Lattelecom atsūta E-mail, par to, ka esmu inficēts ar DNS openresolver

[hero]

Fakts, ka kasti var no publiskā interneta sabakstīt pa RDP ir aplausu vērts :ironija:

Eternalblue, wannacry, petjas, vasjas un citi atvasinātie zvēri izmanto windas rdp ievainojamības.
Sapatcho logus, neliec windows uz publiskas ip bez firewalla un dzīvo mierīgi.

 

 

Ignorēt visu to var, bet tad jau laicīgi vari iepazīties ar šo saturu:

https://en.wikipedia.org/wiki/Ransomware

 

 

 

 

Labots Septembris 11, 2018 - hero

[DjUbuntu]

Hero, 

 Tu taču zini, ka tavi pieminētie malware izmanto smb (petya vēl psexec) lai izplatītos ? 

 Protams open rdp ir uzprasīšanas uz papildus izdrāšanu. 

 A open resolver nozīmē tik to, ka tevi izmantos lai kadu noddosotu

[hero]

Paskaties vienu lapu atpakaļ - pēdējais jautājums nav saistīts ar tēmas nosaukumu. Memo pacēlis mironi un saka, ka viņam notifikācija par RDP ievainojamību atnāca.

 

Number one - pašam RDP ir kaudze CVE, kas atļauj  'remote code execution'. par to certs arī brīdina.

Number tū - ja rdp ir redzams, tad potenciāli arī 445 un 139 spīdēs.

 

Tikai parastam  jūzerim tas viss ir tumša bilde, parasti saprot, kad jau jāmaksā nauda.

ISP interesēs šo likvidēt, lai viņu tīklā neveidotos botnets.

 

[edit]

PS: var arī iemācīties iegādāties  bitkoinus, jo ransomware parasti kredītkartes nepieņem

Labots Septembris 11, 2018 - hero

[DjUbuntu]

y0 y0 y0, es nemāku lasīt iepriekšējās lapas. 

(1) Par RDP un remote code execution reāli nobrīnījos, as nekā tāda pēdējos daudz gados nav bijis. Pēdējais CredSSP caurums atļāva veikt MITM, kas nu gluži neskaitās remote code execution (as tev tāpat vajag dabūt credentials pirms tam).  (Skatījos šeit => https://www.rapid7.com/db/search?q=RDP+microsoft&t=a )

(2) CERT.LV skeneris ķer visus gadījumus un spamo ISP, kas spamo end-useri.  

[jema]

Tur visdrīzāk pie lattelekom modēma ir pataisno pielikts kompis, modēms laiž pilnīgi visu cauri un viss spīd kā Ziemassvētku egle.

[CAP]

jaunie modemi vai tad nestrādā LTC kā rūteri? Kad dzīvoju Rīgā, man vēl rūtera arī nebija.. pie modema pa taisno gāja no datora.. nebija nekādu problēmu.. pats to zarazu savelc, tad arī sāc brīnīties par šādiem jokiem

[Didzis]

Lattelecoma rūteri viena izeja ir pa taisno ar mainīgu īsto IP adresi. Ja tai pieslēdz datoru, tad ''caurumu meklētājiem'' visas iespējas atvērtas. Plus vēl lietotājs, kurš neko nesaprot no datorlietām un rezultāts redzams.

[CAP]

bet cik saprotu, tagad pieslēdzot pakalpojumu LTC dod bonusā vēl papildus rūteri jebšu par rūteri pieņem to pašu LTC optisko modemu/rūteri?

[Didzis]

Es tikai saku,ka ir iespējams datoru pieslēgt pa taisno internetam. Ja uz datora nav ieslēgts ugunsmūris un nav zarazu ķērāja, tad pat piecas minūtes nav jāgaida, kad ''draugi''ir klāt. Labi, varbūt pārspīlēju, bet slēgt datoru pa taisno internetam ir vienkārši meklēt piedzīvojumus.

[CAP]

Pirms 17 minūtēm , Didzis teica:

pārspīlēju

krietni pārspīlē  bet, iespējamība gan pieaug..

[aoma]

pirms 2 stundām , CAP teica:

Kad dzīvoju Rīgā, man vēl rūtera arī nebija..

Izlikies tāds nopietns puijka neizdzīvo Rīgā un nav sava rūtera . traki....

[CAP]

nebija vajadzības.. pietika ar vienu vadu  parādījās tv ar internetu, uzradās arī rūteris

Labots Septembris 12, 2018 - CAP

[martinno]

Nu jau 3 vēstule divu nedēļu laikā. Diez viņi atsiesies?!

 

[Stepselis]

Pirms 10 minūtēm , martinno teica:

Diez viņi atsiesies?!

Nē. Tev jāiztīra savu zvērudārzu!

Zem tā linka nav kaut kāda instrukcija, kur meklēt?

Vai Tev gadījumā nav Mikrotik rūteris?

 

 

Labots Februāris 1, 2021 - Stepselis

[jema]

Aizver ciet 445 portu

[AlCohol]

bišk jau citreiz ir perebors. mums te arī no cert nāk, jau kādu gadu kādas 5 IP adreses ar open ssdp. ko mums darīt, braukt pie cilvēkiem, konfigurēt viņu tplinkus? citreiz jau atnāk noderīgi, var redzēt, kāds vel ar winxp uz ausīm uzliktu sēž, bet nu kopumā..

[martinno]

Pirms 19 minūtēm , Stepselis teica:

Mikrotik

 

Ir.

 

Pirms 19 minūtēm , Stepselis teica:

zvērudārzu

 

99.9%, ka man nav neviena lopiņa.

P.S.

Zem linka:

[Stepselis]

Tur jau viss ir aprakstīts!

Es Mikrotikā izslēdzu visus nevajadzīgos servisus, kas pēc noklusējuma ir aktīvi.

Tie ir divās vietās:

IP->Services un

IP->Firewall->Service Ports

Uztaisi Firewall rulli, kas dropo 445 portu uz TCP.

Labots Februāris 1, 2021 - Stepselis

[martinno]

Nu... Man nav neviena datora ar Windows  Vai tad CERT to nerdedz?!

[jema]

Nu tīri jau ar win te ir maz saistību 

[martinno]

Es tak saprotu, bet links uz pamācību ties priekš Windows... Kādēļ ne Linux?

[dzincha]

Pirms 23 minūtēm , martinno teica:

Kādēļ ne Linux?

https://www.bsi.bund.de/EN/Topics/IT-Crisis-Management/CERT-Bund/CERT-Reports/HOWTOs/DNS-Open-Resolver/DNS-Open-Resolver_node.html

[AlCohol]

varbūt tīklā ir kāds vecāks NAS, kas uz ārpusi atvērts? ieliec viņu iekšējā tīklā un lieta darīta.

[dzincha]

Pirms 13 minūtēm , ieleja teica:

tas viss tiešām @martinno vēstulē pieminētā "opensmb" sakarā?

Tas par dns openresolver kā topika nosaukumā.

Martino lietā smb&445. Var gan jau rūterī to portu aizvērt, vai arī intreses pēc atrast vainīgo devaisu un tur atspējot smb

[dzincha]

LAN pusē jau var būt vaļā, WAN ciet.

iespējams rūterī cfg jāpārskata:

pirms 2 stundām , Stepselis teica:

Es Mikrotikā izslēdzu visus nevajadzīgos servisus, kas pēc noklusējuma ir aktīvi.

Tie ir divās vietās:

IP->Services un

IP->Firewall->Service Ports

Uztaisi Firewall rulli, kas dropo 445 portu uz TCP.

P

[Net]

Pirms 13 minūtēm , dzincha teica:

LAN pusē jau var būt vaļā, WAN ciet.

Vislabāk šitos 445, 53 un tādus ir aizvērt iekš Raw sadaļas.. saucamais prerouting, kad trafiks nemaz vēl nav paspējis tikt līdz ''Input chain''

 

/ip firewall raw
add action=add-src-to-address-list address-list="DNS flood" address-list-timeout=4w2d chain=prerouting comment=\
    DNS dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=prerouting dst-port=53 in-interface-list=WAN protocol=udp src-address-list="DNS flood"
add action=drop chain=prerouting dst-port=445 in-interface-list=WAN protocol=udp

 

[Stepselis]

Pirms 22 minūtēm , Net teica:

add-src-to-address-list address-list="DNS flood"

Ko tas dod? Kā to var izmantot?