20.06.2019, 14:35
|
#1 (permalink)
|
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,797
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Сканер портов в личном кабинете Ростелекома
Пользователь Хабра force во время работы с личным кабинетов ростелекома обнаружил подозрительную активность на портах, провел исследование и выяснил любопытные вещи:
Цитата:
Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере. Так как добиться от Ростелекома вменяемой информации практически нереально, решил указать про данную проблему на Хабре, чтобы хабровчане были в курсе, что можно ожидать весьма сомнительное поведение даже от крупных и серьёзных игроков.
А теперь, собственно детали.
Придя утром на работу, я обнаружил в логе системы замечательные строчки от VNC:
Connections: rejecting blacklisted connection: 127.0.0.1::22715
Т.е. кто-то с локалхоста пытается залезть на порт 5900, значит это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.
Раз коннекшен блокируется, надо сделать так, чтобы кто-то сидел на нём. Самый простой способ для меня оказался в том, чтобы поднять на ноде интеллектуальный tcp-сервер, который ничего не делает и просто держит соединение.
server.listen(5900, function () {});
Посмотрел, кто туда подключился, оказалось, что это Firefox
...
И этой вкладкой оказался Личный кабинет Ростелекома. После этого выяснилось, что запросы идут следующего вида
...
14 достаточно интересных портов:
Порт Описание 5900 VNC 6900 Bittorrent 5650 Pizza trojan 5931 ? 5938 TeamViewer 5939 ? 3389 RDP 8080 HTTP 51 F**k Lamers Backdoor 443 HTTPS 80 HTTP 22 SSH 445 SMB 5985 Microsoft Windows Remote Management
Большинство портов — это средства для удалённого управления компьютером. Выходит, далее следует ожидать попыток проникновения на эти порты снаружи. Зачем это может быть?
У меня в голове следующие варианты:
- Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян
- Это осознанное решение Ростелекома и попытка сделать что-то нехорошее пользователю
- Это осознанное решение Ростелекома и попытка собрать данные о пользователе
При этом мой компьютер не находится в сети Ростелекома, так что данные действия выглядят весьма и весьма грязно.
|
Подробнее в статье на хабре
Что я могу сказать по этому поводу? Мы все умрём!
__________________
Убить всех человеков!
|
|
|