Привет,

Тот факт, что вирус распространился так широко, означает, что, по
    твоей версии, подобная процедура должна была быть проведена в каждой
    пострадавшей локальной сети. Что, по моем мнению, невероятно.

Опять про "весь мир Не надо хакать весь мир. Достаточно это сделать в сети, >> где находятся сервера Медка << и никто этого не увидит.
Я сам пользуюсь этой фичей: во внутренней сети делаю статик на хост, который мне надо чтобы он был там, где мне надо, а не там, где его /24 и дистрибьючу этот статик.

 А был ли медок хакнут или это
    умышленное действие - вопрос, в контексте этого тредика, примерно
    последний.

Я бы сюда еще добавил третий пункт: >> медок хакнут, умышленное, подстава <<



4 липня 2017, 12:51:52, від "Volodymyr Litovka" < doka.ua@gmail.com >:


On 7/4/17 12:44 PM, Vladimir Sharun wrote:
Привет,

Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать.
Тот факт, что вирус распространился так широко, означает, что, по твоей версии, подобная процедура должна была быть проведена в каждой пострадавшей локальной сети. Что, по моем мнению, невероятно.

И даже если версия Саморукова не подтверждается фактчекингом, то я всё равно более склонен верить "медок" - такие масштабы поражения подтверждает только такая версия. А был ли медок хакнут или это умышленное действие - вопрос, в контексте этого тредика, примерно последний.

Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ?

Фактчекинг по "вишенкам на тортиках":

Неподдерживаемая версия freebsd:

Что до proftpd:

Среди светящихся в мир процессов remote code execution не наблюдается.

4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua@gmail.com >:

Версия с "хакнутым каталистом" представляется нежизнеспособной, потому что нужно было хакнуть тысячи разнообразных устройств (и не только каталистов, что предполагает наличие неизвестного remote exploit на оборудовании всех вендоров; кроме того, все эти устройства должны поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы добиться полученного эффекта.
Версия с route hijack должна подтверждаться наличием записей /32 в BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько мне известно, до сих существует практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так.
Наиболее вероятным объяснением я всё-таки считал бы это: https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой закончилась в 2013 году (и многие новые порты банально не собираются). Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года, и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему."

On 7/3/17 8:16 PM, Vladimir Sharun wrote:
Привет,

Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.

11 лет назад я сталкивался именно с таким сценарием.



3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >:

Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"? 

На BGPlay левые маршруты видны?

--
Mike


On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun@ukr.net> wrote:
Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.
Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино:



27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.


_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog


_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison

-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison