sysctl

Рейтинг
91
Регистрация
01.04.2008
Должность
BDSM ;)
Интересы
unix like
.!. O_O .!.
Критическая уязвимость в коммутаторах Cisco
suffix:
Никого не хочу учить бизнесу но разве не должно все оборудование не должно дублироваться во избежание таких ситуаций ?

Причем тут дублирование? Ну была у вас не 1 мертвая циска, а 2. Да хоть 4 циски поставь и все задублируй, а помрут-то сразу все с одинаковым результатом, если вовремя дыру не закрыть. Это проблема никак не решается дублированием, а только постоянным отслеживанием рассылок безопасности от вендора и оперативным обновлением ПО, в данном случае множество дыр было закрыто только 28 марта и пострадавшие просто не успели все это протестировать и накатить, потому как обновлённое ПО не всегда стабильно и часто содержит еще и дополнительную порцию новых глюков.

Для справки:

https://www.anti-malware.ru/news/2018-04-07-1447/25947

https://www.kaspersky.ru/blog/cisco-apocalypse/20136/

SAntone:
Так оно дублируется, но видимо теперь еще и разными вендорами прийдется это делать....

Что бы помимо дыр в безопасности одного вендора беспокоиться сразу о двух? Расхлебывать еще и возможные глюки совместимости, держать зоопарк различных специалистов или одного многорукого, т.е. с бОльшей квалификацией разумеется за это всё неся дополнительные риски и издержки ? Ну как-то... так себе идея для бизнеса 🍿

Критическая уязвимость в коммутаторах Cisco

На М9 сегодня ночью негде было припарковаться, а смена инженеров по 30км намотала только бегая по лестницам 🍿

Подскажите что за непонятные заявки пошли?
web2step:
Это то понятно :) Любопытно было с одной подсети идет спам или с разных) (просто как-то в 1 день спам, у нас у самих инъекции с разницей в 4 дня с одной и тойже подсети были). Накидал в abuse хостеру откуда ноги Время взлома и IPшники, может пожурят или возьмут на заметку)) Заодно и подсеть их прикрыл от греха.

Такие же запросы недавно обнаружились:


188.225.16.116 - - [14/May/2016:20:17:34 +0300] "POST /?object=login HTTP/1.1" 404 - "-" "agrofish eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59));"

188.225.16.116 - - [14/May/2016:20:17:34 +0300] "POST /?object=login HTTP/1.1" 404 - "-" "agrofish <?php eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59)); ?>"

IP TimeWeb'а:


inetnum: 188.225.16.0 - 188.225.23.255
netname: TMWB-SECTOR-3
descr: co-location service infrastructure [datacenter]
country: RU
admin-c: TMWB-RIPE
tech-c: TMWB-RIPE
status: ASSIGNED PA
mnt-by: TMWB-NCC-MNT
mnt-lower: TMWB-NCC-MNT
mnt-routes: TMWB-NCC-MNT
mnt-domains: TMWB-NCC-MNT
created: 2013-01-21T16:18:57Z
last-modified: 2013-11-06T06:56:19Z
source: RIPE

role: TimeWeb Co. Ltd. Role Account
address: 22A,Zastavskaya str.
address: 196084, Saint-Petersburg
address: Russia
phone: +7 812 2441081
phone: +7 495 6041081
phone: +8 800 3331081
abuse-mailbox: abuse@timeweb.ru
admin-c: AAB215-RIPE
tech-c: AAB215-RIPE
tech-c: NARR-RIPE
tech-c: IM3126-RIPE
tech-c: VP13151-RIPE
nic-hdl: TMWB-RIPE
mnt-by: TIMEWEB-MNT
created: 2008-03-18T10:36:42Z
last-modified: 2016-01-13T08:39:23Z
source: RIPE # Filtered
Ботнет 10к+ на wp-login
MIRhosting.com:
Хостерам! (мелким и не очень).
есть готовый постоянно обновляющийся список IP, собираемый с разных шаред серверов.

Любопытства ради, сколько уже тысяч IP в данном списке?

JS.Siggen.192
Charliez:
Странно. Сегодня яндекс опять посчитал вредоносными несколько клиентских сайтов, после перепроверки. Лезу смотреть - ничего не менялось, никакого вредоносного кода никуда не добавлялось. Несколько клиентов, которые сами лечились, тоже с такой же проблемой обратились.

Здесь есть кто-нибудь с такой же ситуацией? В яндекс куда-нибудь можно написать вопрос, чтобы подсказали, что именно и где искать нужно?

Полезная штука http://habrahabr.ru/post/141710/

JS.Siggen.192
AntonSkor:
Так вроде же дело в JAVA, которя есть и на той же Ubuntu?

Ну и что? Системы по архитектуре разные...

Представьте аналогию: вы "автоугонщик", всю свою криминальную жизнь вы угоняли автомобили и специализируетесь на них, так же у вас есть набор отмычек гарантирующий попадание в любую машину (та самая дыра в java), ваша отмычка так же подошла к кабине электропоезда. Теперь ответьте на вопрос: почему вы не сможете его угнать? - это и будет ответом на вопрос почему вирус написанный под win не будет работать на другой архитектуре.

JS.Siggen.192
AntonSkor:
Осталась одна не понятка: почему Linux не был подвержен?

По ряду факторов эта ОС наименее подвержена таким заражениям, основная причина, то что Win наиболее популярна и распространена у простых пользователей, т.е. шансы её успешно заразить намного выше, поэтому и основные вирусы пишут под win.

JS.Siggen.192
AntonSkor:
1) В таком случае, он стащил уже все мои пароли, ко всем сайтам и почте. Вы это хотите сказать?
2) Прочитав описание вируса, я подумал, что он как бы не содержится на компьютере:
- Открывается какой-то сайт, использующий уязвимость в JAVA
- Вредоносный код загружается в память
- Вирус проходит по всем сохранным данным и берет пароли
- Отсылает все пароли на почту его создателям

Т.е. вирус не сохраняется на жестком диске. Свою работу он сделал - зачем ему светиться?

там выше были разные варианты вирусов, отсюда и разное поведение, у одного из клиентов стоял т.н. "кейлоггер" которому вообще фиолетово на сохраненные пароли, он записывал все нажатия клавиш, тем не менее заражение у него было с того же IP адреса.

JS.Siggen.192
AntonSkor:
Господа, а как вирус смог утащить у меня пароли к ФТП, если я не храню пароли в FTP-менеджерах, а держу их в файлах txt, которые лежат в архиве под паролем?

Элементарно, если троян сидит в системе, ему не надо сохраненные пароли, он их украдет при вводе на моменте авторизации.

Взломали сайты

Смотр разные варианты у разных людей:

Trojan-Downloader.JS Agent - Аваст

Trojan-Spy.Win32.Logger.s - Касперыч

JS.Siggen.192 - Nod.32

в общем зараза обширная :(

12345678 ...37
Всего: 363