\Drivers\etc
اضافه کنید، ولی چون فایل پروتکت شده سیستم عامل هست مستقیما نمیتونید ویرایشش کنید ناچارا باید فایل hosts رو در هر مسیر دلخواه مثلا روی دسکتاپ کپی کنید، بعد ویرایشش کنید و خط مورد نظر رو اضافه کنید و سیو کنید و بعد فایل ویرایش شده رو دوباره در مسیر اصلی یعنی
C:\Windows\System32\Drivers\etc
کپی کنید. حتما یک نسخه پشتیبان هم قبل از تغیر ازش تهیه کنید که در صورت لزوم به حالت اولیه برش گردونید وگرنه کلا دیگه هیچ وقت گوگل آنالیتیکز برای شما در دسترس نخواهد بود
مرسی[/QUOTE]
البته بنده این راه رو به هیچ وجه توصیه نمیکنم، چون کم کم ممکنه مجبور شید به مرور زمان خود گوگل و مایکروسافت و تابناک و سایت های دیگه رو هم ببندید. مشکل اصلی جای دیگست و اونجا باید اصلاح شه، گیریم من و شما و پنج نفر دیگه هم که این تاپیک رو میخونن گوگل آنالیتیکزشون رو بستن، میلیون ها کاربر دیگه چی؟
ولی موقتا همین روش که آقای نفیسی گفتن توضیح کاملی بود، شما باید خط زیر رو
0.0.0.0 www.google-analytics.com
به محتوای فایل hosts که در آدرس زیر هست
C:\Windows\System32\Drivers\etc
اضافه کنید، ولی چون فایل پروتکت شده سیستم عامل هست مستقیما نمیتونید ویرایشش کنید ناچارا باید فایل hosts رو در هر مسیر دلخواه مثلا روی دسکتاپ کپی کنید، بعد ویرایشش کنید و خط مورد نظر رو اضافه کنید و سیو کنید و بعد فایل ویرایش شده رو دوباره در مسیر اصلی یعنی
C:\Windows\System32\Drivers\etc
کپی کنید. حتما یک نسخه پشتیبان هم قبل از تغیر ازش تهیه کنید که در صورت لزوم به حالت اولیه برش گردونید وگرنه کلا دیگه هیچ وقت گوگل آنالیتیکز برای شما در دسترس نخواهد بود
[quote="علیرضا حسنی"]البته بنده این راه رو به هیچ وجه توصیه نمیکنم، چون کم کم ممکنه مجبور شید به مرور زمان خود گوگل و مایکروسافت و تابناک و سایت های دیگه رو هم ببندید. مشکل اصلی جای دیگست و اونجا باید اصلاح شه، گیریم من و شما و پنج نفر دیگه هم که این تاپیک رو میخونن گوگل آنالیتیکزشون رو بستن، میلیون ها کاربر دیگه چی؟
ولی موقتا همین روش که آقای نفیسی گفتن توضیح کاملی بود، شما باید خط زیر رو
0.0.0.0 www.google-analytics.com
به محتوای فایل hosts که در آدرس زیر هست
C:\Windows\System32\Drivers\etc
اضافه کنید، ولی چون فایل پروتکت شده سیستم عامل هست مستقیما نمیتونید ویرایشش کنید ناچارا باید فایل hosts رو در هر مسیر دلخواه مثلا روی دسکتاپ کپی کنید، بعد ویرایشش کنید و خط مورد نظر رو اضافه کنید و سیو کنید و بعد فایل ویرایش شده رو دوباره در مسیر اصلی یعنی
C:\Windows\System32\Drivers\etc
کپی کنید. حتما یک نسخه پشتیبان هم قبل از تغیر ازش تهیه کنید که در صورت لزوم به حالت اولیه برش گردونید وگرنه کلا دیگه هیچ وقت گوگل آنالیتیکز برای شما در دسترس نخواهد بود[/QUOTE]
اینجوری اضافه کنم صحیح هست ؟
localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# 0.0.0.0 www.google-analytics.com
ولی موقتا همین روش که آقای نفیسی گفتن توضیح کاملی بود، شما باید خط زیر رو
0.0.0.0 www.google-analytics.com
به محتوای فایل hosts که در آدرس زیر هست
C:\Windows\System32\Drivers\etc
اضافه کنید، ولی چون فایل پروتکت شده سیستم عامل هست مستقیما نمیتونید ویرایشش کنید ناچارا باید فایل hosts رو در هر مسیر دلخواه مثلا روی دسکتاپ کپی کنید، بعد ویرایشش کنید و خط مورد نظر رو اضافه کنید و سیو کنید و بعد فایل ویرایش شده رو دوباره در مسیر اصلی یعنی
C:\Windows\System32\Drivers\etc
کپی کنید. حتما یک نسخه پشتیبان هم قبل از تغیر ازش تهیه کنید که در صورت لزوم به حالت اولیه برش گردونید وگرنه کلا دیگه هیچ وقت گوگل آنالیتیکز برای شما در دسترس نخواهد بود[/QUOTE]
اینجوری اضافه کنم صحیح هست ؟
localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# 0.0.0.0 www.google-analytics.com
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="upm1051"]آخه تو فایل هاست همه با # شروع میشن
[ATTACH=CONFIG]353[/ATTACH][/QUOTE]
علامت # ابتدای خط را بردارید. (محتوای خط دقیقا مقداری باشد که بیان کردم)
گذاشتن # اول خط باعث میشود که خط بیتاثیر شود.
