Ростелеком
Всё? И до них добрались?
Интернет упал, личный кабинет не доступен. Соединение есть, интернета нет.
У всех такое?
Москва.
Всё? И до них добрались?
Интернет упал, личный кабинет не доступен. Соединение есть, интернета нет.
У всех такое?
Москва.
В последний месяц наблюдается массовая активация шифровальщиков. Но это не вирусы, это в основном сознательный взлом. И вот там наблюдается очень страшная тенденция.
У меня сейчас было для анализа 4 конторы. Все обратились с "зашифрованными нафиг данными". Где-то это варианты типа Loki, где-то тупо BitLocker. Но странно даже не это. В случае с Loki, атака была через опубликованный в сети комп, где существовал администратор с именем user и паролем user. Локальный, но это уже дало ему право получить доступ к RDP, а дальше можно запускать все, пусть еще на пользовательском компе. Во втором случае все намного интересней, был активирован, непонятным способом, интересный аккаунт DefaultAccount, на сервере Exchange, он смог сменить пароль одной из технических учеток с правами доменного администратора (винда русская, "Администратор" они просто набирать не захотели), и дальше уже шифровали BitLocker от его имени. Третий вариант - пробили пользователя .DOTNET, так же как и в предыдущем случае сумев его активировать, дать ему права админа и удаленный рабочий стол.
Выводы пока самые неутешительные. Атаки идут целенаправленно, в основном в выходные. Ломают быстро и качественно. И очень часто используются либо откровенные дыры в безопасности (первый случай), либо технические учетки, и если первое понятно, то второе вызывает вопросы.
Рекомендации? Убирайте публикацию RDP, только после VPN. Отключайте на фиг локальные учетки в случае работы в доменах. Чистите списки администраторов. Отключайте лишних. Закручивайте гайки по максимуму. Пока так.
Устал наверное. Вот и прилёг
Но мы продолжаем следить за тем, что происходит в этих ваших интернетах с точки зрения сетей.
Вот на днях организовалась задача от Минцифры - сформировать список фильтрации для отсечения всего иностранного трафика. Задача прилетела уже от исполнителей, то есть в нашем случае от стадионов Москвы. Идея вроде здравая, позволяет защитить сайты и ресурсы от возможных атак из-за границы. Если бы не одно "но".
Для начала можно попробовать поискать уже готовые решения. Находятся они махом:
https://habr.com/ru/post/659655/
https://lite.ip2location.com/russian-federation-ip-address-r...
И как бы все хорошо, если бы не один нюанс - в случае использования решения от Habr вы получите все что угодно но не диапазоны сетей РФ. Почему так? Потому что база RIPE создается самими пользователями RIPE и в принципе можно указать для своей AS любую страну, где она при этом анонсируется не важно. Второе - в рамках блока AS можно анонсировать любое количество сетей и не важно в какой стране они прописаны. Третье, в рамках одной сети могут существовать подсети разнесенные географически, то есть условно 194.87/16 сеть Релком относящаяся к Чехии (был у них скандальчик), а вот ее подсети это арендованные блоки и 194.87.83/24 не так давно была российской сетью.
Второй способ тоже не лучше. Они используют отчеты IANA, что мало отличается от RIPE, и технически содержат ту же ошибку - никто не может гарантировать, что сеть анонсируется в той стране к которой приписана. Более того, это заграничный ресурс, так что доверять ему у нас смысла особого нет.
Есть третий путь. Путь самой Минцифры. Это база "суверенного интернета". Есть она у Роскомнадзора и сети РФ обязаны по закону обновлять там данные. Вот только получить из нее список сетей невозможно. Так что бейтесь головой о стену как умеете.
Я наверное чего-то не понимаю. И, да, это ответ на собственный пост, сделанный в начале СВО.
Pikabu сейчас очень странно пытается лавировать, между "повестками". Но разговор даже не об этом. Дело в том, что достаточно долгое время Pikabu подвергался атакам, в том числе DDoS, со стороны одной из известных нам стран. И когда-то я даже предлагал им рассмотреть вариант защиты. Но вот то, что происходит сейчас, меня просто удивляет.
Первое - Pikabu переехал в Германию. Вернее он переехал на облачный хостинг высокой доступности, но это ES-FORNEX, то есть - https://fornex.com/ru/, у меня вопрос - как вы за это платите? При условии почти полной блокировки трансграничных платежей?
Второе - атаки, как я понимаю теперь не важны, потому что во первых - облачный хостинг изначально обладает достаточными средствами для защиты, а во вторых, из-за его особенностей, атакованы будут распределенные по миру ресурсы и скорее всего (не забываем про VPN), те, что ближе к атакующему, грубо говоря Украина как всегда атакует Украину.
Ну и третье - https://fornex.com/ru/clients/ Пикабу уже внесен в качестве "нашего крупного клиента" и это радует конечно. Меня удивляет другое.... Сети в массе своей принадлежат Германии, при этом у нас, к примеру, просто забрали сеть принадлежащую (с точки зрения RIPE, Чехии), потому, что оплачивать ее Demos не может. А тут... Сети принадлежат Германии, платит за них:
Fornexcloud Ltd.
Arch. Makariou III, 95
Charitini Building, Floor 1, Flat 102
Nicosia, Cyprus, 1071
И как-то, судя по всему - может продолжать платить. Что к чему? Я в душе не ебу. Я уже запутался во всей этой свистопляске с сетями и их скоростным отжимом. Но то, что Pikabu хостится у немцев под эгидой Кипра меня удивляет.
Привет, пикабу, наткнулся на карту ДДос атак и не могу понять, это США всех закидывает ботами или наоборот, может кто-нибудь объяснить, пожалуйста? Заранее, спасибо.
Вот ссылка на источник,
https://www.digitalattackmap.com/#anim=1&color=0&cou...
карта не моя, тег моё не ставлю.
Сегодня речь пойдёт про хакеров из Killnet.
Много времени прошло, и я уже позабыл про них.
Время шло, началась военная операция на Украине, и вдруг появилась группировка хакеров под названием "Killnet", они смогли положить сайт "Anonymous" и про них заговорило большое количество российских СМИ.
Я случайно в поиске Youtube наткнулся на одного человека с ником "(root@kali)-[~]: Мц Хакер", где он рассказал правду, кем же они являются на самом то деле.
Ссылочка на YouTube разоблачения группировки хакеров Killnet - Тык.
Предыстория:
Хакеры из команды Universal Dark Service устроили вечером 25 декабря DDoS-атаку на сайт ФСИН. Информационный госресурс в сети интернет был заблокирован и недоступен некоторое время.
Ссылка на источник - вот он.Пост так же был опубликован в группе ВКонтакте "Типичный Мошенник".
Ссылка на пост в группе ВКонтакте - ссылка на ВК.
Пользователь под именем "Анатолий Каневский" предложил видео, которое он изготовил собственноручно, но впоследствии Тик Ток канал был удалён.
Нам известно, что канал имел 62 тысячи подписчиков в Тик Токе, этому свидетельствует сохранённая копия в кэше поисковой системы Google, можете сами убедиться, что канал такой был, набрав в поисковой системе "aknate tik tok" и нажав на "треугольник вниз" -> "сохранённая копия страницы".
Так же если ввести "Universal Dark Service" в поисковую систему "Яндекс" мы можем увидеть их YouTube канал, который был впоследствии переименован, а так же Telegram канал, адрес которого был изменён - один и два.
Так же вы можете сравнить стиль голоса и оформления видео Killnet и Universal Dark Service, по видеороликам видно, что эта одна и та же хакерская группировка.
В завершении статьи, подвожу итог:
Да они действительно перешли на сторону России, но что стоит от них ожидать теперь. Они всячески пытаются скрыть правду, чтобы люди не догадались, что Universal Dark Service - это тот же самый Killnet. При этом сливают информацию о людях, которые пытаются их рассекретить, раскрыть, деанонимизировать их личности.Официальный канал в Telegram хакерской группировки Killnet - https://t.me/killnet_channel
Факт остаётся фактом, и эту информацию должны знать все.
Справились? Тогда попробуйте пройти нашу новую игру на внимательность. Приз — награда в профиль на Пикабу: https://pikabu.ru/link/-oD8sjtmAi
Ух, между кучей работы пытаюсь как-то держать сайт из своего первого поста Как не забыть компании, которые сейчас кидают россиян (вонлист)
Через сутки после запуска сайта 8 марта, где-то через 12 часов после размещения поста на Пикабу, сервер начали дидосить :) Поначалу не сильно, но для выделенных на то время ресурсов оказалось фатально, с отказом в обслуживании.
Печалька, но пока решаемо: в списке два айпишника, поэтому блочу их на фаерволе руками, и начинаем курить в сторону защит. Есно, надолго фаерволе не хватило - новые адреса, кол-во запросов растет. Блочу несколько подсетей, сайт очухивается, збс)
Подключаю клаудфлар, настраиваю записи, подтираю где вылазят следы реальных айпишников, меняю адреса на новые.
Завожу в клаудфлар, сайт потихоньку выходит из под атаки, удаляю старые адреса.
Параллельно всему перенос серверов.
И с 9 числа по 10 млн запросов в сутки.. Да там живых людей 100 человек в день :)
Приятно 😊