Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать.

Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ?

Фактчекинг по "вишенкам на тортиках":

Неподдерживаемая версия freebsd:

Что до proftpd:

Среди светящихся в мир процессов remote code execution не наблюдается.

4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua@gmail.com >:

Версия с "хакнутым каталистом" представляется нежизнеспособной, потому что нужно было хакнуть тысячи разнообразных устройств (и не только каталистов, что предполагает наличие неизвестного remote exploit на оборудовании всех вендоров; кроме того, все эти устройства должны поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы добиться полученного эффекта.

Версия с route hijack должна подтверждаться наличием записей /32 в BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько мне известно, до сих существует практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так.

Наиболее вероятным объяснением я всё-таки считал бы это: https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой закончилась в 2013 году (и многие новые порты банально не собираются). Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года, и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему."

On 7/3/17 8:16 PM, Vladimir Sharun wrote:

Привет,

Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.

11 лет назад я сталкивался именно с таким сценарием.

3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >:

Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"?

На BGPlay левые маршруты видны?

--

Mike

On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun@ukr.net> wrote:

Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.

Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино:

https://youtu.be/WEYOJ3d8EnU?t=1h2m24s

27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.

_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog