Сбербанк сканирует порты локального компьютера

В ходе обсуждения сторонних скриптов "Сбербанка" решил немного поглядеть на обмен данными. Запустил в Огнелисе "Сеть" (Shift+Ctrl+Q) и...

Сбербанк сканирует порты локального компьютера Сбербанк, Сканирование, Тег для красоты

Внимание вопрос - зачем сканировать порты локальной машины? Точный адрес скрипта сканирующего порты:


https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/va...


Код скрипта зашифрован. Это единственный зашифрованный скрипт в выдаче. @Sberbank, @sberbank.ru, будьте любезны дать пояснения. Почему вы сканируете мой компьютер?

Вы смотрите срез комментариев. Показать все
356
Автор поста оценил этот комментарий
проверяет наличие rootkit на РС
(при наличии подозрительной активности на портах, запрещает операции на официальном сайте)

_ я, не работник кибер безопасности банка, но знаю об этом от работников IT

раскрыть ветку (172)
401
Автор поста оценил этот комментарий

классика, рандомный пиздеж топ коммент

раскрыть ветку (4)
61
Автор поста оценил этот комментарий
В точку.
раскрыть ветку (3)
18
Автор поста оценил этот комментарий
Поэтому я и не плюсую то в чем не разбираюсь
ещё комментарии
140
Автор поста оценил этот комментарий
И как, если не секрет, по статусу десятка портов определить руткит? А если я ftp переназначил на этот порт меня забанят?
раскрыть ветку (131)
296
DELETED
Автор поста оценил этот комментарий

лучше повесь туда веб-сервер, который на get запросы будет отвечать "пошел ты нахуй сбербанк" :D

раскрыть ветку (14)
43
Автор поста оценил этот комментарий

Вооот, сам писать собирался) только с линком на natribu

раскрыть ветку (13)
32
Автор поста оценил этот комментарий

на тебе конфиг nginx:


server {

listen *:номер_порта;

location / {

return 200 "OXYEJI 4TOJI|/|?!";

}

}

раскрыть ветку (12)
76
Автор поста оценил этот комментарий

Не разобрался куда это девать и поэтому просто отправлю в онлайн чат Сбербанка...

раскрыть ветку (4)
13
DELETED
Автор поста оценил этот комментарий

Ну ладно.


1 - Идем на https://nginx.ru/ru/download.html

2 - Качаем последную стабильную версию под windows

3 - Распаковываем скачанный архив в любую удобную папку

4 - Идем в папку nginx-1.12.0\conf и открываем nginx.conf

5 - Меняем содержимое nginx.conf, на предложенный @vandersex конфиг

6 - Вписываем нужный нам порт в строку listen *: порт;

7 - Запускаем Niinx при помощи nginx.exe

Вы прекрасны !

Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку (2)
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
Автор поста оценил этот комментарий

Охохохо, по мне было бы лучше на 445 повесить. :D

ещё комментарий
14
Автор поста оценил этот комментарий

а почему не return 200 "OXYEJI 4TOJI|/|?; DROP TABLE clients;--')";

Автор поста оценил этот комментарий
великолепно )

добавил в конфиг ))

Автор поста оценил этот комментарий
А можно подробнее? Веб сервер как поставить знаю, а этот код куда вбивать?
раскрыть ветку (3)
6
Автор поста оценил этот комментарий
А как набьешь, сделай селфи с жопой и кинь Сберу.
3
Автор поста оценил этот комментарий
На задницу набей себей
1
Автор поста оценил этот комментарий
конфиг nginx:

Написано же

ещё комментарий
27
DELETED
Автор поста оценил этот комментарий

Только по этому признаку - никак .

В купе с неожиданными/ожидаемыми ответами с порта - теплее .

Если порт ещё и входит в диапазон нерезервированных и потенциально используемых актуальными руткитами - горячо .

раскрыть ветку (18)
12
Автор поста оценил этот комментарий
По. Статусу. Порта. Какие ответы? GET-запрос, ответ от веб-сервера?
раскрыть ветку (15)
2
Автор поста оценил этот комментарий

Ну, открой порт из списка да посмотри, что на него прилетит от сбера.

ещё комментарии
ещё комментарии
10
Автор поста оценил этот комментарий

Так надо скрипт деобфусцировать и посмотреть - может, просто предупреждение выдаёт.

раскрыть ветку (75)
19
Автор поста оценил этот комментарий

Не, там огромный скрипт (13к строк) с кучей логики и шифрованием чего-то.

То есть это не просто предупреждение, там много какого-то неясного функционала.

раскрыть ветку (62)
26
Автор поста оценил этот комментарий

Обстукивает он не все порты, а следующие:

22, 80, 445, 5985, 5900, 5939, 56650, 3389, 51, 8080, 6900, 5931, 5938.

Код скрипта очень сложно читать, если только пошагово смотреть в отладчике. Подозрительно, зачем сберу данные о 3389, к примеру - какая разница, есть или нет удаленное подключение. Одна теория - действительно оценивает потенциальную протрояненность компа.

Сейчас смотрю дальше

раскрыть ветку (47)
10
DELETED
Автор поста оценил этот комментарий

А 22 нахрена? SSH давно трояном стал?

раскрыть ветку (33)
14
Автор поста оценил этот комментарий

Как и 80, хуй его знает.

1
Автор поста оценил этот комментарий
ssh, rdp, vnc (5900) - сервисы для удаленного доступа. Точно не помню, но не удивлюсь, если там и какието порты тимвьювера есть.
Автор поста оценил этот комментарий
Ssh всегда рекомендуют переназначать с деолтного порта
ещё комментарии
18
Автор поста оценил этот комментарий

Да что там маяться.

Все видно что он отправляет слепок клиента с максимальными собранными данными.

Позволяет собрать уникальные данные для идентификации.

Старо как мир. С портами правда они и правда намудрили.


Но как было сказано ниже, это для идентификации юриков

Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку (4)
8
Автор поста оценил этот комментарий

Обсуждаемый скрипт вообще не связан с этим слепком, коллега. Да, такой запрос, который вы привели есть, но никакого отношения к обсуждаемому в вопросе скрипту он не имеет )

раскрыть ветку (1)
Автор поста оценил этот комментарий

Этот запрос отправляется на сервер статистики сбера. Если вы приглядитесь, там есть свойство ports, которое также отправляется туда.

4
Автор поста оценил этот комментарий

Не-не-не, это же просто данные для яндекс.метрики или для гугла

раскрыть ветку (1)
Автор поста оценил этот комментарий

Нет, это отправляется на сервис "https://scr.online.sberbank.ru/api/fl?cfids2=speaJe%2B%2B63r..." в виде полушифрованного (сначала подумал что base64, но они шифруют самостоятельно).

Автор поста оценил этот комментарий
Предполагаю, что если ты открыл рдп сессию, то банк клиент может не заработать. Логика простая - например ты авторизовался, потом кто-то перехватил управление компом.
Автор поста оценил этот комментарий

Интересно, а если я наоборот лютый параноик, и все операции провожу с доверенной машины (виртуалки, например, или домашней) через тот же 3389 RDP, то всё, заблокируют?

раскрыть ветку (2)
1
Автор поста оценил этот комментарий
Да не знаю. По идее, не должны, тут вы правы.
Автор поста оценил этот комментарий
Лютые параноики не используют веллноун порты!
Автор поста оценил этот комментарий
Чел подключился по удаленке, после решил на сайт сбера зайти, используя сохраненные в браузере пароли. ИМХО
2
Автор поста оценил этот комментарий
3389 - RDP порт. Один сбрученный/взломанный компьютер на черном рынке стоит рублей 15-30. Очень часто используется для заливов по РУ (Перевод денежных средств с счета на свой), т.к. не оставляет следов на компьютере мошенника.
раскрыть ветку (2)
Автор поста оценил этот комментарий
Спасибо, кэп)
Автор поста оценил этот комментарий

На обычном компе же если цепляешься стандартным функционалом винды - палево. Экран блокируется.

6
Автор поста оценил этот комментарий

По поводу обфускации - ничего там сложного нет, можно тупо запустить в отладчике, и скрипт разворачивается в нормальный вид. Но он пипец какой огромный, сейчас смотрю его.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Ждем результатов)
6
Автор поста оценил этот комментарий

Ок, ща посмотрим, что там.

