casperrr Опубликовано 28 августа, 2013 · Жалоба По мотивам c хабра. Действительно, с сети 109.207.13.0/24 наблюдались в свое время многочисленные "тычки" в tcp порт 80. Но вот хост 109.207.1.108 (gu.gas-u.ru) в декабре 2012 засветился попытками коннектов на RDP (tcp:3389) и MS-SQL (tcp:1433). Удивительно в любом случае. И в случае вирусов и в случае осмысленного целенаправленного скана. Само доменное имя нагугливается в инструкциях примерно следующего характера. "3. Исполнительным органам государственной власти ... области, ответственным за выполнение плана, организовать в пределах своей компетенции его реализацию и ежеквартально, в срок до 10 числа месяца, следующего за отчетным кварталом, представлять отчет о реализации плана в Министерство связи и массовых коммуникаций Российской Федерации в соответствии с веб-формой, размещенной по адресу http://gu.gas-u.ru/roiv" Дополнительный прикол ситуации в том, что к веб-хостингу мы не имеем никакого отношения, а скорей уж к КСИИ и КВО (для тех кто в теме). На халявный государственный аудит безопасности тоже как-то совсем не тянет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 августа, 2013 · Жалоба Они не одни такие... 202.46.32.0/19 #2013.08 - HTTP check every 2h / MAINT-CNNIC-AP / ShenZhen Sunrise Technology Co.,Ltd. тоже ходит всё, проверят жива моя хом пага или нет. пару файлов скачали как то, хз зачем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 29 августа, 2013 · Жалоба Added the following hosts to /etc/hosts.deny: 173.255.114.124 (124.114.255.173.bc.googleusercontent.com) вот и думай после этого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 29 августа, 2013 · Жалоба По слухам (с) сейчас новое поколение ботнета вылупляется. Через пару месяцев ждите всплеск атак. Думаю, за неделю до начала сирийской войны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 29 августа, 2013 · Жалоба С полгода назад участились сканы по специфическим портам. Всякая зараженная шелупонь по ним редко сканит. В частности tcp:1723 (канал управления pptp тунеля). Причем одни и те же ип (не больше 10-15, Китай, США), как по расписанию. Причем именно точечно (наши ип из разных сетей разных провайдеров, перебором они не рядом). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 30 августа, 2013 · Жалоба В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа). С пол года назад этот метод стал доступен публике. В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 30 августа, 2013 · Жалоба а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN Эээ... Айфон не умеет IPSec? Я, конечно, понимаю, что в настройке его 'сервера' убиться можно, но все-таки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 30 августа, 2013 · Жалоба В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа). С пол года назад этот метод стал доступен публике. В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме. Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 30 августа, 2013 · Жалоба Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого... Пруфика нет, так как не использую PPtP вовсе, так, запомнил курьеза ради. Видимо предполагается, что ты перехватываешь снифером чью то сессию с (самого начала) и таким образом получаешь логин пароль. Или перебором, как китайцы. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 30 августа, 2013 · Жалоба тогда зачем ломятся ? Для снифера надо не ломится на пптп сервер, а кудато на промежуточный хост, где снифить можно, попадать. Ломятся на 1723 скорее поподбирать пароли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 30 августа, 2013 · Жалоба В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа). С пол года назад этот метод стал доступен публике. В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме. Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого... Конечно нужен перехват. Я в теме этой "новости". Там ребята реализовали то, о чем зараза писал еще в 2004 году. Плюс облачные мощности. см топки и комменты habrahabr.ru/post/149076/#comment_6271187 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 30 августа, 2013 · Жалоба ну тогда это не объяснет, что ломятся... ну или уже перехватили и паролъ им известен, ищут куда приткнут еще .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 августа, 2013 · Жалоба На удачу идут. По рдп таких тоже полно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 30 августа, 2013 · Жалоба На удачу идут. По рдп таких тоже полно. На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 31 августа, 2013 · Жалоба На удачу идут. По рдп таких тоже полно. На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было. Да, на RDP давно. Причем в свое время пытался нагуглить, есть ли вирус из известных, который бы распространялся таким образом и не нашел. А вот брутилки для RDP в том же хакере еще с середины 2000 описываются (если не раньше). RDP особенно в последние года полтора доставляет. ms12-020 кажется - проникновения вроде так никто и не добился, а вот килялки, посылающие сервера в BSOD доступны (5 строк на питоне, к примеру). И именно это (что скорей всего это ручной скан) умиляет в случае с ресурсом госуслуг. Больше, чем если бы этим занимался гугль или там еще кто подобный. tcp:1723 - именно веяние последнего времени, т.к. я слежу за этим плотно немало лет, могу засвидетельствовать - ранее было крайне редко. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 августа, 2013 · Жалоба Многие вин админы не доверяют рдп, и прячут его за впн %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
suslayer Опубликовано 1 сентября, 2013 · Жалоба а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN Смею заметить что OpenVPN уже почти полгода в AppStore. Лично пользовался, вполне здоровско работает, даже иконку vpn вверху рисует... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 1 сентября, 2013 · Жалоба Многие вин админы не доверяют рдп, и прячут его за впн %) ну можно порт сменить) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 1 сентября, 2013 (изменено) · Жалоба Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех Изменено 1 сентября, 2013 пользователем naves Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 1 сентября, 2013 · Жалоба Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех Я бы предпочел этот вариант (PAT) с ограничением доступа по ип (чем жестче, тем лучше), если конечно условия эксплуатации это позволяют, чем любой вариант впн, открытый в мир без ограничений сетевого уровня, где единственная защита - аутентификация тем или иным способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 сентября, 2013 · Жалоба Самая жесть это когда пароль к рдп подбирают при интерактивном вводе - там льётся дофига на исход :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 2 сентября, 2013 · Жалоба Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так [1au] AAAA? nS.aAabBbcC.rU [1au] AAAA? Ns.AAabbbcC.RU ... [1au] AAAA? ns.AAABBBCC.RU ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 сентября, 2013 · Жалоба Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить. Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв. По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 3 сентября, 2013 · Жалоба Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить. Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв. По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел. Т.е. это клиент дополнительно защищается от неаутентичного днс-ответа? Тогда непонятно, зачем это делают именно злоумышленники/малварь. Элемент детекта производителя и версии софта? Убедиться, что они потом сканить будут "нога у кого надо нога", шобы не засинкхолили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 сентября, 2013 · Жалоба Я не знаю что там за клиенский софт это делает. Версию можно запросить через стандартные механизмы, обычный квери запрос. 'version.bind' or 'version.server' queries in the CHAOS Class. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...