Разное

Это такой конечный итог )

Но начнем по маленькой....
(все что пока не нужно везде закоментировано, пхп пока выключен)
В hosts одна строка:

127.0.0.1         localhost

в httpd.conf

ServerRoot "D:/www/Apache2.2" Listen 80 LoadModule ...... куча всего <IfModule !mpm_netware_module>   <IfModule !mpm_winnt_module>     User daemon     Group daemon   </IfModule> </IfModule> <Directory />   Options All   AllowOverride All   Order allow,deny   Allow from all </Directory>

- это из общего (настройки модулей я опустил) и в конце:

<VirtualHost 127.0.0.1:80>   ServerAdmin webmaster@domain.ru   DocumentRoot c:/www/scripts/wap.ruchej.com   ServerName localhost </VirtualHost>

В итоге http://localhost/ работает, но в логе запуска апача ошибки:

httpd.exe: Could not reliably determine the server's fully qualified domain name, using 10.237.196.61 for ServerName [Sat Mar 03 21:51:28 2012] [notice] Apache/2.2.17 (Win32) configured -- resuming normal operations [Sat Mar 03 21:51:28 2012] [notice] Server built: Oct 18 2010 01:58:12 [Sat Mar 03 21:51:28 2012] [notice] Parent: Created child process 1376 httpd.exe: Could not reliably determine the server's fully qualified domain name, using 10.237.196.61 for ServerName httpd.exe: Could not reliably determine the server's fully qualified domain name, using 10.237.196.61 for ServerName [Sat Mar 03 21:51:29 2012] [notice] Child 1376: Child process is running [Sat Mar 03 21:51:29 2012] [notice] Child 1376: Acquired the start mutex. [Sat Mar 03 21:51:29 2012] [notice] Child 1376: Starting 64 worker threads. [Sat Mar 03 21:51:29 2012] [notice] Child 1376: Starting thread to listen on port 80.

Может это и не очень страшно, но хотелось бы чтоб вообще не было ошибок. Как выясняется все они рано или поздно вылазиют и не очень вовремя!
______
[UPD]
10.237.196.61 - это IP во внешней сети мегафона (см.аттач)

Ну от них избавиться можно только заведя в локальной сети DNS-сервер, если его нет и не планируется - терпите (может, конечно, есть какая-то хитрая директива, которая запрещать Apache его искать, но я что-то не припомню).

А Listen

# Change this to Listen on specific IP addresses as shown below to # prevent Apache from glomming onto all bound IP addresses. # #Listen 127.0.0.1:80

разве не за это отвечает?
__________
Подключаем второй виртуал-хост:
В hosts раскоментирую строку

127.0.0.2    localhost1

в httpd.conf

<VirtualHost 127.0.0.2:80>     ServerAdmin webmaster@may_domain.ru     DocumentRoot c:/www/scripts/d1m0k.ru/wap     ServerName localhost1 </VirtualHost>

Listen стоит по умолчанию: Listen 80
И все. Он уже рвется во внешнюю сеть и не находит никакого http://localhost1/

Хм... у вас Listen закомментирован, но даже если раскомментировать это все-равно не поможет... Apache при старте все-равно будет искать DNS-сервер на всякий случай.

Ну это первая часть вопроса была для общего развития. И перед тем как спросить, я раскоментировал и проверил и увидел что никак не влияет. Сейчас стоит Listen 80 и localhost1 не пашет.

Я тут несколько тем назад читал, что в апаче можно все восстановить без переустановки..... Но может все-таки переустановить попробовать?

Учитывая вот эту тему http://softtime.ru/forum/read.php?id_forum=2&id_theme=85486, я бы переставил бы... есть у меня большие подозрения в сторону антивируса - они вот так вот любят блокировать файлы, да еще мало того зараза заблокирует, запомнит и при рестарте компьютера снова заблокирует... Поэтому новая инсталляция Apache (может даже в другой папке) лишней в данной ситуации не будет (я бы даже вяло думал бы в сторону переустановки операционной системы).

> есть у меня большие подозрения в сторону антивируса
Антивирус вырубился. Обнаружил сброс триала ))))

> новая инсталляция Apache лишней в данной ситуации не будет
ваще такое ощущение, что отвалился файл hosts, а не апач.... Апач довольно адекватно себя ведет.... А вот на изменения хостс нет никакой реакции. Ниче про его отвал, блокировку или замену какой-то нестандартной альтернативой не слышали?

> я бы даже вяло думал бы в сторону переустановки.....
Вот тока не надо!.... Не произносите в мой адрес таких слов )))) Меня кандрашка сразу накрывает ((((
_______
[UPD]
> Учитывая вот эту тему ......
И я как дурак пошел читать, что же это там за тема такая =)))))

>Ниче про его отвал, блокировку или замену какой-то нестандартной альтернативой не слышали?
Да нет, работает как надо... они (Microsoft) его заменить не смогут, он уж лет 15, если не больше не меняется... это же UNIX-файл, они его вынуждены были реализовать, так как им нужен был POSIX-статус, а значит берклеевские сокеты, которые они назвали WinSock. Поэтому вместо реестра, директория etc и файл hosts... это же очень не характерно для Windows, у них идеология другая, но тут они были вынуждены сделать все так, как в UNIX. Поэтому файл hosts лет 40 еще будет на этом месте находиться, как он до этого столько же в UNIX был...

>Меня кандрашка сразу накрывает ((((
Сам еще до сих пор после последней установки машину никак не обустрою :-((( Хотел SSD-диск заводить, но теперь принял твердое решение, что даже связываться не буду, пока 240Гб не будет стоить столько же, сколько сейчас 120Гб. Иначе опять эту волынку с обустройством по-новой начинать (только теперь еще думать, как в 80Гб убраться).

> Да нет, работает как надо... они (Microsoft) его заменить не смогут
Я имел ввиду не "чем бы мне его заменить?", а "не мог ли вирус заставить систему его игнорировать?"

Уже и секцию в реестре нашел в которой к этому hosts путь прописывается - все нормально
Уже и помониторил обращения к этому hosts - каждую секунду его svchost.exe дергает
Уже и в IPv6 попытался прописать
И в настройки подключения слазил
И кеш ДНС почистил
Всерн на http://localhost1/ прется в сеть (((

Ну в общем вот такие пляски с бубном......
- Полный снос каспера
- редактирование туда-обратно в непонятном порядке секций реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

- беспорядочное редактирование hosts и httpd.conf
- и миллион перезагрузок винды после каждого изменения!

И вдруг - О ЧУДО!!!
В c:\Windows\System32\drivers\etc появился (!!!) файл host7!
Я его переместил в папочку temp и его снова не видно ( Нигде! Ни поиском, ни эксплорером, ни тоталом. Но содержимое у него было по типу hosts тока редирект альфа-банка и сбербанка на их IP. После его перемещения все заработало как по часам!

Теперь вопрос как его по новой найти и как бы кого-нибудь наказать? Ведь это они пытались подменить своим сервером банковские сайты! При чем я видел эти редиректы в ipconfig /displaydns, но не мог понять откуда это.

Я бы Windows все-таки переставил бы... а сейчас в ipconfig /displaydns что-нибудь подозрительное есть?

> Я бы Windows все-таки переставил бы
C какой целью? Похоронить неделю драгоценного времени? )

> а сейчас в ipconfig /displaydns что-нибудь подозрительное есть?
Нет, все четко по hosts.

Я так понимаю host7 - это файл чисто семерки (хотя еще не загуглил и не почитал), который смотрится раньше (а может и вместо) hosts. По крайней мере ни одного прямого упоминания о нем в реестре не существует. Значит это какое-то вшитое в систему имя. Думаю будет не лишним создать его ручками и продублировать в нем содержимое hosts и следить за ним также как за hosts.

Кстати, отличался этот файл от hosts тем, что начинался со строки - просто какой-то бессвязный набор латинских букв и заканчивался такой же фигней но с другим набором. И ввиду его таинственного исчезновения возникает вопрос: А не существует каких-то самоудаляющихся файлов или управляющих бинарных строк активирующихся при просмотре или еще чего-то такого?.. Я понимаю, звучит как бред, но и логичного объяснения этому феномену я не вижу.

Я если честно, что-то даже упоминания не могу найти об этом файле...

>А не существует каких-то самоудаляющихся файлов или управляющих бинарных строк
>активирующихся при просмотре или еще чего-то такого?..
Существует, конечно, на уровне ядра кой чего такое, иначе как пользователей огородить от просмотра того, что им не положено. Но вообще hosts - это священная корова для всех операционных систем. Может что-то и ввели... но пока не готов по архитектуре Windows7 что-то категорично заявлять.