раскрыть ветку (11)
3
Автор поста оценил этот комментарий
Я подпишусь и подожду вашего вердикта
раскрыть ветку (10)
5
Автор поста оценил этот комментарий

Ну он же шутит :D. Сделать аудит 13 тысяч строк в одиночку в разумные строки попросту невозможно

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Смотрю потихоньку. Лет 5 назад я разбирал троян-лоадер, который тоже был обфусцирован, 7 функций разобрал за несколько часов. Но там помогло то, что можно было такие точки останова поставить в js-отладчике, что код сам по себе почти полностью был распакован в относительно нормальный вид)

3
Автор поста оценил этот комментарий
призовите когда вам ответят
раскрыть ветку (6)
3
Автор поста оценил этот комментарий
Схоронюсь в ветке и подожду
раскрыть ветку (3)
3
Автор поста оценил этот комментарий

Аналогично

раскрыть ветку (2)
4
Автор поста оценил этот комментарий

интересно ответит ли сбербанк официально

раскрыть ветку (1)
Автор поста оценил этот комментарий

Нас наебали. Расходимся.

2
Автор поста оценил этот комментарий

Позовите и меня, пожалуйста

DELETED
Автор поста оценил этот комментарий
да не, майнит биткоины потихоньку. Надо же где-то деньги брать.
раскрыть ветку (11)
Автор поста оценил этот комментарий
Биткоины на ПК уже года 2 как никто не фармит. Сложность высокая.
раскрыть ветку (10)
DELETED
Автор поста оценил этот комментарий
да в курсе, но только вирусы-майнеры как работали так и работают.
Автор поста оценил этот комментарий
Странн . Знакомый только этим и живёт что майнит
раскрыть ветку (7)
Автор поста оценил этот комментарий
Либо у него фермы, либо он магнит другую криптовалюту.
раскрыть ветку (6)
Автор поста оценил этот комментарий

Ферма на видео картах

раскрыть ветку (5)
Автор поста оценил этот комментарий
На видеокартах точно не майнят битки. Тут явно другое.
раскрыть ветку (4)
Автор поста оценил этот комментарий

Смотря на каких.470-480 радеоновские сейчас являются оптимальными для майнинга, в том числе и битков, за счет низкого энергопотребления. Да и если покупать по гарантии и карта крякнется (при небрежной настройке фермы), либо будет работать не корректно, гарантия на неё - не пустой звук, а вполне реальный способ обменять поломанное на новое. Частный майнинг сейчас только на картах и держится, да и китайские фермы тоже на картах живут, постепенно заменяя старые на более энергоэффективные.. Впрочем, имхо, китайским фермам уже и пяти лет не протянуть.. В общем, жить на майнинге битков вполне реально, но:

1) Важен выбор карты

2) Её правильная настройка

3) Бережный уход и правильное охлаждение

4) Высокая энергоэффективность.

5) Подбор пула

Если майнит человек с умом - вполне способен жить на этом.. Да и даже когда ферма потеряет свою актуальность, подержанные карты вполне благополучно можно сбыть за половину цены, отбив дополнительную плюшку сверху того, что было намайнено за время работы.

раскрыть ветку (3)
Автор поста оценил этот комментарий

Окей, откройте любой калькулятор майнинга и посмотрите, что вы там из битков сможете намайнить на видеокарте. В 2015 году, может быть, на топовых видеокартах и можно было нафармить какие-то копейки, но сейчас уже точно нет.

раскрыть ветку (2)
Автор поста оценил этот комментарий

Зато, если кому интересно, Ethereum на Polaris'ах прекрасно майнится :D

Автор поста оценил этот комментарий

тоже не программер, но стоят на компе платные проги, так при наличии flexihub сразу ругаются, что не будут работать

4
Автор поста оценил этот комментарий

Не секрет. Если нет доступа, меняйте свои фтп порты на дефолтные/другие, по аналогии с мобильным клиентом, клиент сбербанка если видит рут на устройстве, операции невозможны(только по шаблонам).

PS я не настоящий сварщик не имею никакого отношения к сберу, просто личные наблюдения.

раскрыть ветку (17)
4
Автор поста оценил этот комментарий
Я все еще жду ответа на "не секрет". Как выявить руткит по статусу десятка портов, пусть тех же, с 80го вообще ржу.
раскрыть ветку (4)
DELETED
Автор поста оценил этот комментарий
руткит

он не говорил про руткит, он говорит, что root на смарте блочит операции из клиента сбера, что правда.

раскрыть ветку (3)
4
Автор поста оценил этот комментарий

Нажми на стрелочку, над его комметом. Поправь меня, если я не прав. Выглядит, будто он говорит о том, чего не понимает. А ты оправдываешь его, не прочитав, на что он отвечает.

раскрыть ветку (2)
7
DELETED
Автор поста оценил этот комментарий
Выглядит, будто он говорит о том, чего не понимает.

Это действительно так.

А ты оправдываешь его, не прочитав, на что он отвечает.

