порно-баннер в ubuntu (admotionblock)

[Platon]

выяснить IP ресурса с которого лезит баннер и прописать его в запретительных правилах программного(на уровне ОС)/аппаратного(на уровне роутера) фаервола.

[NextFloor]

Каким образом выяснить? Я набираю, допустим, bash.org.ru - появляется порнобаннер - с т.з. компьютера порнобаннер идёт с башорга.
Пробил tracepath bash.org.ru вывод:
  1:  Rose.local                                            0.210ms pmtu 1500
 1:  my.router                                             4.587ms
 1:  my.router                                             2.502ms
 2:  ********.broadband.corbina.ru                      17.625ms pmtu 1400
 2:  no reply
 3:  no reply
 4:  ko-crs-be5.corbina.net                               25.500ms asymm  6
 5:  tc-bb-ae1.corbina.net                                24.800ms asymm  6
 6:  corbina-gw-140G.mx01.stockholm.gldn.net              24.524ms  //подозрительно, почему стокгольм?
 7:  jun-tc2.leaseweb.net                                 51.884ms asymm  6  //какой-то левый хостинг
 8:  te4-3.sr10.evo.leaseweb.net                          54.564ms asymm  7
 9:  bash.org.ru       

Забанил leaseweb.net на роутере. Ничего не поменялось. Вообще, если где-то по пути есть сервак, который меняет пакеты, его никак не найти и не определить по айпишнику.

Выяснилось, что порнобаннер проявляется на всех компах, как и ожидалось.  Попробовал отключить роутер/вкл роутер без вайфая - баннеров не вылезало. Может быть только совпадение - они обычно никак не проявляются, но потом начинают идти пачками, но при этом не на каждом сайте - на всяких гуглах никогда не появляются. Из-за этого трудно сходу понять, что помогает, а что нет.
Попробовал также сменить пароль на впн билайна и пароль на WiFi - не помогло.

[ArcFi]

Каким образом выяснить?

wireshark

[roco.constantin.b]

Видел такую вещь на винде. Лечилась она полным удалением явы, вместе с браузером с конфигами. Но как раз в хроме проблемы не было замечено. Подцепилась она на ИЕ, фокс и оперу, а хром устоял.
Пользователь решил продолжить мысль 15 Марта 2013, 00:40:41:я думаю что лежит эта вещь в $HOME/.java (но могу ошибаться)
в общем можно создать нового пользователя и копировать директории с зараженного пока не появится банер
но в 1-ю очередь .config или .java или в .local

[Platon]

Если бяка лезит через подмену DNS, то поменять DNS на гугловские

[Freezeman]

Так а картинки с каких адресов грузятся?
Пользователь решил продолжить мысль 16 Марта 2013, 13:55:34:

Такая же фигня на компе. Система - Linux Mint. Конечно минт - это не Ubuntu, но тем не менее. Скриншоты прилагаю. Баннеры появляются рандомно, на скриншотах самые "невинные" из них, как правило занимают полэкрана. Поражен как фаерфокс, так и опера, которой почти не пользовался. Никогда не появляются на известных сайтах: google, youtube  и.т.п. С завидной регулярностью появляются на баше. Простая переустановка фаерфокса ни к чему не привела. Чистка /home/username/.mozilla удалением оной - тоже. /etc/skel/.mozilla/; /opt/mozilla - аналогично. Все плагины отключены. На опере вообще всё по нулям - ничего стороннего.

Всегда ссылка на or.ru?

[Лерыч]

подпишусь

Чтобы подписаться на тему, не обязательно тут писать "подпишусь". Есть же такая волшебная кнопочка вверху и внизу страницы — "Уведомлять"!
Ваш К.О.

(Нажмите, чтобы показать/скрыть)

Ну вот и я подписался.

[Platon]

DNS-Chahger check
DNS check-list(перечень сайтов сервисов проверки на инфекцирование DNSChanger)

[x1233]

Вот, у меня после 7-10 дней перерыва опять лезет баннер (см. скриншот).

Причём:
* включен пресловутый adblock - как я говорил, он тут не при чём, но хоть в gmail рекламу убирает
* c DNS всё ок (ссылки из предыдущего поста отрабатывают нормально).

Имхо, это какой-то червь, использующий разные технологии и подмена DNS - лишь одна из них...

[victor00000]

JavaScript.js честно пионер. ))

[Freezeman]

Покажите дом-дерево, где вылазит бяка.

[Spect]

Лерыч - уведомления  приходят на почту, непосредственно на форуме не отражает Подпишусь.

[altwazar]

Последний раз когда сталкивался с всплывающими порноокнами проблема оказалась в аддоне Vkontakte tools.

[NextFloor]

DNS-Chahger check

перешел по ссылке - никаких проблем не нашлось
connection information  в network manager говорит, что у меня сейчас 8.8.8.8 dns
Впрочем, с момента моего предыдущего поста никаких баннеров у меня не появлялось и никакой подозрительной активности замечено не было, причём я специально тестил на самых полюбившихся баннерам сайтах (башорг в частности) и ничего. Не знаю, может и правда умерли от моих предыдущих манипуляций, каких-нибудь (я их все здесь озвучивал), но надежда слабая. Скорее всего сами отвалились по какой-либо причине, либо ещё вернутся. Соответственно, увы, никакие предположения по излечению проверить я сейчас не смогу.

Всегда ссылка на or.ru?

нет, разные баннеры появлялись, примерно 3 разных ресурса, но or.ru среди них не было, или по крайней мере я его не заметил

Если бяка лезит через подмену DNS, то поменять DNS на гугловские

в роутере 2 поля для ДНС изменение первого не помогало, изменение 2-го - приводило к обрыву соединения с инетом вообще. Попробовал без ДНС - добился коннекта методом прямого указания адреса, но баш.орг и другие известные мне доверенные ресурсы, облюбованные баннерами, в таком режиме не работали. Измнение на компе положительных результатов не дало. Повторюсь, сейчас баннеров не наблюдается.

Последний раз когда сталкивался с всплывающими порноокнами проблема оказалась в аддоне Vkontakte tools.

Все аддоны были отключены либо вообще отсутствовали. Такого аддона установлено не было, более того, проблема вообще проявлялась в том числе из-под лайв-юсб, где все чисто по определению. Я даже записывал лайв-флешку из-под доверенного компа, таких проблем не имевшего (у него и провайдер другой).

[tty2]

Зловред обнаружился на Win 7.
Согласно этой статье показ банера происходит после модификации кода браузера.
После смены DNS доступ к редирект-сайту-обманке (в нашем случае a.ru) был возможен только из браузера. Из терминала он не лукапился (nslookup).
Решением было:

• отключить интернет
• удалить все браузеры из системы
• установить браузер
• ограничить права рабочей учетки до "пользователя"

После проделанного троян скорее мертв чем жив. Сайты отображаются без банеров. Работа только из под ограниченной учетки исключает модификацию зловредами системных файлов.