<html><body><span class="xfm_26265012"><div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Привет,</span>
<br/></div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div><pre style="margin:5px 0;">Тот факт, что вирус распространился так широко, означает, что, по
твоей версии, подобная процедура должна была быть проведена в каждой
пострадавшей локальной сети. Что, по моем мнению, невероятно.</pre>
<br/></div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Опять про "весь мир Не надо хакать весь мир. Достаточно это сделать в сети, >> где находятся сервера Медка << и никто этого не увидит.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"> Я сам пользуюсь этой фичей: во внутренней сети делаю статик на хост, который мне надо чтобы он был там, где мне надо, а не там, где его /24 и дистрибьючу этот статик.</span>
<br/></div>
<div>
<br/></div>
<div>
<pre style="margin:5px 0;"> А был ли медок хакнут или это
умышленное действие - вопрос, в контексте этого тредика, примерно
последний.</pre>
</div>
<div>
<br/></div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Я бы сюда еще добавил третий пункт: >> медок хакнут, умышленное, подстава <<</span>
<br/></div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<br/></div>
<div>
<i>
<span style="font-size:10pt;line-height:12pt;">
<span style="font-family:Arial;">4 липня 2017, 12:51:52, від "Volodymyr Litovka" <</span>
<a href="mailto:doka.ua@gmail.com" target="_blank" rel="noreferrer noopener">
<span style="font-family:Arial;">doka.ua@gmail.com</span>
</a>
<span style="font-family:Arial;">>:</span>
</span>
</i>
</div>
<div>
<br/></div>
<blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<span>
<span></span>
<span bgcolor="#FFFFFF">
<br/><div>On 7/4/17 12:44 PM, Vladimir Sharun
wrote:</div><blockquote type="cite"><span><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Привет,</span> <br/></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Почемы вы про BGP говорите ? Забыли про
redistribute static ? Он не попадёт во внешнюю выдачу потому
что по BGP только то, что в рамках BGP, а внутренняя
маршрутизация может быть (и должна кмк) отделена от внешней.
Потом нет необходимости хакать.</span></div>
</span></blockquote>
Тот факт, что вирус распространился так широко, означает, что, по
твоей версии, подобная процедура должна была быть проведена в каждой
пострадавшей локальной сети. Что, по моем мнению, невероятно.<br/><br/>
И даже если версия Саморукова не подтверждается фактчекингом, то я
всё равно более склонен верить "медок" - такие масштабы поражения
подтверждает только такая версия. А был ли медок хакнут или это
умышленное действие - вопрос, в контексте этого тредика, примерно
последний.<br/><br/><blockquote type="cite"><span><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Я 11 лет назад имел дело с похожей ситуацией,
когда на удалённом POP был перехвачен (тогда еще) telnet
(login-pass-enable), POP отрезали от мира, сделали "свою"
разрешенную сеть и взяли его (POP) под контроль. Еще и <b>редистрибьютили
маршрут на хост</b> по всей сети, чтобы иметь возможность
заходить на все POP'ы. Или есть иллюзии, что в 2014м году
(heartbleed) пароли начали отличаться от паролей 2017 года ?</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Фактчекинг по "вишенкам на тортиках":</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Неподдерживаемая версия freebsd:</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;"><a href="https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html" rel="noreferrer noopener" target="_blank">https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html</a></span>
</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br/></span> </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Что до proftpd:</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;"><a href="https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html" rel="noreferrer noopener" target="_blank">https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html</a></span>
</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br/></span> </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;"><span style="font-family:Arial;font-size:10pt;line-height:12pt;">С</span>реди
светящихся в мир процессов remote code execution не
наблюдается.</span> </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;"> <span style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br/></span> </span></div><div><i> <span style="font-size:10pt;line-height:12pt;"> <span style="font-family:Arial;">4 липня 2017, 12:25:09, від
"Volodymyr Litovka" <</span> <a href="mailto:doka.ua@gmail.com" rel="noreferrer noopener" target="_blank"> <span style="font-family:Arial;">doka.ua@gmail.com</span> </a>
<span style="font-family:Arial;">>:</span> </span> </i></div><div><br/></div><blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;"><span> <span></span> <span bgcolor="#FFFFFF"><div><span style="font-family:SFNS Display;">Версия с
"хакнутым каталистом" представляется нежизнеспособной,
потому что нужно было хакнуть тысячи разнообразных
устройств (и не только каталистов, что предполагает
наличие неизвестного remote exploit на оборудовании
всех вендоров; кроме того, все эти устройства должны
поддерживать кинда WCCP, что тоже не представляется
вероятным), чтобы добиться полученного эффекта.</span></div><div><span style="font-family:SFNS Display;">Версия с
route hijack должна подтверждаться наличием записей