Да, я не посмотрел, что изначально речь шла про руткит :(

раскрыть ветку (1)
6
Автор поста оценил этот комментарий
Приятно иметь дело с человеком разумным, лови плюс.
3
Автор поста оценил этот комментарий

Можешь и в сбере в отделении сидеть - к сути вопроса не приблизит. Ответ из разряда: "не знаю, если после того, что ты описал, не работает - сам виноват." Рут и ftp-серв в одну корзину? Вам больше не стоит заниматься юмором.jpg

раскрыть ветку (9)
1
Автор поста оценил этот комментарий

мобайл приложение проверяет рут, веб морда смотрит порты, совсем разные вещи, но и то и другое называется проверка безопасности

раскрыть ветку (7)
5
Автор поста оценил этот комментарий
Нет.
раскрыть ветку (6)
1
Автор поста оценил этот комментарий

Твои аргументы скисли не хуже чем его.

раскрыть ветку (5)
2
Автор поста оценил этот комментарий

Еще один, жду ответа на #comment_88479267

раскрыть ветку (4)
1
Автор поста оценил этот комментарий

И? Вы в адеквате вообще?

раскрыть ветку (3)
3
Автор поста оценил этот комментарий

Прошу прощения, еще одна. Мои аргументы неопровержимы в сети, через которую мы с вами взаимодействуем.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Естественно они неопровержимы, ведь слово "Нет" не является аргументом.

Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий

больше скажу, в сбере вам в лучшем случае так и скажут, в худшем скажут что всё должно работать, смотрите своё говно

Автор поста оценил этот комментарий
Несистемный рут смотрит на эту ветку как на говно
Автор поста оценил этот комментарий

обходится это очень легко, рут он смотрит в одном файле, симлинк и нет ни какого рута

Автор поста оценил этот комментарий
Руткит нет, но 8080 порт, тип ВПН, другие порты которые не разглашаются в целях безопасности - всегда проверяются. Гуглите как это делается, все проще.
раскрыть ветку (1)
Автор поста оценил этот комментарий
другие порты которые не разглашаются в целях безопасности
ЖИДАМАСОНСКИЙ ЗАГАВАР!

НАКАМПЕ ЕСТЬ ПАРТЫ!

НИСКАЖУКАКИИ В ЦЕЛЯХ БИЗАПАСНАСТИ!

7
Автор поста оценил этот комментарий
вчера обсуждение было на гиктаймсе, пишут что для проверки наличия клиентского софта, для взаимодействия по api в дальнейшем.

https://geektimes.ru/post/289577/#comment_10095441

ещё комментарии
3
Автор поста оценил этот комментарий
Не совсем руткиты ищут, средства удаленного доступа, хз зачем правда, RDP, VNC, TW, radmin, AA (большая часть портов их на скрине) все равно сидя через удаленку можно заходить и исполнять все действия.
Такое у многих онлайн банкингов, но менее заметно
раскрыть ветку (10)
4
Автор поста оценил этот комментарий
Нормальный человек rdp пробросил бы на другой порт, да и другие потенциально опасные тоже. Я вот например на 33933 недавно вешал. Скан портов ничего не дает, если только ты не задумал устроить брутфорс этой машинке.

Поэтому мне кажется, что это заражённый файл. Нужно бы выслать его спецам сбербанка на анализ.

раскрыть ветку (9)
3
Автор поста оценил этот комментарий
33988 же..

от кул-хацкеров в 90% спасает, а вот от настойчивых все же только жесткий файрволл src-ip + dst-port... меня все подбивают поставить утилиты, которые эмулируют успешный взлом и логирующие дальнейшее развитие событий на сандбоксе для последующего анализа и чисто поржать, но все лень... ssh туда же...

раскрыть ветку (7)
1
Автор поста оценил этот комментарий
Я не ставил себе целью кого-то поймать, а порт выдумал такой, чтобы просто запоминался и был не занят.

Работаю по схеме:

1. Из локалки на выходе в инет — файрволл Керио, С инета на порту открыта его вебморда.

2. Если не на работе и нужно что-то сделать из дома. Заходим на вебморду и включаем/пробрасываем любые сервисы для доступа извне в локалку. Можно открыть удаленный сеанс, сделать локальный сайт доступным в интернете и т.п.

3. Попользовались — выключаем с вебморды.

1
Автор поста оценил этот комментарий

Перенос портов на нестандартные и жесткий TARPIT на все остальные порты для небольшой фрустрации у сканирующего. И Fail2Ban в догонку.

