Главная
Блог разработчиков phpBB
 
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама

Как я bind`ом вирусы искал…

Anna | 29.05.2014 | нет комментариев

Ну сразу скажу, что не сами вирусы, а их активность, но тем ни менее открыл для себя много нового о том, куда “ходят” мои компьютеры, телефоны и планшет.
image
А дело было вечером, делать было нечего… Шел ливень, интеренет сомнительно тормозил, правда как бы 8 мегабит и все должно “летать”. Парк домашней техники, которая связанна с глобальной паутиной у меня маленький – неперемещаемый компьютер, ноутбук, планшет, спутниковый тюнер с линуксом, 3 телефона и дохленький сервачок-хеончик с debian и xen (на нем ещё с пятёрку непрерывно работающих виртуальных OC). Не много не немного, но непрерывно поддерживать, обновлять и проверять на вирусы все это хозяйство отнимает деньги (лицензионное ПО) и время, которого как неизменно нет. И в какой-то момент было принято решение всецело отказаться от антивирусов, а то их приобретай, обновляй… Да и субъективно тормозит с ними все…

С момента как я отказался от антивирусов прошло огромнее года. Все работает, все восхитительно, Но…«Ты ведешь хомячка? – А он есть!»

Я web программист, посему на сервере для себя настроил dns (bind9), в котором сотворил зону .dev для разработки ( оооочень комфортно, см [тыц]), а за одно и логирование включил, пускай будет на каждый случай. Адрес моего локального DNS-сервера раздаёт DHCP ADSL-модема как стержневой DNS-сервер сети.

И вот некогда я таки решил просмотреть, что ж там пишется в логах DNS сервера. Оказалось, что один из домашних компьютеров непрерывно стучится не осознай куда:

01-Nov-2013 23:11:03.128 queries: info: client 192.168.1.11#63500: query: yfp2lvdyye86s78.pp.ua IN A   (192.168.1.1)                                    
01-Nov-2013 23:11:04.138 queries: info: client 192.168.1.11#63500: query: yfp2lvdyye86s78.pp.ua IN A   (192.168.1.1)                   
01-Nov-2013 23:11:09.867 queries: info: client 192.168.1.11#58461: query: yfp2lvdyye86s78.free IN A   (192.168.1.1)             
01-Nov-2013 23:11:15.390 queries: info: client 192.168.1.11#52119: query: yfp2lvdyye86s78.ce.ms IN A   (192.168.1.1)                           
01-Nov-2013 23:11:21.006 queries: info: client 192.168.1.11#50737: query: yfp2lvdyye86s78.net IN A   (192.168.1.1)             
01-Nov-2013 23:11:26.512 queries: info: client 192.168.1.11#54267: query: 35pa1j6h47e1l7v.tk IN A   (192.168.1.1)    

Я верно туда не ходил, значит это кто-то иной. Была проведена профилактика вирусов, и подлинно был обнаружен зловред и “вылечен”. Здесь бы и сказочке конец, но на этом я не остановился. Захотелось больше велико и в комфортной форме проанализировать собранные логи DNS сервера, допустимо происходило что-то еще помимо моей свободы и желаний.

И бинго – меня сосчитали (как в том мультфильме). Я гляжу рекламу и меня настойчиво считают каждые счетчики. Безусловно, не для кого не секрет, что на большинстве сайтов установленные многообразнейшие счетчики посещаемости, метрики и помещена реклама, с различных рекламных площадок, есть даже LIKE соц. сетей, которых я даже не знаю. А для чего, что бы меня считали, показывали назойливую рекламу, для чего то, что мне не нужно? С этим нужно что-то делать.

Необходимо решить две задачи – провести обзор логов в комфортном виде, и заблокировать не надобные сайты (счетчики, рекламу и etc.), т.к. ставить на все компьютеры рекламорезалку как-то не выход, и интернет через прокси тоже не хотелось делать. Методов заблокировать множество, но для себя я предпочел подмену реального IP адреса DNS, моим локальным. То есть конфигурациями локального DNS.

С первым пунктом думалось, задач не будет. Все отменное написано до нас. Был обнаружен Дивный bash скрипт – умеющий показывать особенно посещаемые сайты разбирая логи и план на руби Bind log analyzer тот, что преобразовывает логи в mysql базу да еще и было заявлено, что в нем есть веб интерфейс для просмотров итогов. Так же по жгучим следам был обнаружен источник http://pgl.yoyo.org/adservers/ на котором как бы бы все есть, и списки доменов которые дозволено безболезненно запретить, и изложение как это сделать, но … Не знаю как в bind8, но bind9 крепко ругался на предложенную на том сайте пустую зону, а браузеры судорожно не завершали процесс загрузки страницы, пытаясь до грузить на страницу счетчики, рекламу, не понимая, где ж собака то покопалась.

1-й скрипт не подошел сразу т.к. логии были за пол года, ротации логов не было, и ко каждому прочему не был включен параметр для сохранения время обращения к DNS серверу. 2-й Bind log analyzer, в котором разбор логов настроить таки получилось, но веб интерфейс запустить так инее удалось. Пришлось велосипедить.

Источник: programmingmaster.ru

Оставить комментарий
Форум phpBB, русская поддержка форума phpBB
Рейтинг@Mail.ru 2008 - 2017 © BB3x.ru - русская поддержка форума phpBB