Архив рубрики ‘Security’

… и получил поддержку нескольких ключей без траты очков ДНК !

Вирусы-шифровальщики продолжают активно развиваться.
Буквально вчера я писал о зафиксированном случае двойного проникновения криптования.

Оказалось, что там всё несколько интереснее.

Жертва, потеряв доступ к своим файлам в результате атаки вируса, начинает судорожно искать решения в интернетах, и может найти такие странные программы, которые обещают просканить зашифрованные файлы и попытаться помочь с расшифровкой или поиском решения.

Авторы таких поделий активно косят под антивирусных «экшпертофф».
На практике же в самом наилучшем случае прога просто будет симулировать работу и рекламировать контакты посредников, в худшем — закриптует ваши файлы ещё раз, возможно, необратимо их испортив.

Так что если вас накрыло вирусом-шифровальщиком, это не повод расслабляться, и всякие такие сторонние софтины если уж и запускать — то исключительно в отдельной виртуальной машине, иначе можно пострадать ещё сильнее и глубже.

О второй интересной фиче тоже сообщили завсегдатаи антивирусных форумов. Раньше было как — взаимодействие с кибервымогателем шло по схеме «всё или ничего». Либо нет ключа, и поциент сосёт йух, либо ключ есть, и он таки расшифровывает все свои файлы. То есть дифференциация была только между компами. Заразился соседний комп в локалке — отдельный ключ, отдельный выкуп. Теперь же новая супер-модная тенденция — дифференцировать ключи по типам файлов.

Попав на машину, вирус генерит в пределах оной машины (то есть на одно заражение) несколько разных ключей под разные задачи. Хотите расшифровать офисные файлы — купите один ключик, говно-базы говно-данных (файловые 1С, аццесс) — купите ещё один ключик, за фотографии — купите третий ключик. Число ключей и вариантов ограничено только фантазией злоумышленника.
По случаю годовщины ограбления крупного банка возможна скидка — каждый 4-й ключ бесплатно =]

Совокупная стоимость владения виндовс начинает расти угрожающими темпами. Не надейтесь на антивирусы, учитесь делать бэкапы.

Думаете, вирусы-шифровальщики давно ушли, оставшись в прошлом ?
А вот и нет. Они научились работать последовательно, причиняя двойной дамаг файлам, нервам, и кошельку.

Нашел пример особо эпического попадоса :

>> Зашифрованы файлы рабочего стола и расшаренной папки.
>> Названия стали типа График отпусков.xls[graff_de_malfet@protonmail.ch][
>> ].fjh.id-7ED6683D.[magicswordhero@aol.com].msh

здесь было двойное шифрование, вначале идет шифрование [graff_de_malfet@protonmail.ch][].fjh скорее всего Cryakl CS 1.8,

затем id-7ED6683D.[magicswordhero@aol.com].msh — это уже шифрование в Crysis.

судя по маркеру в зашифрованном файле 00000000020000000CFE7A410000000000000000000000002000000000000000

это действительно Crysis #Dharma

Оба криптовальщика используют стойкие реализации, так что тут либо нормальные бэкапы (а не та суррогатная муйня, когда бэкапные сервера глубоко введены в ту же уязвимую AD-инфраструктуру, что и всё остальное), либо платить два жирных выкупа негодяям и молиться, чтобы совокупная стоимость владения виндовс не выросла ещё больше в обоих случаях не кинули с ключами, что регулярно случается.

Довелось тут немного поремонтировать телефон 📱, и после сброса настроек обнаружил такое неприятное поведение — раз в примерно минуту издавался звук уведомления. При этом он не соответствовал звуку из настроек и гасился только уменьшением громкости звука типа «мультимедиа».
(далее…)

Есть в линуксе такой очень тёплый и очень ламповый файервол — iptables.
Присутствует он там уже 20 с лишним лет, и чаще всего используется либо в настройках по умолчанию, либо для классической раздачи инета через шлюзовой сервер посредством NAT/MASQUERADE. Иногда про него вспоминают, если поднятый сервис после старта оказался не доступен из инета =)

Однако есть у него и ряд совершенно чумовых возможностей. В одной заметке нереально уместить всё обилие фич и сценариев использования, появившихся за двадцатилетнюю историю, я же опишу лишь две из них.

IPSET.

Офигенная штука, когда надо работать с крупными списками адресов или список адресов должен быть использован более одного раза.
Пример — есть у нас список IP адресов (ркн, телеметрия майкрософт, копирасты, спамеры и прочие злыдни), с которыми соединяться не нужно даже случайно ни на вход, ни на выход. Список при этом может часто меняться. Размещать всю эту муру в основном конфиге файервола — сложно, неудобно и чревато поломкой сети в случае ошибки.
Что мы делаем ? Ставим пакет ipset, и пишем простейший скрипт типа такого:

#!/bin/sh

ipset -N banlist iphash
ipset -F banlist

# Spam bots
ipset -A banlist 92.127.233.224
ipset -A banlist 208.103.122.165
...
ipset -A banlist 95.101.95.129/25

А в начало конфига файервола пишем вот такое:
-A INPUT -m set --set banlist src -j DROP
-A OUTPUT -m set --set banlist dst -j DROP

Всё, любой входящий траффик с этих адресов и исходящий на них же будет дропаться с регистрацией в соответствующих счётчиках (iptables —list -vn). Важных замечаний ровно два. Первое — ипсеты использует такая лютая надстройка, как firewalld. Мне не очень нравится его развесистая лапша из таблиц, пытающаяся описать все распространённые случаи. Надо внимательно смотреть, что ипсеты правильно применились. Зато он полностью сам рулит ипсетами, правилами, последовательностью запуска и прочим. Но конфиг на выходе — в три экрана. Впрочем, ничто не мешает снести надстройку и написать свой конфиг файервола со скриптами, сетами и логгерами.
Второе — сеты должны быть созданы ДО запуска файервола. Как именно вы это сделаете — через юниты systemd, скриптами из rc.local или ещё как — не суть. Главное — конфиг с -m set сработает только тогда, когда используемый ipset будет создан (вполне может быть и пустым).

Очень полезная особенность — правка ipset-ов не рестартит файервол, не сбрасывает его счётчики, не трогает никакие другие правила, к ipset-у не относящиеся. В простых конфигах ipset может показаться лишней сущностью. Но для систем типа fail2ban или случая развесистых списков адресов для правил — вещь незаменимая.

-m owner

Ещё одна редко используемая, но тоже в ряде случаев полезная опция.
Идея в том, что ядро системы знает, какой исходящий траффик процессом какого пользователя порожден, и может на основании этого применить специфичную обработку траффика.
Вспомнил я про это, когда один из моих знакомых спросил, можно ли запустить некое виндовс-приложение в WINE так, чтобы он не могло вылезти в сеть.

В этом случае самое очевидное, и при этом весьма надёжное — отдельная виртуальная машина. Но это а) куда менее удобно б) требует ещё один инстанс ОС.
Однако есть и готовое решение, изумительно простое в своей изящности. Оно не столь надёжно, как изолированная ВМ без сетевой карты, но поставленную задачу тоже решает.
Идея в том, что iptables для исходящего траффика может различать траффик не только по пользователю, но и по его группе и даже по SELinux-контексту. Возня с отдельными пользователями под каждую софтину — неудобна и проблемна из-за прав доступа и вопросов доступа к X-серверу, SELinux сам по себе та ещё черная магия, а вот доступ на основе группы — это то, что доктор прописал.

Базовый ман для убунты на английскои тут: https://askubuntu.com/questions/249826/how-to-disable-internet-connection-for-a-single-process/393013#393013

Для редхатных чуть иначе.
Сперва создаем группу, которую будем назначать тем, кому надо ограничить сетевые аппетиты:

groupadd no-internet

Дальше делаем нашего пользователя членом этой группы:
usermod -G no-internet UserVasya
ВАЖНО !! Опция -G — заглавной буквой ! То есть мы добавляем пользователя UserVasya в группу no-internet, но ОСНОВНУЮ группу пользователя не меняем ! Если перепутать — пользователь останется с отломанным инетом.

В файлах это будет выглядеть вот так:

# cat /etc/group | grep UserVasya
UserVasya:x:1000:
no-internet:x:1011:UserVasya

# cat /etc/passwd | grep UserVasya
UserVasya:x:1000:1000:UserVasya:/home/UserVasya:/bin/bash

Тут у нас есть пользователь UserVasya c UID = 1000, его основная группа — тоже UserVasya, с GID = 1000. Но он также входит в группу no-internet c GID = 1011. Именно это членство позволит пользователю менять группу без ухищрений с судо и запросов паролей.

Теперь напишем сетевое правило для этой группы где-нибудь в начале фильтров для OUTPUT:

-A OUTPUT -m owner --gid-owner no-internet -j DROP

Тут мы говорим файерволу, что траффик, порожденный процессами c группой no-internet, надо тихо дропнуть.

А дальше мы просто воспользуемся утилитой sg (substitute group).

Примеры волшебных команд:

sg no-internet quake2
sg no-internet konsole
sg no-internet ~/.wine_radmin/radmin.sh
env WINEPREFIX=/home/user/.wine_ut2004 sg no-internet 'wine "C:\UT2004\System\UT2004.exe"'

При их выполнении приложения запустятся, но попытка зайти на игровые сервера, соединиться с серверами radmin или пропинговать что-то в запущенной таким способом консоли — завершится неудачей.

Однако это не является 100% способом !
Например, запущенный таким образом firefox группу не меняет, и остается с сетевым доступом !

Так что реально критичным сервисам — своя ВМ, со своим файерволом.

В следующий раз попрактикуемся в ч0рной магии.

Всем привет. Сегодня мы поговорим про двухфакторную аутентификацию, или если более широко — о дополнительных способах усиления / защиты аккаунта через дополнительные факторы аутентификации.
Если вам интересна эта тема, и вам таки есть что скрывать, например данные вашей банковской карточки, приглашаю вас в избу-читальню.
(далее…)

Если вам не безразличны государевы потуги в борьбе со свободой интернета, то вам будут определённо интересны и возможные побочные эффекты, на которые почему-то редко обращают внимание. Подробности под катом.

(далее…)

Всем привет. Сегодня мы поговорим о безопасности WINE и важности изоляции вайн-префиксов.
(далее…)

Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)

Вечер пятницы пошел отлично. Вместо фитнеса после работы пришлось бороться с упавшей железкой.
Старая древняя циска-3750 пала жертвой неуловимых американских хакеров.

Один довольно свежий эксплоит «Бодрячок»:

https://pikabu.ru/story/uyazvimost_v_cisco_cve2018017_ili_klassicheskaya_pyatnitsa_5829430

, примерно 8 млн уязвимых девайсов и дурная мода циски на небезопасный по-умолчанию конфиг, в котором включено куча всего, плюс традиционная админская лень (сомнительный принцип «работает — не трогай») сделали своё дело.
Смотрю я в текущий конфиг — а там ни интерфейсов, ни ацл-ок, ни хрена.
загрузочный конфиг вообще порадовал:

Don’t mess with our elections…
~JHT
usafreedom_jht@tutanota.com

… и американский флаг в ASCII-графике.

На экране 200%-ое доказательство вмешательства американских спецслужб посредством эксплойта «Бодрячок». Срочно разбомбить Вашингтон. Выслать всех дипломатов. Попросить Путина больше не выбирать Трампа президентом США.

Пока я созерцал эту чудную аски-графику и со своего ноута переносил бэкап циско-конфига на tftp, в это время мне уже позвонил мой коллега, и сообщил, что ломают массово. Так что первым делом конфигурим минимальный сетевой интерфейс, пишем no vstack, и восстанавливаем конфиг из бэкапа, не забывал проверить злосчастную опцию. write memory, reload.
Чекать конфиг, обновлять фирмварь, выключать неиспользуемые технологии.

Всем хороших выходных, свежих прошивок и хороших конфигураций.

В камерах и DVR (IP-видеорегистраторы) hikvision похоже нашли новую багу. Пару лет назад я уже писал очень матерно-ругательную статью про эти железки, но сейчас проблема приобрела серьёзный размах — наблюдались массовые взломы таких систем, сброс настроек (даже при сильных паролях), DDoS-атаки с них (DNS-/NTP-усиление) и использование хакнутого оборудования для атак на другие сети / подбор паролей к сервисам (telnet, ssh, vnc, rdp — точно) и прочему непотребству.

Что интересно, бевардовские камеры и даже длинки, висевшие в тех же сетях, не постарадали, так что проблема чисто хиквижена. Всем срочно патчиться, менять пароли, по возможно выносить IP-камеры в более защищённые сегменты сети.

Если вам нужно повесить камеру на внешний адрес, то НЕ НАДО прифигачивать её сразу внешний адрес напрямую — ни в IPv4, ни в IPv6. Если есть роутер — затащите её за этот роутер и сделайте Port-forward для RTSP вида :

TCP+UDP: xy554 --> 192.168.x.y:554

Для получения видеопотока этого более чем достаточно. Если камера оказалась единственной на объекте (бывает такое) — применить IP-whitelist. Правда если этот вайтлист на камере обслуживает только веб-доступ, но не применяется для доступа по телнет/ссш (да, вам не приглючилось, телнет там живее всех живых и доступен на куче девайсов через интернеты) или иному кривому порту — то может не помочь.

Так что в случае хиквижена — именно big, именно факинг и именно фейл, и именно с секурити.

Всем привет ! Какое-то время назад я пообещал читателям, что обязательно поиграюсь с тулзой hashcat и поделюсь впечатлениями. С тех пор произошла одна очень интересная парольная утечка, показавшая, что даже очень длинные пароли могут быть не столь безопасны, как это кажется на первый взгляд. Итак, сегодня в нашей избе-читальне — утилита HashCat. Просим под кат.
(далее…)

Пользуясь любыми веб-системами, важно внимательно смотреть, КУДА вы зашли и ЧТО вы туда вводите.
Обычно мошенники создают фишинговые сайты для веб-морд всяких банков, с целью получить реквизиты банковских карт и пароли от банк-клиентов. Однако веб-морды есть не только у классического онлайн-банкинга, но и у криптовалютных кошельков. Криптовалюта — очень вкусная цель для злоумышленников, ведь в этом случае нет вообще никаких возможностей что-то себе вернуть при её утрате.

Например, есть такая криптовалюта, как эфириум. У эфириума очень тяжелый блокчейн, и полновесную ноду держать геморно. Поэтому существуют легковесные кошельки, которые не хранят весь блокчейн, а хрянят только кючи и заголовки необходимых блоков. Некоторые из них могут быть сделаны в виде веб-сайта.

Пример такого ресурса (нормального и валидного): https://www.myetherwallet.com/
На оригинальном сайте есть HTTPS c валидным сертификатом для компании MYETHERWALLET LLC и Extended Validation, адрес написан без ошибок, при создании нового кошелька нельзя создать кошелек с паролем меньше 9 символов, при развертывании напрямую из приватного ключа или из мнемонической фразы корректность данных проверяется локально с помощью джава-скрипта в браузере, без отправки каких-либо данных куда-либо. Кнопка Unlock становится доступной, только если данные введены полностью корректно.

Но если поискать фразу «myetherwallet» в яндексе с помощью браузера без баннерорезки, то сверху можно увидеть рекламу, ведущую на мошеннический сайт:
mwyetheerwalleet[.]com

У него нет HTTPS, адрес написан с ошибками (но малозаметными), пароли принимает любые, кнопка разбокировки становится доступной, если ввести любую строку. При нажатии кнопки Unlock данный фальшивый веб-кошелёк отправляет парольную фразу/приватный ключ на сервер 91.200.14.190 с помощью POST-запроса.
POST http:// mwyetheerwalleet .com/php/config.php
-----------------------------111222333
Content-Disposition: form-data; name="fselector1_send_ether_tokens"; filename=""
Content-Type: application/octet-stream

 

-----------------------------111222333
Content-Disposition: form-data; name="password"

 

-----------------------------111222333
Content-Disposition: form-data; name="textarea1_send_ether_tokens"

hui vam w anus a ne parolnaya fraza ot kefira
-----------------------------111222333
Content-Disposition: form-data; name="unlock2_send_ether_tokens"

 

-----------------------------111222333--

Оригинальный сайт никуда ваши ключи не отправляет, обрабатывая чувствительную инфу локально. Визуально же сайты ничем не отличаются.

Именно поэтому лучше использовать локально установленный платёжный софт, а если уж используете веб-системы (неважно, будет это криптовалютный кошелек или классический веб-банкинг) — то надо крайне внимательно проверять, что вы зашли именно куда хотели, а не к каким-то прохиндеям. Ну и нажать кнопочку «пожаловаться на мошенничество» благоразумным гражданам тоже не должно быть затруднительно.

Всем привет. Сегодня мы попробуем прикрутить оплату криптовалютой к какому-нибудь сервису, а точнее — обозначить основные пути, как это можно сделать.
(далее…)

Если ваш домашний роутер внезапно начал качать деццкое порно, призывать к беспорядкам или просто стал слать левый траффик, а в это время спецназ вам уже выпиливает дверь — не волнуйтесь, это лично Путен, под покровом ночи и прикрытием фсб, вас немного хакнул.
Хотя не, на этот раз не Путен.

На этот раз снова госдеп, а если точнее — коварные агенты ЦРУ.
викиликс как раньше аццки жгла, так и продолжает жечь сейчас.
Встречаем: http://nag.ru/news/newsline/31897/tsru-bolee-desyati-let-vzlamyivaet-domashnie-routeryi.html

В новой публикации рассказано об инструментарии под названием CherryBlossom, созданном специально для взлома домашних роутеров.

Благодаря CherryBlossom можно перехватывать управление над различными моделями роутеров. Заражение вредоносом может быть осуществлено как удаленно, так и сотрудником ЦРУ, работающим «в поле».

Список задач, которые может выполнять устройство, разнообразен. Заражённый роутер может сканировать локальную сеть жертвы, следить и контролировать трафик пользователя, перенаправлять его на необходимые ЦРУ сервисы. CherryBlossom может создать VPN-тоннель к сети жертвы, выполнять ещё ряд действий с URL, email и MAC-адресами.

В списке зараженных CherryBlossom устройств значатся более 200 моделей роутеров самых разных производителей:

Наивные хомячки домашние пользователи могут продолжать верить, что «они никому не нужны», им «нечего скрывать», а также продолжать не понимать ценность открытых/альтернативных прошивок.

Ранее я уже писал о двух упоротых компаниях, делающих системы видеонаблюдения с напрочь упоротой системой сброса пароля.

Оказывается, таким мудачеством страдают не только китайцы, делающие дешевое железо. Абсолютно аналогичный механизм использовался … (пристегните ремни, мы взлетаем!) … для создания ключей разблокировки автомобилей.

В этой новости прекрасно всё:
http://www.securitylab.ru/news/486429.php

Выбрав подходящий автомобиль, «разведчики» записывали его идентификационный номер (VIN), обычно указанный на панели управления, и передавали его лидеру банды, который затем через Facebook отправлял код слесарям. Согласно судебным материалам, слесари каким-то образом получили доступ к проприетарной базе данных, содержащей коды для замены ключей от различных моделей Jeep Wrangler.

Вахх.

База данных принадлежала одному из мексиканских дилеров Jeep. Каким образом она попала в руки преступников, неизвестно.

С помощью физического ключа угонщики открывали кабину, подключали к диагностическому порту портативный компьютер и с помощью второго кода перепрограммировали ключ для синхронизации его с машиной. Затем преступники отключали сигнализацию и уезжали на автомобиле в Мексику.

А вы хотите, чтобы коды сброса паролей к вашей камере, коды открывания вашей тачки и подобные вещи генерировали мексиканские слесари ?

Тогда проприетарный говно-код идёт к вам !   😀 😀

 

Буквально недавно только успел пошутить про пришельцев, как их инопланетный десант уже тут как тут.
Вчера произошла массовая активация червия, созданного с использованием утёкших американских эксплоитов. Патч был выпущен ещё в марте, но поскольку далеко не все виндовс-системы вовремя обновляются (микрософт, мы помним принудительные перетаскивания на виндовс-10, и поэтому не готовы слепо и огульно ругать тех, кто отключил таки виндовс-апдуте), зараза отработала относительно(!) редко, но зело метко.
Десятки стран, провайдеры, британские больницы, МВД РФ, РЖД, Мегафон, Deutsche Bahn. Судя по некоторым обсуждениям, виндовс-апдуте тоже спасает не всегда, требуется ручное вмешательство.

Даже по радио обсуждали злосчастную вирусню. Британские уч0ные журналисты тоже разразились большой статейкой, тряхнуло многих.
Из особо занятного:

* Поскольку выкуп требуется биткойнами, а биткойн псевдонимен, но не анонимен, то мы не может сказать по номеру аккаунта, кто именно получает профит, но можем точно сказать, сколько именно профита перечислили жертвы:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
На 2017-05-14 0:30 там скопилось около 15  BTC совокупно, что по текущему курсу составляет 25 000 вечнозеленых.

* В шифровальщике была добавлена возможность стопнуть текущую эпидемию, но завязана она была только на регистрацию «секретного» домена с кривым длинным именем, чем и воспользовался один хороший человек. А вот остановятся ли атаки — зависит только от оперативности виндовс-админов и жадности разработчика червия. Мне почему-то кажется, что 15 биткойнов ему будет мало…

Чую, в понедельник узнаем много нового.

P.S. Понедельника дожидаться не пришлось. Первый серьёзный анализ есть:
https://habrahabr.ru/company/pentestit/blog/328606/
Цитирую самое смачное:

В данный момент существуют минимум три ветки шифровальщика: фишинговая (первая), киллсвитч (первая волна), без киллсвитчера (выпущенная буквально несколько часов назад).

Как и предполагалось, возможность погасить эпидемию простой регистрацией домена вирусописатели пофиксили, как только проснулись.
У вредоноса целых 5 скрытых тор-сервисов для управления:

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Автор червия по-прежнему неизвестен, и пока нет даже намёков, журналистам нет смысла верить =).

Ну и особо радостная мякотка во внутренностях вирусни:

После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.

Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты.

Так что море радости ещё впереди, скучно точно не будет, особенно когда в фирмах, фирмочках и фирмищщах повключают компы в понедельник.
А вот и ОЧЕНЬ приятные сведения:

Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IOC (index of compromise, индекс вредоносности). Соответственно, мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов.

Из этого есть один классный вывод — говнодевелоперы кривых защит, любители обфускации кода и кривых хаков в пользовательской системе для всякого говнософта получают тухлой селёдкой по мордам.

А-а-а, пришельцы !!

Posted: 2017-04-22 in IT, Security
Метки:

Пришельцы из NSA, Equation Group и Shadow Brokers немного недосмотрели за своим инструментарием, и их боевое червие слегка разошлось по интернетам.

(далее…)

WordPress JSON vuln

Posted: 2017-03-14 in Приколы, Security
Метки:

Обнаружил тут на одном ресурсе, запущенном на уязвимой версии вордпресс 4.7.1, следы нездоровой хакерской деятельности. Впрочем, красного фрибсд-шного чёрта на пол-страницы и рекламу казино на фоне разъехавшейся вёрстки сложно было не заметить 😀

Кислотные надписи типа «HaCkeD By BALA SNIPER», «HaCkEd By GeNErAL HaCkEr» и прочие следы дефейсеров-затейников вкупе с тоннами спамных ссылок тоже присутствовали. Почему-то многие владельцы сайтов не делают бэкапов, и потом начинают при такой мелкой оказии вручную херачить в базе и скриптах, тратя на это много сил, времени и нервов.

Но поскольку при любом взломе лучше всю ВМ считать скомпрометированной, то сперва изолируем контейнер с дефейснутым сайтом от основной сети:

Можно поставить просто другой свободный адрес, а можно и в отдельный влан утащить.
Потом запоминаем номер похеканной ВМ (в нашем случае 103), и ищем её бэкапы в хранилище RootBackups (НЕ во вкладке Backup самой ВМ, в этом случае мы восстановим бэкап поверх текущего контейнера):

И восстанавливаем бэкап под каким-нибудь новым номером. Запускаем, видим, что сайт работает, следов дефейса нет.
Дальше можно начать спокойно разбираться, что именно произошло, если это интересно.

Как оказалось, через багу в XML-JSON, найденную относительно давно/недавно, примерно месяц назад, злодейские скрипты записали в базу много мусора.
В логах это выглядит как пачка POST-запросов к /wp-json/… , время в которых будет точно совпадать со значением поля post_modified в оставленной дефейсером записи из таблицы wp_posts.
Если у вас тоже есть вордпресс — среди куч виртуалок может легко найтись редко вытаскиваемый на свет божий вордпресс не самой свежей версии, в котором могут обнаружиться следы чужого вмешательства. Яндекс по фразе «HaCkEd By GeNErAL HaCkEr» находит примерно 50 млн ответов, так что заброшек довольно много =)

После того на свежевосстановленной ВМ обновляем вордпресс, и если нам не нужны технические страницы, то прописываем в .htaccess (корень сайта) вот такое:

Redirect 403 /wp-json

# BEGIN WordPress
<IfModule mod_rewrite.c>
 ...
# END WordPress

<Files xmlrpc.php>
 Deny from all
</Files>

И смотрим, не осталось ли ещё где подобных заброшек со старыми версиями. И таки да, бэкапы рулят.

SHA-1 усё.

Posted: 2017-02-23 in Security
Метки:,

Новость на ЛОРе: https://www.linux.org.ru/news/security/13242997
Оригинал: https://shattered.it/

Корпорация добра провела практическую успешную атаку — получены два разных PDF с одинаковым SHA-1-хэшем:
$ sha1sum shattered-?.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pd
f

Сравним их хекс-дампы:
$ hexdump shattered-1.pdf > shattered-1.hex
$ hexdump shattered-2.pdf > shattered-2.hex
$ kdiff3 shattered-1.hex shattered-2.hex

sha1_shattered diff screenshot

Огонь =)

Об исключительной благодатности использования криптографии я уже писал года три назад, и за это время многое успело измениться.

Шпионы по-прежнему шпионят, пользователи теряют ценные данные из-за вирусов, Сноуден и Ассанж также старательно избегают встреч с демократией, а монстро-государство решило вообще покуситься на запись всех петабайтов мусорного траффика, для чего даже обсудило возможность открыть свой ЖесткДискПром, который обошёл бы эти ваши сигейты с хитачами по объёмам выпускаемых накопителей.

И вот почитывая всякое интересное, наткнулся на такую любопытную заметку: http://www.leonidvolkov.ru/p/175/

Заметка оказалась настолько познавательной, что даже один известный оппозиционер её процитировал, и даже извинился, признав правоту параноиков.

Родина слышит. Картина Васи Ложкина

Что вообщем-то неудивительно, учитывая, что соратникам этого оппозиционера ломанули «суперзащищённый» телеграм, причём без использования суперкомпьютерных чудес криптоанализа, просто за счёт содействия сотового оператора. А ведь труЪ-параноики предупреждали, что сервис, опирающийся на изначально плохо защищенную телефонию, действительно надёжным не может быть по определению!

Но народ в массе своей по-прежнему тащится от смайликов, дизайна интерфейса и удобства синхронизации истории чата с центральных серверов на все устройства, что и даёт жизнь целым полчищам гумно-мессенджеров.

Не отключайтесь, удивительные истории ещё будут.

P.S. Данный пост оказался юбилейным — 500-м по счёту, в веб-морде админки есть ачивка =)

Настраивая или проверяя какой-либо драндулет на никсах (неважно, десктопного или серверного применения), полезно знать, нет ли в системе старого уязвимого софта мохнатых версий.

Нашел для этого совершенно изумительный сервис:

https://vulners.com/#audit

Суть проста : выбираем дистриб и версию, система покажет нам, какой командой получить список установленных пакетов с версиями.

Выполняем предложенное в терминале, вывод команды отправляем через веб-форму. Получаем либо сообщение, что для наших версий нет известных багов, либо детальный отчет с указанием пакета и описанием уязвимости в базе.

Огромный плюс — не требуется ставить никакой софт, запускать мутные сркипты и вообще пускать кого-либо в свои владения. Поддерживается дебиан, федора, центос, редхат и оракля. И убунта, куда же без неё.

Фряха не поддерживается (да, оно ещё вполне себе живо), увы.

Секурим Апач.

Posted: 2016-07-12 in IT, Networks, Security
Метки:

Цель заметки — свести воедино куски конфигов, которые необходимо поправить, чтобы получить топовые оценки на SSL Labs и High-Tect Bridge.

Важная заметка: всё это имеет смысл, только если стоят все секурити-фиксы, апач и пых топовые, лишние модули отключены, и прочее. Если у вас апач 2.2 с пыхом 5.3 на древней центоси — то вы ССЗБ или жертва грустных обстоятельств (говно-битрикс и прочее). Погнали.
(далее…)

Сегодня случилось забавное — было обнаружено, что одно из устройств климат-контроля и мониторинга системы кондиционирования стало генерить слишком много траффика на порту.
Данное устройство предназначено для слежения за температурой и состоянием кондиционеров, основано на каком-то микроконтроллере и использует проприетарную прошивку. Модель девайса даже не гуглится.

По требованиям заказчика оно было доступно извне без фильтрации по IP, пароли были вполне качественные.

Однако это ничуть не помешало зло-хакерам найти багу, взломать девайс и поставить внутрь небольшой http-проксик и бот для ssh-брутфорсинга сторонних серверов, что и было замечено.

Девайс, обычно генеривший 1-2 pps и считанные байты траффика, стал генерить 2-8 Kpps и 1-2 Mbit всякой трешни. Сделав дамп с помощью port-mirror и тестового ноута, обнаружил там кучу HTTP- и SSH- траффика, не имеющего никакого отношения к нашим сетям.

В итоге железку сперва переключил в карантин (влан без выхода в инет), и сделав снова дамп, обнаружил, что несчастная дрына упорно пытается зарезолвить адрес x.fd6fq54s6df541q23sdxfg.eu

На текущий момент оно резолвится вот в такие адреса:

$ nslookup x.fd6fq54s6df541q23sdxfg.eu 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 147.252.1.254
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 83.143.80.227
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 202.103.224.85
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 211.103.199.98
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 78.10.50.1

Будьте бдительны, северо-корейские хакеры где-то рядом.

Наткнулся тут на вот такую заметку:

http://www.securitylab.ru/news/481604.php

То есть теперь если некий агентЪ из любой спецслужбы США хакает чьи-то системы в другой стране, хоть одиночно, хоть массово — то это не преступление, а «борьба с террористами/педофилами/отрицателями_локалхоста» и прочая «защита национальной безопасности США» в рамках расследования очередной покупки рюкзака и скороварки. Ну или агентЪ просто адресом ошибся, тоже бывает =)

Ссылка на оригинал : http://www.supremecourt.gov/orders/courtorders/frcr16_8mad.pdf

Ну а если какой Мэнинг или Сноуден о грязных делах проведает — то в самой демократичной тюрьме Гуантанамо всегда есть вакантные места для предателей интересов всемирной демократии.

Впрочем, это всё мои фантазии. На самом деле, никто конечно же за населением массово не следит, данные массово не собирает, системы типа Эшелона/СОРМ/Палантира/Призмы — они исключительно на террористов направлены, бэкдоров в виндовс-10 нету, а шифрованная связь в почте/IM обычным гражданам ну совершенно ни к чему, продолжайте в это верить. 😀 😀 😀

Сегодня я ещё немного расскажу об анонимной сети TOR, а точнее, о некоторых аспектах настройки Hidden Service-ов.
(далее…)