ВОТ ЭТО ПРИКОЛ !!!!

Дай, думаю, перестрахуюсь, сделаю то, о чем писал выше. И сделал.
Забэкапил на всякий случай hosts и переименовал оригинал в host7.
И что бы вы думали произошло??? Вот угадайте?

ОН ИСЧЕЗ! ))) Уличная магия, блин!
А на месте переименованного hosts тут же вырос новый с размером 0.
Но при этом ipconfig /displaydns показывает все мои локалхосты как будто в hosts они прописаны!

Как вам это? У меня на лоб глаза полезли!

-------------------------------------

Я конечно боюсь быть посланным куда подальше, но все же.... Не могли бы вы у себя попробовать такую манипуляцию провести? Надо бы узнать нормальное это поведение или у меня где-то вирус под системный процесс замаскировался. Плиииииз )

Ха. А вот и описание )

Но это не отменяет предыдущую просьбу. Т.к. ни первого ни второго файла из статьи я не вижу. И в автозагрузке тоже ниче лишнего (
Все, выловил окончательно! Ща опишу.

В общем файл у меня назывался c:\windows\wetux.sys
Он и подключал host7 как hosts и скрывал его и себя.
Но подключался как-то не сразу, поэтому после ребута удалось его выловить и переименовать.
Прописывался он в реестре в секциях

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\newdriver HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\newdriver

Короче убил эти две секции, ребут.
host7 стал виден и в etс и в temp появился тот первый, ради которого все и писалось. Вот его содержимое

CvV5FG55v 31.184.242.84 sbrf.ru 31.184.242.84 www.sbrf.ru 31.184.242.84 esk.sbrf.ru 31.184.242.84 www.esk.sbrf.ru 31.184.242.84 esk.zubsb.ru 31.184.242.84 www.esk.zubsb.ru 31.184.242.92 www.click.alfabank.ru 31.184.242.92 click.alfabank.ru 31.184.242.92 www.alfabank.ru 31.184.242.92 alfabank.ru VVV66NBNb

но локалхосты еще работали....
Потом

ipconfig /flushdns

и все локалхосты прописанные в host7 работать перестали.
Теперь убиваем host7, убиваем c:\windows\wetux.sys, восстанавливаем hosts. Все работает )))

КОНЕЦ!

Круто вы выловили его выловили... вам похоже и антивирус не нужен :))), тем более, что он со своими функциями явно хуже вас справляется.

PS Тему переименую и перетащу обратно в Разное.

Да, я заметил. Тока не hosts7, а host7
______
И вот скажите, возвращаясь к родительской теме, файервол (без антивиря) на это как-нибудь реагировал бы? Ведь все делалось через оперу, которой, например, разрешена любая сетевая активность.

>Да, я заметил. Тока не hosts7, а host7
Поправлено.

>И вот скажите, возвращаясь к родительской теме, файервол (без антивиря) на это как-нибудь
>реагировал бы? Ведь все делалось через оперу, которой, например, разрешена любая сетевая
>активность.
Да, если бы был включен AntiLeak и настройка "Загружать драйвер" установлена в "Спрашивать". Он бы обязательно бы спросил вас, что вот дескать кто-то хочет загрузить драйвер, согласны или нет? Если бы вы ничего не ответили или нажали "нет", то и не разрешил бы этого.

Впрочем если бы был включен UAC, в указанные ключи реестра не пробиться бы было... это вам пришлось бы Opera из под администратора запускать, чтобы вирус смог там прописаться, а он скорее всего даже не пытается, если прав нет... В этом, кстати, большая проблема многих старых программ, они в тихую пытаются установиться туда, куда UAC теперь не пускает, запуск их из под администратора ничего не дает, так как они параллельные процессы запускают без наследования прав доступа: прав нет - ничего не пропишешь, нужно UAC отключать, чтобы поставить.

усё понятно. Сам значит дурак. И каспер тоже молодец.

Сделал (из под администратора), у меня не пропал, новый не создался (чему я несказанно рад :).

Все-таким мне кажется вы видите живой руткит, и он еще не выковырян с вашей машины, я так понимаю там еще черный ход должен быть, через который скрытый hosts7 должен регулярно правиться/обновляться с сайта-координатора.

Как думаете Apache

Stable Release - Latest Version: 2.4.1 (released 2012-02-21)

стоит устанавливать?
______
[UPD] Снят вопрос. Там Win Binary еще нет.