Hi! И то, и другое - догадки. За 96 часов к приезду специалистов можно было каких хочешь логов написать. На http://blog.talosintelligence.com/2017/07/the-medoc-connection.html тоже заметили, что "the actor in question burned a significant capability in this attack. They have now compromised both their backdoor in the M.E.Doc software and their ability to manipulate the server configuration in the update server. In short, the actor has given up the ability to deliver arbitrary code to the 80% of UA businesses that use M.E.Doc as their accounting software..." Это выглядит как баг со стороны вирусописателей. Про эту же статью - непонятно, откуда известно, что "... that the server had been wiped the same day at 7:46 PM UTC... using dd if=/dev/zero". Где это было найдено? И если хостер поделился с ними этим, почему не поделился дальнейшей цепочкой? Потом, я так понимаю, что нашли на сайте web-shell модуль, но в 27-го заходили не через него, а через дырку в ftp-чём-то и то не с первого раза. И это при том, что доступ ко всей системе был начиная с апреля. Т.е. с апреля кто-то регулярно получал исходники, элегантно вписывал туда backdoor, раздавал эту версию всем (Тоже через L7 hijack, или просто подменяя бинарник на обычном сервере? Эти версии с backdoor есть на серверах MeDoc? А код в исходниках?), а 27-го числа не мог зайти нормально? Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то. -- Mike
Я делал всё что мог на основании информации, которую мне давали. Выводы были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не выявлен и может находиться на сети, а не прямо на серверах. Также я оказался прав про перехват ip, только это не на L2/L3 было, а на L7 - запросы проксировались.