Технический форум
Вернуться   Технический форум > Общение по интересам > Новости технологий > Интернет


Ответ
 
Опции темы Опции просмотра
Старый 20.06.2019, 14:35   #1 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 14,365
Записей в дневнике: 56
Сказал(а) спасибо: 122
Поблагодарили 149 раз(а) в 61 сообщениях
Репутация: 58290
По умолчанию Сканер портов в личном кабинете Ростелекома

Пользователь Хабра force во время работы с личным кабинетов ростелекома обнаружил подозрительную активность на портах, провел исследование и выяснил любопытные вещи:
Цитата:
Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере. Так как добиться от Ростелекома вменяемой информации практически нереально, решил указать про данную проблему на Хабре, чтобы хабровчане были в курсе, что можно ожидать весьма сомнительное поведение даже от крупных и серьёзных игроков.

А теперь, собственно детали.

Придя утром на работу, я обнаружил в логе системы замечательные строчки от VNC:

Connections: rejecting blacklisted connection: 127.0.0.1::22715

Т.е. кто-то с локалхоста пытается залезть на порт 5900, значит это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Раз коннекшен блокируется, надо сделать так, чтобы кто-то сидел на нём. Самый простой способ для меня оказался в том, чтобы поднять на ноде интеллектуальный tcp-сервер, который ничего не делает и просто держит соединение.

server.listen(5900, function () {});
Посмотрел, кто туда подключился, оказалось, что это Firefox
...
И этой вкладкой оказался Личный кабинет Ростелекома. После этого выяснилось, что запросы идут следующего вида
...
14 достаточно интересных портов:
Порт Описание 5900 VNC 6900 Bittorrent 5650 Pizza trojan 5931 ? 5938 TeamViewer 5939 ? 3389 RDP 8080 HTTP 51 F**k Lamers Backdoor 443 HTTPS 80 HTTP 22 SSH 445 SMB 5985 Microsoft Windows Remote Management

Большинство портов — это средства для удалённого управления компьютером. Выходит, далее следует ожидать попыток проникновения на эти порты снаружи. Зачем это может быть?

У меня в голове следующие варианты:

  1. Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян
  2. Это осознанное решение Ростелекома и попытка сделать что-то нехорошее пользователю
  3. Это осознанное решение Ростелекома и попытка собрать данные о пользователе

При этом мой компьютер не находится в сети Ростелекома, так что данные действия выглядят весьма и весьма грязно.
Подробнее в статье на хабре


Что я могу сказать по этому поводу? Мы все умрём!

__________________
Убить всех человеков!
AlexZir вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
prima (21.06.2019)

Старый 20.06.2019, 14:35
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Данные обсуждения имеют сходства с вашей темой

Реклама в кабинете FB
На личном компьютере вирусы
Роутер для ростелекома

Старый 20.06.2019, 14:46   #2 (permalink)
DDREDD
Member
 
Регистрация: 15.10.2010
Сообщений: 9,741
Записей в дневнике: 1
Сказал(а) спасибо: 27
Поблагодарили 45 раз(а) в 8 сообщениях
Репутация: 49782
По умолчанию

Цитата:
Сообщение от AlexZir Посмотреть сообщение
Что я могу сказать по этому поводу? Мы все умрём!
Пошел рыть умиральную яму
__________________
Там, откуда я родом, безумцы правят народом...
DDREDD на форуме   Ответить с цитированием
Старый 20.06.2019, 15:20   #3 (permalink)
IronArgument
Специалист
 
Аватар для IronArgument
 
Регистрация: 08.04.2015
Сообщений: 6,480
Сказал(а) спасибо: 75
Поблагодарили 32 раз(а) в 13 сообщениях
Репутация: 37344
По умолчанию

Расписано так, будто это преступление какое-то. Если у тебя комп как проходной двор, нечего претензии любопытным предъявлять, они ходят туда, куда им позволяют зайти, и делают там то, что позволено сделать.
__________________
Errare humanum est, stultum est in errore perseverare.
IronArgument вне форума   Ответить с цитированием
Старый 20.06.2019, 15:47   #4 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 14,365
Записей в дневнике: 56
Сказал(а) спасибо: 122
Поблагодарили 149 раз(а) в 61 сообщениях
Репутация: 58290
По умолчанию

Дело не в любопытстве, а в том, что сайт исполняет скрипт, используя браузер сканирует порты локального компьютера и отправляет информацию на удаленный сервер. Происходит это без уведомления владельца якобы для предотвращения вредоносной активности в личном кабинете. То есть для РТК клиент априори уже виноват, остается только обнаружить, в чём именно. Ну или же втюхать ему очередную подписку на антивирусник задорого.
__________________
Убить всех человеков!
AlexZir вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 09:11.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.