/32 в BGP-таблицах и тоже маловероятна, потому что в
рамках UAIX, насколько мне известно, до сих существует
практика фильтрации маршрутов в соответствии с RIPEdb
и (а) чужой (б) /32 в RIPEdb не впишешь просто так.</span></div><div><span style="font-family:SFNS Display;">Наиболее
вероятным объяснением я всё-таки считал бы это: <a href="https://www.facebook.com/alex.samorukov/posts/1478768522180207" rel="noreferrer noopener" target="_blank">https://www.facebook.com/alex.samorukov/posts/1478768522180207</a>--
"</span><span>В связи с тем, что многие указали, что
petya пришел с апдейтом M.E.Doc, я решил посмотреть на
чем же этот самый сервер апдейтов сделан. Простейший
скан (92.60.184.55) показал, что на сервере стоит
FreeBSD 7 (или 8.1, если по openssh), поддержка
которой закончилась в 2013 году (и многие новые порты
банально не собираются). Кроме того, вишенкой на
торте, там стоит ProFTPD 1.3.4c. Proftpd мало того,
что дыряв как решето, так еще и доисторической версии,
все того же 2013 года, и скорее всего контроль над
сервером и был получен через него. Надеюсь, это
информация будет полезна тем, кто исследует проблему."</span></div>
<br/><div>On 7/3/17 8:16 PM, Vladimir Sharun wrote:</div><blockquote type="cite"><div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Привет,</span>
<br/></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Конечно
же на BGP будет виден внутренний /32 маршрут или
WCCP на (хакнутом) каталисте. Получив доступ на
более-менее умный свитч с L3 таких делов можно
натворить, о-ла-ла.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">11
лет назад я сталкивался именно с таким сценарием.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><i> <span style="font-size:10pt;line-height:12pt;"> <span style="font-family:Arial;">3 липня 2017,
20:09:06, від "Mike Petrusha" <</span> <a href="mailto:mp@disan.net" rel="noreferrer noopener" target="_blank"> <span style="font-family:Arial;">mp@disan.net</span>
</a> <span style="font-family:Arial;">>:</span>
</span> </i></div><div><br/></div><blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;"><span><div><div>Hi!<div><br/></div><div>Из нутри чего этот инсайд? Если от
пострадавших, то откуда они знают, что было
или не было на оригинальном сервере?</div><div><br/></div><div>Или это новости с самого оригинального
сервера "тут ничено не было"? </div><div><br/></div><div>На BGPlay левые маршруты видны?</div><div><br/>
--<br/><div>Mike</div></div>
<br/><div><br/><div>On 3 Jul 2017 18:52, "Vladimir Sharun"
<<a href="mailto:vladimir.sharun@ukr.net" rel="noreferrer noopener" target="_blank">vladimir.sharun@ukr.net</a>>
wrote:<br/><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><span class="xfmc2"><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Всем
привет,</span> <br/></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Небольшой
инсайд. Внешне произошедшее
напоминает route hijack или
WCCP. Т.е. скомуниздили роут на
хост или перехватили на свою
проксю вызовы.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Пострадавшие
в логах проксей видят ip <a href="http://upd.me-doc.com.ua" rel="noreferrer noopener" target="_blank">upd.me-doc.com.ua</a>
честный (какой и должен быть) и
в логах же payload (330k),
которого не было на оригинальном
сервере апдейта с этим ip.</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">Вспомнилось
кино:</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span style="font-family:Arial;font-size:10pt;line-height:12pt;"><a href="https://youtu.be/WEYOJ3d8EnU?t=1h2m24s" rel="noreferrer noopener" target="_blank">https://youtu.be/WEYOJ3d8EnU?<span>t=1h2m24s</span></a></span>
</span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br/></span> </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br/></span> </span></div><div><span style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br/></span></div><div><i> <span style="font-size:10pt;line-height:12pt;">
<span style="font-family:Arial;">27
червня 2017, 15:05:02, від
"Oles Girniak" <</span> <a href="mailto:oles@uar.net" rel="noreferrer noopener" target="_blank"> <span style="font-family:Arial;">oles@uar.net</span>
</a> <span style="font-family:Arial;">>:</span>
</span> </i></div><div><div><br/></div><blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;"><span><pre style="margin:5px 0;">хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
</pre>
</span></blockquote></div>
</span></div>
<br/>
______________________________<span>_________________<br/>
uanog mailing list<br/><a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noopener" target="_blank">uanog@uanog.kiev.ua</a><br/><a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noopener" target="_blank">http://mailman.uanog.kiev.ua/<span>mailman/listinfo/uanog</span></a><br/></span></blockquote></div></div></div></div>
</span></blockquote></div>
<br/><br/><pre style="margin:5px 0;">_______________________________________________
uanog mailing list
<a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noopener" target="_blank">uanog@uanog.kiev.ua</a>
<a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noopener" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre></blockquote>
<br/><pre style="margin:5px 0;">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</span>
</span></blockquote>
</span></blockquote>
<br/><pre style="margin:5px 0;">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</span>
</span>
</blockquote>
</span></body></html>