علت اینکه تمام خط های دیگر فایل # دارند این است که این خطها صرفا توضیحات هستند و قرارست بیتاثیر باشند.
یعنی چنین فایلی داشته باشید:
[ATTACH=CONFIG]353[/ATTACH][/QUOTE]
علامت # ابتدای خط را بردارید. (محتوای خط دقیقا مقداری باشد که بیان کردم)
گذاشتن # اول خط باعث میشود که خط بیتاثیر شود.
علت اینکه تمام خط های دیگر فایل # دارند این است که این خطها صرفا توضیحات هستند و قرارست بیتاثیر باشند.
یعنی چنین فایلی داشته باشید:
کد: انتخاب همه
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
0.0.0.0 www.google-analytics.com
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
آقای نفیسی از کجا میشه مطمئن بود این کش داره سمت آی اس پی اتفاق میفته، چندین مورد مشکوک وجود داره به ترتیب ذکر میکنم:
1- همون مورد که پیشتر ذکر شد، چرا درخواست های پشت سر ریزالت یکسان نداره و مثلا در ده ریکویست ارسالی پشت سر هم به فاصله یک ثانیه، فقط ریکویست پنجم جواب همراه با کد آلوده میگیره.
2-
من هر چی ریکویست زیر رو میزنم
جوابهای زیر رو میگیرم
ثانیه ای یک بار میزنم و ثانیه ای یک بار مقدار Date در هدر بازگشتی افزایش پیدا میکنه، از طرفی سرچ کردم سرور Golfe2 گویا تنها توسط گوگل استفاده میکنه و بعیده کش سروری در سمت آی اس پی از سرور Golfe2 استفاده کنه که نظریه کش شدن سمت آس اس پی رو دچار تردید میکنه.
3:در خواست زیر به آی پی 173.194.113.39
بازم حداقل در یک مورد به من کد آلوده رو برگردوند در حالی که ارسال این درخواست به آی پی تابناک با پیام 404 همراه بود که نشون میده کش سرور سمت آی اس پی من حداقل به Pragma: no-cache واکنش مناسب میده.
من فکر میکنم کش طرف آی اس پی مسبب بروز این مشکل شاید نباشه. بهتر نیست دقیق تر آنالیز بشه این مورد؟
1- همون مورد که پیشتر ذکر شد، چرا درخواست های پشت سر ریزالت یکسان نداره و مثلا در ده ریکویست ارسالی پشت سر هم به فاصله یک ثانیه، فقط ریکویست پنجم جواب همراه با کد آلوده میگیره.
2-
من هر چی ریکویست زیر رو میزنم
کد: انتخاب همه
GET /ga.js HTTP/1.1
Host: www.google-analytics.com
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Referer: http://static.addtoany.com/menu/sm13.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8کد: انتخاب همه
HTTP/1.1 200 OK
Cache-Control: public, max-age=7200
Content-Length: 43082
Content-Type: text/javascript
Server: Golfe2
Expires: Wed, 30 Sep 2015 11:03:11 GMT
Last-Modified: Thu, 10 Sep 2015 10:52:20 GMT
Connection: keep-alive
Date: Wed, 30 Sep 2015 08:59:12 GMT3:در خواست زیر به آی پی 173.194.113.39
کد: انتخاب همه
GET /ga.js HTTP/1.1
Host: www.google-analytics.com
Connection: keep-alive
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Referer: http://static.addtoany.com/menu/sm13.html
Cache-control: no-cache
Pragma: no-cache
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8من فکر میکنم کش طرف آی اس پی مسبب بروز این مشکل شاید نباشه. بهتر نیست دقیق تر آنالیز بشه این مورد؟