Linux version 2.6.22.19 (root@localhost) (gcc version 4.6.3 (GCC) ) #2 Mon Oct 8 18:11:53 YEKT 2012
1.9.2.7-rtn-r4667
( 3 , ), - , 😉
, BusyBox , photo.scr.
locate file file locate. ? , , , . .
Attachment 10305
Printable View
Linux version 2.6.22.19 (root@localhost) (gcc version 4.6.3 (GCC) ) #2 Mon Oct 8 18:11:53 YEKT 2012
1.9.2.7-rtn-r4667
( 3 , ), - , 😉
, BusyBox , photo.scr.
locate file file locate. ? , , , . .
Attachment 10305
find
-sh: find: not found
, . . ?
Hint! :D http://forum.ixbt.com/topic.cgi?id=14:62613:2149#2149Quote:
Originally Posted by Born13
-
( -) 1200 20
iptables-save
, 10 .Code:...
-A INPUT -p tcp -m tcp --dport 22022 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
...
-A BRUTE -m recent --update --seconds 1200 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
...
?Code:20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:53 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:54 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:24 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:27:58 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:28:00 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:52 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
20-05-2017 11:36:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
asus.vectormm.net/rtn/
asus rt-n16
- (
, :,Code:iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP
iptables -A INPUT -p tcp -s 46.128.44.23 --dport 22022 -j DROP
.
(nonexistent), .
, .
, , (iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP), .Code:22-05-2017 11:28:57 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
22-05-2017 11:29:02 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
22-05-2017 11:29:02 (info|authpriv|dropbear) Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 188.xxx.xx.10:14384
(iptables -I INPUT -s 220.225.230.7 -j DROP), .
ip .
..
... , fail2ban . .
Антивирусная компания «Лаборатория Касперского» обнаружила шпионскую атаку через взломанные маршрутизаторы MikroTik, которые стали жертвами главным образом в Африке и на Ближнем Востоке. По словам вируса-истребителя, это атака, сопоставимая по сложности с двумя ранее обнаруженными шпионскими атаками, известными как Regin и Sauron.
Slingshot, как называется группа, стоящая за атакой, использует скомпрометированные маршрутизаторы MikroTik для заражения жертв. MikroTik предлагает клиентам программу под названием WinBox для управления маршрутизаторами. Программа, которая находится на маршрутизаторе, загружает несколько файлов DLL из файловой системы маршрутизатора и загружает их непосредственно в память компьютера.
Чтобы заразить администраторов маршрутизаторов MikroTik, злоумышленники разместили вредоносную версию файла dll с именем ipv4.dll на уязвимых маршрутизаторах. После добавления этот DLL-файл загружается и выполняется WinBox. По мнению исследователей, эта DLL - это троянский загрузчик, который устанавливает дополнительные вредоносные программы в системе. Как злоумышленникам удалось взломать маршрутизаторы MikroTik и предоставить вредоносный файл dll, неизвестно.
Что знают исследователи, так это то, что файл dll загружает различные модули, включая модуль ядра и модуль пользовательского режима. Модули предназначены для сбора и кражи данных и обеспечения безопасности системы. Чтобы запустить код в режиме ядра, Slingshot загружает подписанные уязвимые драйверы. Благодаря уязвимости в этих драйверах вредоносное ПО выполняет собственный код. Поскольку выполняется код с правами ядра, он имеет полный контроль над системой и может скрываться для антивирусного программного обеспечения.
Кибер-шпионаж
Целью Slingshot является кибер-шпионаж. Исследование показывает, что вредоносная программа собирает скриншоты, данные на клавиатуре, сетевые данные, пароли, соединения USB, активность на рабочем столе, содержимое буфера обмена и другие данные и отправляет их злоумышленникам. Что примечательно в отношении вредоносного ПО, так это то, что он отключает программное обеспечение для дефрагментации жесткого диска. Slingshot использует собственную зашифрованную файловую систему, которая может находиться в неиспользуемой части жесткого диска. При дефрагментации жесткого диска данные могут быть записаны в эту часть, что может повредить виртуальную файловую систему.
По данным «Лаборатории Касперского», Slingshot работает с 2012 года и по-прежнему работает. Антивирусная компания увидела около 100 жертв в Кении, Йемене, Афганистане, Ливии, Конго, Иордании, Турции, Ираке, Судане, Сомали и Танзании. Большинство жертв - это люди, а не организации, но различные правительственные организации и учреждения также страдают от вредоносного ПО. Большинство жертв наблюдались в Кении и Йемене. MikroTik сказал «Лаборатории Касперского» в комментарии, что последняя версия WinBox больше не загружает файл ipv4.dll на компьютер, с которым этот вектор атаки закрыт. В этом отчете (pdf) «Лаборатория Касперского» предоставляет информацию и хеши файлов и доменов, которые использует вредоносное ПО.
https://forum.mikrotik.com/viewtopic.php?t=131748 :D
? ( "Linux kernel version 2.6.29 or higher", 2.6.22)
https://www.theregister.co.uk/2019/0..._kernel_crash/
https://access.redhat.com/security/v...lities/tcpsack
post-firewall:
Code:iptables -I SECURITY -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j logdrop
ip6tables -I SECURITY -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j logdrop