[uanog] New virus attack

[Mike Petrusha]

И где расположен такой каталист, через к-рый все скачали себе вирус?
В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус
в обновление, кажется гораздо более правдоподобным.

--
Mike


2017-07-03 19:16 GMT+02:00 Vladimir Sharun <vladimir.sharun at ukr.net>:
> Привет,
>
> Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом)
> каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно
> натворить, о-ла-ла.
>
> 11 лет назад я сталкивался именно с таким сценарием.
>
>
>
> 3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net >:
>
> Hi!
>
> Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что
> было или не было на оригинальном сервере?
>
> Или это новости с самого оригинального сервера "тут ничено не было"?
>
> На BGPlay левые маршруты видны?
>
> --
> Mike
>
>
> On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun at ukr.net> wrote:
>
> Всем привет,
>
> Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е.
> скомуниздили роут на хост или перехватили на свою проксю вызовы.
> Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и
> должен быть) и в логах же payload (330k), которого не было на оригинальном
> сервере апдейта с этим ip.
>
> Вспомнилось кино:
> https://youtu.be/WEYOJ3d8EnU?t=1h2m24s
>
>
>
> 27 червня 2017, 15:05:02, від "Oles Girniak" < oles at uar.net >:
>
> хто що знає про нову хвилю "атаки crypto-virus" на Windows?
> Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog