[uanog] New virus attack

Vladimir Sharun vladimir.sharun at ukr.net
Mon Jul 3 20:16:20 EEST 2017


Привет, 



Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла. 


11 лет назад я сталкивался именно с таким сценарием. 






3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net >: 


Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?


Или это новости с самого оригинального сервера "тут ничено не было"? 


На BGPlay левые маршруты видны?

--
Mike



On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun at ukr.net> wrote:
Всем привет, 



Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.
Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.


Вспомнилось кино:
https://youtu.be/WEYOJ3d8EnU?t=1h2m24s 






27 червня 2017, 15:05:02, від "Oles Girniak" < oles at uar.net >: 


хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.




_______________________________________________
uanog mailing list
uanog at uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog




-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170703/63e2264a/attachment-0001.html>


More information about the uanog mailing list