Jump to content

Электронное правительство

casperrr

By casperrr
in У нага

 Share

Recommended Posts

casperrr

casperrr

Posted
Posted

По мотивам c хабра.

 

Действительно, с сети 109.207.13.0/24 наблюдались в свое время многочисленные "тычки" в tcp порт 80.

 

Но вот хост 109.207.1.108 (gu.gas-u.ru) в декабре 2012 засветился попытками коннектов на RDP (tcp:3389) и MS-SQL (tcp:1433).

 

Удивительно в любом случае. И в случае вирусов и в случае осмысленного целенаправленного скана.

 

Само доменное имя нагугливается в инструкциях примерно следующего характера.

 

"3. Исполнительным органам государственной власти ... области, ответственным за выполнение плана, организовать в пределах своей компетенции его реализацию и ежеквартально, в срок до 10 числа месяца, следующего за отчетным кварталом, представлять отчет о реализации плана в Министерство связи и массовых коммуникаций Российской Федерации в соответствии с веб-формой, размещенной по адресу http://gu.gas-u.ru/roiv"

 

Дополнительный прикол ситуации в том, что к веб-хостингу мы не имеем никакого отношения, а скорей уж к КСИИ и КВО (для тех кто в теме). На халявный государственный аудит безопасности тоже как-то совсем не тянет.

Ivan_83

Ivan_83

Posted
Posted

Они не одни такие...

202.46.32.0/19 #2013.08 - HTTP check every 2h / MAINT-CNNIC-AP / ShenZhen Sunrise Technology Co.,Ltd.

тоже ходит всё, проверят жива моя хом пага или нет.

пару файлов скачали как то, хз зачем.

stas_k

stas_k

Posted
Posted

По слухам (с) сейчас новое поколение ботнета вылупляется. Через пару месяцев ждите всплеск атак.

Думаю, за неделю до начала сирийской войны.

casperrr

casperrr

Posted
  • Author
Posted

С полгода назад участились сканы по специфическим портам. Всякая зараженная шелупонь по ним редко сканит. В частности tcp:1723 (канал управления pptp тунеля). Причем одни и те же ип (не больше 10-15, Китай, США), как по расписанию. Причем именно точечно (наши ип из разных сетей разных провайдеров, перебором они не рядом).

stas_k

stas_k

Posted
Posted

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

Sergey Gilfanov

Sergey Gilfanov

Posted
Posted

а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN

Эээ... Айфон не умеет IPSec? Я, конечно, понимаю, что в настройке его 'сервера' убиться можно, но все-таки.

st_re

st_re

Posted
Posted

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

 

Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

stas_k

stas_k

Posted
Posted
Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

Пруфика нет, так как не использую PPtP вовсе, так, запомнил курьеза ради.

 

Видимо предполагается, что ты перехватываешь снифером чью то сессию с (самого начала) и таким образом получаешь логин пароль. Или перебором, как китайцы. :)

st_re

st_re

Posted
Posted

тогда зачем ломятся ? Для снифера надо не ломится на пптп сервер, а кудато на промежуточный хост, где снифить можно, попадать. Ломятся на 1723 скорее поподбирать пароли...

casperrr

casperrr

Posted
  • Author
Posted

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

 

Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

 

Конечно нужен перехват. Я в теме этой "новости". Там ребята реализовали то, о чем зараза писал еще в 2004 году. Плюс облачные мощности.

 

см топки и комменты

 

habrahabr.ru/post/149076/#comment_6271187

st_re

st_re

Posted
Posted

На удачу идут.

По рдп таких тоже полно.

 

На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было.

casperrr

casperrr

Posted
  • Author
Posted

На удачу идут.

По рдп таких тоже полно.

 

На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было.

 

Да, на RDP давно. Причем в свое время пытался нагуглить, есть ли вирус из известных, который бы распространялся таким образом и не нашел. А вот брутилки для RDP в том же хакере еще с середины 2000 описываются (если не раньше). RDP особенно в последние года полтора доставляет. ms12-020 кажется - проникновения вроде так никто и не добился, а вот килялки, посылающие сервера в BSOD доступны (5 строк на питоне, к примеру). И именно это (что скорей всего это ручной скан) умиляет в случае с ресурсом госуслуг. Больше, чем если бы этим занимался гугль или там еще кто подобный.

 

tcp:1723 - именно веяние последнего времени, т.к. я слежу за этим плотно немало лет, могу засвидетельствовать - ранее было крайне редко.

suslayer

suslayer

Posted
Posted

а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN

Смею заметить что OpenVPN уже почти полгода в AppStore. Лично пользовался, вполне здоровско работает, даже иконку vpn вверху рисует... :)

naves

naves

Posted
Posted (edited)

Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех

Edited by naves
casperrr

casperrr

Posted
  • Author
Posted

Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех

Я бы предпочел этот вариант (PAT) с ограничением доступа по ип (чем жестче, тем лучше), если конечно условия эксплуатации это позволяют, чем любой вариант впн, открытый в мир без ограничений сетевого уровня, где единственная защита - аутентификация тем или иным способом.

casperrr

casperrr

Posted
  • Author
Posted

Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом.

 

Выглядят эти запросы так

 

[1au] AAAA? nS.aAabBbcC.rU

[1au] AAAA? Ns.AAabbbcC.RU

...

[1au] AAAA? ns.AAABBBCC.RU

...

Ivan_83

Ivan_83

Posted
Posted
Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так

Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить.

Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв.

По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел.

casperrr

casperrr

Posted
  • Author
Posted
Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так

Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить.

Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв.

По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел.

 

Т.е. это клиент дополнительно защищается от неаутентичного днс-ответа? Тогда непонятно, зачем это делают именно злоумышленники/малварь. Элемент детекта производителя и версии софта? Убедиться, что они потом сканить будут "нога у кого надо нога", шобы не засинкхолили?

Ivan_83

Ivan_83

Posted
Posted

Я не знаю что там за клиенский софт это делает.

Версию можно запросить через стандартные механизмы, обычный квери запрос.

'version.bind' or 'version.server' queries in the CHAOS Class.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.