<html><body><span class="xfm_73890355"><div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Привет,</span>
    <br/></div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <br/></span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Интеллект Сервис узнавал что у них на серверах происходит из сообщений</span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">в СМИ и то с запозданием. <span style="font-family:Arial;font-size:10pt;line-height:12pt;">Есть еще вопросы технического уровня компании ? </span></span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">Вот такого же </span>
    </span>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">качества инсайд и у меня был. Но кто об этом знал - есть какой-то инсайд,</span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">мы его крутим умозрительно, он внешне не противоречит имеющейся информации и</span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">из него строятся правдоподобные гипотезы и ответы на широкие вопросы: можно ли</span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">качать медок вообще (нельзя), можно ли его использовать вообще - осталось неотвеченным.</span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">
        <br/></span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">Я был уверен, что </span>
    </span>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">это не дезин<span style="font-family:Arial;font-size:10pt;line-height:12pt;">ф</span>ормация, потому что их бы потом на костёр за нее, т.е.</span>
    </span>
  </div>
  <div>
    <span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
      <span style="font-family:Arial;font-size:10pt;line-height:12pt;">это, юридически, "искреннее заблуждение". Но и это было уже что-то.</span>
    </span>
  </div>
  <div>
    <i>
      <span style="font-size:10pt;line-height:12pt;">
        <span style="font-family:Arial;">
          <br/></span>
      </span>
    </i>
  </div>
  <div>
    <i>
      <span style="font-size:10pt;line-height:12pt;">
        <span style="font-family:Arial;">6 липня 2017, 11:28:07, від "Mike Petrusha" <</span>
        <a href="mailto:mp@disan.net" target="_blank" rel="noreferrer noopener">
          <span style="font-family:Arial;">mp@disan.net</span>
        </a>
        <span style="font-family:Arial;">>:</span>
      </span>
    </i>
  </div>
  <div>
    <br/></div>
  <blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
    <span><pre style="margin:5px 0;">Hi!

И то, и другое - догадки.
За 96 часов к приезду специалистов можно было каких хочешь логов написать.

На <a href="http://blog.talosintelligence.com/2017/07/the-medoc-connection.html" rel="noreferrer noopener" target="_blank">http://blog.talosintelligence.com/2017/07/the-medoc-connection.html</a>
тоже заметили, что "the actor in question burned a significant
capability in this attack.  They have now compromised both their
backdoor in the M.E.Doc software and their ability to manipulate the
server configuration in the update server. In short, the actor has
given up the ability to deliver arbitrary code to the 80% of UA
businesses that use M.E.Doc as their accounting software..." Это
выглядит как баг со стороны вирусописателей.

Про эту же статью - непонятно, откуда известно, что "... that the
server had been wiped the same day at 7:46 PM UTC... using dd
if=/dev/zero". Где это было найдено? И если хостер поделился с ними
этим, почему не поделился дальнейшей цепочкой?

Потом, я так понимаю, что нашли на сайте web-shell модуль, но в 27-го
заходили не через него, а через дырку в ftp-чём-то и то не с первого
раза. И это при том, что доступ ко всей системе был начиная с апреля.

Т.е. с апреля кто-то регулярно получал исходники, элегантно вписывал
туда backdoor, раздавал эту версию всем (Тоже через L7 hijack, или
просто подменяя бинарник на обычном сервере? Эти версии с backdoor
есть на серверах MeDoc? А код в исходниках?), а 27-го числа не мог
зайти нормально?

Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то.

--
Mike


> Я делал всё что мог на основании информации, которую мне давали. Выводы
> были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не
> выявлен
> и может находиться на сети, а не прямо на серверах. Также я оказался прав
> про перехват
> ip, только это не на L2/L3 было, а на L7 - запросы проксировались.
>
</pre>

</span>
  </blockquote>
</span></body></html>