1
Автор поста оценил этот комментарий
Тут что-то на эльфийском...
раскрыть ветку (4)
3
Автор поста оценил этот комментарий

Человек говорит про создание системы, в которой бы хакер попытался бы войти в его компьютер, но это была бы система в системе из которой нельзя выйти, понятненько?

раскрыть ветку (3)
3
Автор поста оценил этот комментарий

У этого есть простое название - Honeypot.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Ша Винни-пух прилетит, а летающие с небеса медведи - это к злым пчелам!

1
Автор поста оценил этот комментарий

Да, пасиб)

1
Автор поста оценил этот комментарий
Друже.. посмотри сколько машин постиг шифровальщик. О какой грамотности мы можем говорить? Люди не могут тыркнуть кнопку "обновить", а ты тут говоришь о настройки сервиса. Думаю среднестатистический гражданин не делает таких тонких настроек.
9
Автор поста оценил этот комментарий

Думаю тут немного другой вариант:

1. Сканит он эти порты проверяя что они свободны, чтобы в дальнейшем использовать их при обращении на свой сервер.

2. Проверяет он их таким образом есть ли ответ по этим портам, если есть скорее всего биндит на какой нить другой.

3. Делается все это для того чтобы вы(элементарно прописав в хостс) или какая либо другая вредоносная программа не вклинилась между браузером и сервером, подменяя трафик или сканируя его.
Это моя теория, в принципе разрабатывая я столь желанный кусок для мошенников или просто доморощенных любознательных хакерменов, я бы сделал то же самое.

раскрыть ветку (4)
3
Автор поста оценил этот комментарий

1. Он не может обращаться на свой сервер через ваши порты. Он может обращаться только с того порта, с которого была открыта страница.

2. Проверяет он доступ к ключам, системам авторизации и прочим плюхам от сбербанка для усиленной защиты юриков.

3. 127.0.0.Х не вклинится между браузером и сервером. Это ссылка на ваш компьютер.

раскрыть ветку (3)
1
Автор поста оценил этот комментарий
Проверяет он доступ к ключам, системам авторизации и прочим плюхам от сбербанка для усиленной защиты юриков.
Именно поэтому он чекает не заняты ли на компе СТАНДАРТНЫЕ порты RPD, VNC, Radmin, AA?
раскрыть ветку (1)
Автор поста оценил этот комментарий

У него есть набор портов, которые он занимает. То, что он совпадает со списком других портов - это не важно. RAdmin и VNC, кстати, стандартом не является. Что такое RPD и AA я не знаю. Вот RDP, который вы наверное имели ввиду - включен не у всех.


Более того, HTTP не совместимый с ними протокол со всем этим ПО протокол (это же не telnet) и получит ту же самую ошибку.

Автор поста оценил этот комментарий

я имелл ввиду:

например какой то запрос отправляется по адресу sberbank.ru:2222/some_request

а если у тебя в хостс забито sberbank.ru:2222 127.0.0.1:2222 запрос уйдет тебе на пк где к примеру он каким либо видом модифицируется или просто сканится и пускается дальше. То есть это равносильно 127.0.0.1:2222 поэтому он и проверяет, болтается ли там что либо.

Как то так я это представлял.

4
Автор поста оценил этот комментарий
Да да, особенно последняя вирусня шифровальщика - тоже ищет активность на портах, а потом запрещает операции *шифрует*...
раскрыть ветку (2)
11
Автор поста оценил этот комментарий
Я, может, переработал, но объясните мне, какая к лешему активность? Порт либо слушает, либо нет, для стороннего наблюдателя. ISP пренебречь, вряд ли они все сберу докладывают по каждому хосту.


З.Ы. @astrobeglec, ник по А. и Б.?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Да
1
DELETED
Автор поста оценил этот комментарий
Что за хуету ты поришь..? Как ты проверишь фс ос через закрытое пространство js?
1
Автор поста оценил этот комментарий

Вот что он делает и что он отправляет #comment_88488759

1
Автор поста оценил этот комментарий
Еще может искать электронную подпись
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

в порте рдп и внц что-то искать могут лишь 2 типа людей - юзер который их создал и паразиты/черви/вирусня/цру/путин и т.п, тут третьего не дано

так что нет, не может

ещё комментарий
Автор поста оценил этот комментарий

у меня на компе 10 рабочих руткитов, сбербанк онлайн работает без проблем.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку