<html><body><span class="xfm_87892798"><div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Привет,</span>

    <br/></div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">

      <br/></span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.</span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">

      <br/></span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">11 лет назад я сталкивался именно с таким сценарием.</span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">

      <br/></span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">

      <br/></span>

  </div>

  <div>

    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">

      <br/></span>

  </div>

  <div>

    <i>

      <span style="font-size:10pt;line-height:12pt;">

        <span style="font-family:Arial;">3 липня 2017, 20:09:06, від "Mike Petrusha" <</span>

        <a href="mailto:mp@disan.net" target="_blank" rel="noreferrer noopener">

          <span style="font-family:Arial;">mp@disan.net</span>

        </a>

        <span style="font-family:Arial;">>:</span>

      </span>

    </i>

  </div>

  <div>

    <br/></div>

  <blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">

    <span><div><div>Hi!<div><br/></div><div>Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?</div><div><br/></div><div>Или это новости с самого оригинального сервера "тут ничено не было"? </div><div><br/></div><div>На BGPlay левые маршруты видны?</div><div><br/>--<br/><div>Mike</div></div>

<br/><div><br/><div>On 3 Jul 2017 18:52, "Vladimir Sharun" <<a href="mailto:vladimir.sharun@ukr.net" rel="noreferrer noopener" target="_blank">vladimir.sharun@ukr.net</a>> wrote:<br/><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><span class="xfmc2"><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Всем привет,</span>

    <br/></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Пострадавшие в логах проксей видят ip <a href="http://upd.me-doc.com.ua" rel="noreferrer noopener" target="_blank">upd.me-doc.com.ua</a> честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Вспомнилось кино:</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <span style="font-family:Arial;font-size:10pt;line-height:12pt;"><a href="https://youtu.be/WEYOJ3d8EnU?t=1h2m24s" rel="noreferrer noopener" target="_blank">https://youtu.be/WEYOJ3d8EnU?<span>t=1h2m24s</span></a></span>

    </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">

        <br/></span>

    </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">

        <br/></span>

    </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">

      <br/></span></div><div><i>

      <span style="font-size:10pt;line-height:12pt;">

        <span style="font-family:Arial;">27 червня 2017, 15:05:02, від "Oles Girniak" <</span>

        <a href="mailto:oles@uar.net" rel="noreferrer noopener" target="_blank">

          <span style="font-family:Arial;">oles@uar.net</span>

        </a>

        <span style="font-family:Arial;">>:</span>

      </span>

    </i></div><div><div><br/></div><blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;"><span><pre style="margin:5px 0;">хто що знає про нову хвилю "атаки crypto-virus" на Windows?

Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.

<br/></pre>

</span></blockquote></div>

</span></div>

<br/>______________________________<span>_________________<br/>

uanog mailing list<br/><a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noopener" target="_blank">uanog@uanog.kiev.ua</a><br/><a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noopener" target="_blank">http://mailman.uanog.kiev.ua/<span>mailman/listinfo/uanog</span></a><br/></span></blockquote></div></div></div></div>

</span>

  </blockquote>

</span></body></html>