Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"? 

На BGPlay левые маршруты видны?

--
Mike


On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun@ukr.net> wrote:
Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.
Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино:



27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.


_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog