Речь пойдёт не о фильме, который кстати хорош, а о веб-сервере.В большом количестве стали приходить алерты о фишинге от компаний с которыми мы сотрудничаем.Я на самом деле в разборе инцидента никак(ну почти, Vulnerability management как всегда за мной, а также мнение за разбор инцидента, а не за просто поблочить подсети) не учавствовал, но тем не менее пишу.
По первичному осмотру выяснилось, что кто-то к нам стучится с Бразилии, а именно с бразильского банка.Потом редиректы уходят куда-то на какие-то левые сайты.Параллельно нас брутят по ssh c Китая.В директориях прям перед нашими глазами появляются разные сомнительные файлы.Потом вобще один из сотрудников нашей команды, который покопался в скриптах и сделал ресенд на быстро зарегистрированную почту, стал получать данные по банковским картам в большом объёме...Что-то напоминает, не так ли?
На самом деле можно было сделать подобный скриншот, но лица у нас были такие же.
Прошло пару дней.Парни чистили сервер, искали скрипты удаляли их.Спам продолжал сыпаться.В результате более детального осмотра сервера обнаружилась весьма интересная штука, как web shell WSO.С помощью которого всё безобразие и заливалось.Примерный вид:
Прошло пару дней.Парни чистили сервер, искали скрипты удаляли их.Спам продолжал сыпаться.В результате более детального осмотра сервера обнаружилась весьма интересная штука, как web shell WSO.С помощью которого всё безобразие и заливалось.Примерный вид:
Ну и в довершении визуальный отчёт из Rapid 7 Nexpose:
Начало инцидента ноябрь 2012.Срок я думаю ощущается.Такие вот летние будни.
Комментариев нет:
Отправить комментарий