Перейти к содержимому
Калькуляторы

Электронное правительство

По мотивам c хабра.

 

Действительно, с сети 109.207.13.0/24 наблюдались в свое время многочисленные "тычки" в tcp порт 80.

 

Но вот хост 109.207.1.108 (gu.gas-u.ru) в декабре 2012 засветился попытками коннектов на RDP (tcp:3389) и MS-SQL (tcp:1433).

 

Удивительно в любом случае. И в случае вирусов и в случае осмысленного целенаправленного скана.

 

Само доменное имя нагугливается в инструкциях примерно следующего характера.

 

"3. Исполнительным органам государственной власти ... области, ответственным за выполнение плана, организовать в пределах своей компетенции его реализацию и ежеквартально, в срок до 10 числа месяца, следующего за отчетным кварталом, представлять отчет о реализации плана в Министерство связи и массовых коммуникаций Российской Федерации в соответствии с веб-формой, размещенной по адресу http://gu.gas-u.ru/roiv"

 

Дополнительный прикол ситуации в том, что к веб-хостингу мы не имеем никакого отношения, а скорей уж к КСИИ и КВО (для тех кто в теме). На халявный государственный аудит безопасности тоже как-то совсем не тянет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Они не одни такие...

202.46.32.0/19 #2013.08 - HTTP check every 2h / MAINT-CNNIC-AP / ShenZhen Sunrise Technology Co.,Ltd.

тоже ходит всё, проверят жива моя хом пага или нет.

пару файлов скачали как то, хз зачем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Added the following hosts to /etc/hosts.deny:

 

173.255.114.124 (124.114.255.173.bc.googleusercontent.com)

вот и думай после этого

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По слухам (с) сейчас новое поколение ботнета вылупляется. Через пару месяцев ждите всплеск атак.

Думаю, за неделю до начала сирийской войны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С полгода назад участились сканы по специфическим портам. Всякая зараженная шелупонь по ним редко сканит. В частности tcp:1723 (канал управления pptp тунеля). Причем одни и те же ип (не больше 10-15, Китай, США), как по расписанию. Причем именно точечно (наши ип из разных сетей разных провайдеров, перебором они не рядом).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN

Эээ... Айфон не умеет IPSec? Я, конечно, понимаю, что в настройке его 'сервера' убиться можно, но все-таки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

 

Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

Пруфика нет, так как не использую PPtP вовсе, так, запомнил курьеза ради.

 

Видимо предполагается, что ты перехватываешь снифером чью то сессию с (самого начала) и таким образом получаешь логин пароль. Или перебором, как китайцы. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда зачем ломятся ? Для снифера надо не ломится на пптп сервер, а кудато на промежуточный хост, где снифить можно, попадать. Ломятся на 1723 скорее поподбирать пароли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В PPtP нашли критическую уязвимость, при любом уровне шифрования протокол раскрывается за обозримое время (2-3 часа).

С пол года назад этот метод стал доступен публике.

 

В основном считаются подверженным опасности МС сервера. Можно соединится и посмотреть что там за ним скрывается (а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN). Можно поснифать тарфик и посмотреть обмен, практически в реалтайме.

 

Можно не зная логинов-паролей зайти на сервер за 2-3 часа пинания? А пруфик какой можно? А то чета неприпоминаю я такого...

 

Конечно нужен перехват. Я в теме этой "новости". Там ребята реализовали то, о чем зараза писал еще в 2004 году. Плюс облачные мощности.

 

см топки и комменты

 

habrahabr.ru/post/149076/#comment_6271187

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну тогда это не объяснет, что ломятся... ну или уже перехватили и паролъ им известен, ищут куда приткнут еще ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На удачу идут.

По рдп таких тоже полно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На удачу идут.

По рдп таких тоже полно.

 

На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На удачу идут.

По рдп таких тоже полно.

 

На РДП двно ходят.. Был клиент, у него там линуксь какойто, к нему пришли на 22 порт и сломали (без понятия как, может рут/рут может еще как). И от него сражузе пошел скан как 22 так и РДП. Это года уже 3-4 назад было.

 

Да, на RDP давно. Причем в свое время пытался нагуглить, есть ли вирус из известных, который бы распространялся таким образом и не нашел. А вот брутилки для RDP в том же хакере еще с середины 2000 описываются (если не раньше). RDP особенно в последние года полтора доставляет. ms12-020 кажется - проникновения вроде так никто и не добился, а вот килялки, посылающие сервера в BSOD доступны (5 строк на питоне, к примеру). И именно это (что скорей всего это ручной скан) умиляет в случае с ресурсом госуслуг. Больше, чем если бы этим занимался гугль или там еще кто подобный.

 

tcp:1723 - именно веяние последнего времени, т.к. я слежу за этим плотно немало лет, могу засвидетельствовать - ранее было крайне редко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Многие вин админы не доверяют рдп, и прячут его за впн %)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а это обычно корпоративные PPtP сервера для топов с айфонами, для которых нет OpenVPN

Смею заметить что OpenVPN уже почти полгода в AppStore. Лично пользовался, вполне здоровско работает, даже иконку vpn вверху рисует... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Многие вин админы не доверяют рдп, и прячут его за впн %)

ну можно порт сменить)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех

Изменено пользователем naves

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, особенно забавно, когда сразу открыты диапазоны, каждый порт - удаленка отдельного сервера, а логины и пароли одинаковы на всех

Я бы предпочел этот вариант (PAT) с ограничением доступа по ип (чем жестче, тем лучше), если конечно условия эксплуатации это позволяют, чем любой вариант впн, открытый в мир без ограничений сетевого уровня, где единственная защита - аутентификация тем или иным способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самая жесть это когда пароль к рдп подбирают при интерактивном вводе - там льётся дофига на исход :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом.

 

Выглядят эти запросы так

 

[1au] AAAA? nS.aAabBbcC.rU

[1au] AAAA? Ns.AAabbbcC.RU

...

[1au] AAAA? ns.AAABBBCC.RU

...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так

Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить.

Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв.

По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раз уж начали делиться приколами, может кто-то знает, нафига при днс запросах меняют регистр символов? Ну в смысле меняют те, кто сканит потом. Выглядят эти запросы так

Есть такая техника, рандомно менять регистр букв, чтобы при получении ответа сверить.

Делается в кач доп меры для избегания спууфинга, те dns_req_id (16 бит) добавляются ещё дополнительные биты из регистра букв.

По крайней мере я читал про такое, сам я никогда сервером не выступал и запросы не видел.

 

Т.е. это клиент дополнительно защищается от неаутентичного днс-ответа? Тогда непонятно, зачем это делают именно злоумышленники/малварь. Элемент детекта производителя и версии софта? Убедиться, что они потом сканить будут "нога у кого надо нога", шобы не засинкхолили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не знаю что там за клиенский софт это делает.

Версию можно запросить через стандартные механизмы, обычный квери запрос.

'version.bind' or 'version.server' queries in the CHAOS Class.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.