Привет,
Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать. Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ?
Фактчекинг по "вишенкам на тортиках":
Неподдерживаемая версия freebsd:
https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html
Что до proftpd:
https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html
Среди светящихся в мир процессов remote code execution не наблюдается.
Версия с "хакнутым каталистом"
представляется нежизнеспособной, потому что нужно было хакнуть
тысячи разнообразных устройств (и не только каталистов, что
предполагает наличие неизвестного remote exploit на оборудовании
всех вендоров; кроме того, все эти устройства должны
поддерживать кинда WCCP, что тоже не представляется вероятным),
чтобы добиться полученного эффекта.
Версия с route hijack должна подтверждаться
наличием записей /32 в BGP-таблицах и тоже маловероятна, потому
что в рамках UAIX, насколько мне известно, до сих существует
практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой
(б) /32 в RIPEdb не впишешь просто так.
Наиболее вероятным объяснением я всё-таки
считал бы это:
https://www.facebook.com/alex.samorukov/posts/1478768522180207--
"В связи с тем, что многие указали, что petya
пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот
самый сервер апдейтов сделан. Простейший скан (92.60.184.55)
показал, что на сервере стоит FreeBSD 7 (или 8.1, если по
openssh), поддержка которой закончилась в 2013 году (и многие
новые порты банально не собираются). Кроме того, вишенкой на
торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв
как решето, так еще и доисторической версии, все того же 2013
года, и скорее всего контроль над сервером и был получен через
него. Надеюсь, это информация будет полезна тем, кто исследует
проблему."
On 7/3/17 8:16 PM, Vladimir Sharun
wrote:
Привет,
Конечно же на BGP будет виден внутренний /32
маршрут или WCCP на (хакнутом) каталисте. Получив доступ на
более-менее умный свитч с L3 таких делов можно натворить,
о-ла-ла.
11 лет назад я сталкивался именно с таким
сценарием.
3 липня 2017, 20:09:06, від
"Mike Petrusha" < mp@disan.net >:
Hi!
Из нутри чего этот инсайд? Если от пострадавших, то
откуда они знают, что было или не было на оригинальном
сервере?
Или это новости с самого оригинального сервера "тут
ничено не было"?
На BGPlay левые маршруты видны?
On 3 Jul 2017 18:52, "Vladimir Sharun" <
vladimir.sharun@ukr.net>
wrote:
Всем
привет,
Небольшой
инсайд. Внешне произошедшее напоминает
route hijack или WCCP. Т.е. скомуниздили
роут на хост или перехватили на свою
проксю вызовы.
Пострадавшие
в логах проксей видят ip upd.me-doc.com.ua
честный (какой и должен быть) и в логах же
payload (330k), которого не было на
оригинальном сервере апдейта с этим ip.
Вспомнилось
кино:
27
червня 2017, 15:05:02, від "Oles
Girniak" <
oles@uar.net
>:
хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison