Блог о технологиях, технократии и методиках борьбы с граблями
В ночи коллега пожаловался на то что ему блокирнули аккаунт в хостинге Aruba за TCP SYN flood с одного из серверов.
Пикантности добавляло то, что у него в акке было 20 серверов, которые все благополучно ушли в оффлайн до понедельника.
Три дня и три ночи я долбался с SSL VPN ища программные безклиентные варианты. И даже нашел какой то прекрасный вариант Hypersocket, позиционирующий себя ровней SSL-Explorer.
Ну что ж, если вас не пробрал мой рассказ про цпу майнер, работающий на базе эксплоитов разведывательного агентства АНБ, эксплуатирующих уязвимость Windows SMB; то у меня еще большая криптота. Причем в прямом смысле этого слова.
К вам едет шифровальщик.
И вы можете радоваться, ибо за пятницу 12 мая он уже приехал более чем к 75 тысячам компьютеров по всему миру. В том числе, парализовав работу как минимум 16 британских больниц.
Вчерашняя история про заражение CPU майнером виндовых машин, получила интересное продолжение.
Напомню, что речь идет о программе CPU Miner запускающейся на машине жертвы и майнящей различные криптовалюты на основе процессорных мощностей. Один в один против видеокарты такой майнинг сильно проигрывает, но при масштабировании, за счет большого количества зараженных машин, уровень заработка становится весьма впечатляющим. Это кстати очень не плохая “прибавка к пенсии”, скажем, для системного администратора большой конторы. Этичность подобного использования вверенной техники оставим за скобками данной статьи.
Утром упало инфо.письмо от одного из хостеров о том, что у него на хостинге началась эпидемия виндовых машин, которые заражаются CPU майнером. Причем само сообщение носило характер зомби апокалипсиса “При этом наличие фаервола и сложные пароли никак не спасают” “Через эту дыру начали массово пихать на машины что попало” и ты.ды
Поскольку я с проблемой нигде не столкнулся, за что отдельное спасибо Comodo IS и Eset SS, то привожу инфу со слов представителя хостинга.
Раз уж пошла речь про TOR то хотелось бы подбросить немного дровишек относительно последствий данного пагубного увлечения, именно для операторов маршрутизаторов TOR. Ибо вступая на нелегкий путь луковых троп, человек должен представлять, что его может ожидать.
Понятно, что жрецу в радость пострадать за культ анонимусов, но, судя по нижеприведенным историям, не многие операторы выходных нод реально понимают, чем это чревато. Аккурат до момента визита вооруженного спецназа.
Именно выходных, т.к их айпишники и светятся, по итогам, в логах целевых сайтов. И именно к ним, в случае чего, приходят в гости люди с ксивами и холодными глазами. Где то видел инфу, что, на данный момент, имеется де то с тыщу выходных нод. Причем TOR ведет их строгий учет, т.ч с помощью данной утилиты exonerator.torproject.org можно, по крайней мере, указать силовикам на то, что в определенный период времени IP являлся маршрутизатором TOR.
Хотелось бы немного поофтопить на тему недавнего задержания московского препода математики Дмитрия Богатова, которому в данный момент шьют оправдание и призывы к терроризму и организацию массовых беспорядков.
По началу, когда только появилась новость о его задержании и то, что его вычислили, не смотря на использование TOR и VPN, я было решил что разговор, как обычно, идет про уютненький ФКантактик, который уже давно является кузницей по экстремистским делам.
Ну и там всякие варианты, вроде протечки айпишки через вебртц, флеш и какие нить хитрости идентификации, вроде канваса. Хотя в последних версиях TOR браузера эти протечки и были закрыты, но кто там знает, что пользуют социалки для деанона юзверей.
Но спустя пару дней, после появления статьи на Медузе, я полез смотреть более предметно.
