<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p><font face="SFNS Display">Версия с "хакнутым каталистом"
представляется нежизнеспособной, потому что нужно было хакнуть
тысячи разнообразных устройств (и не только каталистов, что
предполагает наличие неизвестного remote exploit на оборудовании
всех вендоров; кроме того, все эти устройства должны
поддерживать кинда WCCP, что тоже не представляется вероятным),
чтобы добиться полученного эффекта.</font></p>
<p><font face="SFNS Display">Версия с route hijack должна подтверждаться
наличием записей /32 в BGP-таблицах и тоже маловероятна, потому
что в рамках UAIX, насколько мне известно, до сих существует
практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой
(б) /32 в RIPEdb не впишешь просто так.</font></p>
<p><font face="SFNS Display">Наиболее вероятным объяснением я всё-таки
считал бы это:
<a class="moz-txt-link-freetext" href="https://www.facebook.com/alex.samorukov/posts/1478768522180207">https://www.facebook.com/alex.samorukov/posts/1478768522180207</a>--
"</font><span>В связи с тем, что многие указали, что petya
пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот
самый сервер апдейтов сделан. Простейший скан (92.60.184.55)
показал, что на сервере стоит FreeBSD 7 (или 8.1, если по
openssh), поддержка которой закончилась в 2013 году (и многие
новые порты банально не собираются). Кроме того, вишенкой на
торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв
как решето, так еще и доисторической версии, все того же 2013
года, и скорее всего контроль над сервером и был получен через
него. Надеюсь, это информация будет полезна тем, кто исследует
проблему."</span></p>
<br>
<div class="moz-cite-prefix">On 7/3/17 8:16 PM, Vladimir Sharun
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:1499101807.459208210.ogv8bpkc@frv44.fwdcdn.com"><span
class="xfm_87892798">
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1">Привет,</span> <br>
</div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1"> <br>
</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1">Конечно же на BGP будет виден внутренний /32
маршрут или WCCP на (хакнутом) каталисте. Получив доступ на
более-менее умный свитч с L3 таких делов можно натворить,
о-ла-ла.</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1"> <br>
</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1">11 лет назад я сталкивался именно с таким
сценарием.</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1"> <br>
</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1"> <br>
</span> </div>
<div> <span
style="font-size:10pt;line-height:12pt;font-family:Arial;"
class="xfmc1"> <br>
</span> </div>
<div> <i> <span style="font-size:10pt;line-height:12pt;"> <span
style="font-family:Arial;">3 липня 2017, 20:09:06, від
"Mike Petrusha" <</span> <a
href="mailto:mp@disan.net" target="_blank"
rel="noreferrer noopener" moz-do-not-send="true"> <span
style="font-family:Arial;">mp@disan.net</span> </a> <span
style="font-family:Arial;">>:</span> </span> </i> </div>
<div> <br>
</div>
<blockquote style="border-left:1px solid #cccccc;margin:0px 0px
0px 0.8ex;padding-left:1ex;"> <span>
<div>
<div>Hi!
<div><br>
</div>
<div>Из нутри чего этот инсайд? Если от пострадавших, то
откуда они знают, что было или не было на оригинальном
сервере?</div>
<div><br>
</div>
<div>Или это новости с самого оригинального сервера "тут
ничено не было"? </div>
<div><br>
</div>
<div>На BGPlay левые маршруты видны?</div>
<div><br>
--<br>
<div>Mike</div>
</div>
<br>
<div><br>
<div>On 3 Jul 2017 18:52, "Vladimir Sharun" <<a
href="mailto:vladimir.sharun@ukr.net"
rel="noreferrer noopener" target="_blank"
moz-do-not-send="true">vladimir.sharun@ukr.net</a>>
wrote:<br>
<blockquote style="margin:0 0 0 .8ex;border-left:1px
#ccc solid;padding-left:1ex;">
<div><span class="xfmc2">
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">Всем
привет,</span> <br>
</div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br>
</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">Небольшой
инсайд. Внешне произошедшее напоминает
route hijack или WCCP. Т.е. скомуниздили
роут на хост или перехватили на свою
проксю вызовы.</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">Пострадавшие
в логах проксей видят ip <a
href="http://upd.me-doc.com.ua"
rel="noreferrer noopener"
target="_blank" moz-do-not-send="true">upd.me-doc.com.ua</a>
честный (какой и должен быть) и в логах же
payload (330k), которого не было на
оригинальном сервере апдейта с этим ip.</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br>
</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">Вспомнилось
кино:</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span
style="font-family:Arial;font-size:10pt;line-height:12pt;"><a
href="https://youtu.be/WEYOJ3d8EnU?t=1h2m24s" rel="noreferrer noopener"
target="_blank" moz-do-not-send="true">https://youtu.be/WEYOJ3d8EnU?<span>t=1h2m24s</span></a></span>
</span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span
style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br>
</span> </span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<span
style="font-family:Arial;font-size:10pt;line-height:12pt;">
<br>
</span> </span></div>
<div><span
style="font-size:10pt;line-height:12pt;font-family:Arial;">
<br>
</span></div>
<div><i> <span
style="font-size:10pt;line-height:12pt;">
<span style="font-family:Arial;">27
червня 2017, 15:05:02, від "Oles
Girniak" <</span> <a
href="mailto:oles@uar.net"
rel="noreferrer noopener"
target="_blank" moz-do-not-send="true">
<span style="font-family:Arial;">oles@uar.net</span>
</a> <span style="font-family:Arial;">>:</span>
</span> </i></div>
<div>
<div><br>
</div>
<blockquote style="border-left:1px solid
#cccccc;margin:0px 0px 0px
0.8ex;padding-left:1ex;"><span>
<pre style="margin:5px 0;">хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
</pre>
</span></blockquote>
</div>
</span></div>
<br>
______________________________<span>_________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua"
rel="noreferrer noopener" target="_blank"
moz-do-not-send="true">uanog@uanog.kiev.ua</a><br>
<a
href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
rel="noreferrer noopener" target="_blank"
moz-do-not-send="true">http://mailman.uanog.kiev.ua/<span>mailman/listinfo/uanog</span></a><br>
</span></blockquote>
</div>
</div>
</div>
</div>
</span> </blockquote>
</span>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</body>
</html>