эксперты «Лаборатории Касперского» обнаружили подозрительный сервер

0

3

«В ходе расследования мы обнаружили на сервере еще несколько лог-файлов, содержавших различные данные...»

Т.е. поняли, что сервер подозрительный, когда начали копаться в его потрохах.

Вопрос: как это, обнаружили сервер? Шли себе, шли, и нашли на скамейке? Взломали, «шарясь по просторам интернета»? Или получили информацию с помощью установленного на сервере своего антивируса? Который, помимо всего прочего, даёт лаборатории полный доступ к жертве?

(https://www.securelist.com/ru/blog/207769072/Ispolzuy_Silu_Luuuk)

Ссылка

←	Вопрос к понаехавшим

Linux Mint Debian

→

Закладки, такие закладки..

deep-purple ★★★★★
(26.06.14 10:54:17 MSK)

Ответ на: комментарий от deep-purple 26.06.14 10:54:17 MSK

Либо у мошенников логи торчали в веб, что, кстати, достаточно логично при создании относительно безопасной проверки состояния системы, без ввода паролей и других действий, однозначно связывающих тебя с данной системой.

Sadler ★★★
(26.06.14 11:07:24 MSK)
Последнее исправление: Sadler 26.06.14 11:07:57 MSK (всего исправлений: 1)

Ответ на: комментарий от Sadler 26.06.14 11:07:24 MSK

и даже без >1024-ти битного хэша? не логично

wakuwaku ★★★★
(26.06.14 11:13:20 MSK)

Ссылка

Ответ на: комментарий от Sadler 26.06.14 11:07:24 MSK

логи торчали в веб

А чем это не закладки в виде снифа клиентов? Как урлы логов в индекс попали?

deep-purple ★★★★★
(26.06.14 11:17:33 MSK)

Ответ на: комментарий от deep-purple 26.06.14 11:17:33 MSK

А чем это не закладки в виде снифа клиентов?

Тем, что созданы злоумыленниками и не имеют никакого отношения к Касперскому.

Как урлы логов в индекс попали?

Это уже совсем другой вопрос. Вот эти данные уже вполне могли быть получены через KIS.

Sadler ★★★
(26.06.14 11:21:02 MSK)

Ответ на: комментарий от Sadler 26.06.14 11:21:02 MSK

Ну так и выходит - либо закладка на самом сервере, либо закладка на клиенте, с которого этот сервер мониторили, там же и покейлоггить могли, вот и зашли на тот сервак как к себе домой. Так прям и представляю, сидит какер под вяндой с касперычем на борту - какает, и тут, хоп - каспер закейложил все ходы. Надо ж так лохануться.. Но что-то всеравно нереальная история получается, хотя, хз..

deep-purple ★★★★★
(26.06.14 11:31:45 MSK)

Ответ на: комментарий от deep-purple 26.06.14 11:31:45 MSK

Всё проще. У Касперского, как и у остальных, есть система Cloud-детектирования, в рамках которой юзер сливает массу инфы о своей машине (и соглашается на передачу этой инфы в соответствии с соглашением).

Sadler ★★★
(26.06.14 11:35:26 MSK)

Ответ на: комментарий от Sadler 26.06.14 11:35:26 MSK

Ну это всеравно не отменяет что какер лоханулся.

deep-purple ★★★★★
(26.06.14 11:38:58 MSK)

Ссылка

Ответ на: комментарий от Sadler 26.06.14 11:35:26 MSK

Да и как бы касперские на сервер попали? Откуда пароли то взяли? Значит есть вшитый инструмент.

deep-purple ★★★★★
(26.06.14 11:40:19 MSK)

Кстати, что за шрифт у них в выдержке кода (который там ни к селу ни к городу)?

goingUp ★★★★★
(26.06.14 11:59:15 MSK)
Последнее исправление: goingUp 26.06.14 12:03:04 MSK (всего исправлений: 1)

Ответ на: комментарий от goingUp 26.06.14 11:59:15 MSK

Consolas вроде

Opxocc
(26.06.14 12:17:42 MSK)

Пригласили покопаться, клиенты притащили и т.д. Зараженные вирусами файлы кто-то же им отдаёт.

ilovewindows ★★★★★
(26.06.14 12:48:55 MSK)

Ссылка

Да ничего эти графоманы не нашли, написали статью о несуществующем сервере, а пипл хавает и не обращает внимания на нестыковки.

CYB3R ★★★★★
(26.06.14 12:49:59 MSK)

Ответ на: комментарий от Opxocc 26.06.14 12:17:42 MSK

goingUp

Это же DejaVu Sans Mono, обратите внимание на характерную строчную «l» (эль)

buddhist ★★★★★
(26.06.14 12:50:28 MSK)
Последнее исправление: buddhist 26.06.14 12:51:17 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от deep-purple 26.06.14 11:40:19 MSK

Да и как бы касперские на сервер попали? Откуда пароли то взяли?

А зачем им на сервер попадать, когда логи сервера торчат в веб?

Sadler ★★★
(26.06.14 12:54:42 MSK)
Последнее исправление: Sadler 26.06.14 12:55:37 MSK (всего исправлений: 1)

Ответ на: комментарий от Sadler 26.06.14 12:54:42 MSK

обнаружили подозрительный сервер, содержащий несколько лог-файлов

про веб вообще ни слова, так что нельзя утверждать что торчало именно в вебе. Да ладно - вся это история высосана из пальца. Нет конкретики какие именно банки пострадали. Вода какая-то.

deep-purple ★★★★★
(26.06.14 13:01:34 MSK)

Ссылка

ты обратил внимание не на ту строчку, надо было смотреть на

«Лаборатория Касперского» разработала Kaspersky Fraud Prevention – многоуровневую платформу для противодействия онлайн-мошенничеству – именно для защиты клиентов онлайн-банкинга от целевых атак.

И бежать покупать!!!!

nerfur ★★★
(26.06.14 13:36:04 MSK)

Ссылка

Или получили информацию с помощью установленного на сервере своего антивируса? Который, помимо всего прочего, даёт лаборатории полный доступ к жертве?

Похоже, что есть такая тема. Как антивирусы следят

praseodim ★★★★★
(26.06.14 14:01:42 MSK)

Ссылка

Проанализировали сетевой трафик трояна, выделили ip куда он сливает инфу.

Вот как влезли дальше это вопрос. Возможно запрос к хостеру сервера с просьбой предоставить доступ.

Либо легитимный сервер был взломан и подключен в ботнет, тогда запрос к владельцу и предложение помощи в расследовании «кто ломал».

Dfg
(26.06.14 16:30:00 MSK)

Ссылка

Ответ на: комментарий от CYB3R 26.06.14 12:49:59 MSK

gadfly ★★
(26.06.14 17:47:20 MSK)

Ссылка

эксперты «Лаборатории Касперского» обнаружили подозрительный сервер

двач что ли?

cipher ★★★★★
(26.06.14 17:53:53 MSK)

обнаружили подозрительный сервер

Интернеты патрулировали?

Gotf ★★★
(26.06.14 17:54:36 MSK)

Ссылка

Ответ на: комментарий от cipher 26.06.14 17:53:53 MSK

Так вот откуда ты такой толстый вылез.

roman77 ★★★★★
(26.06.14 21:38:07 MSK)

Ссылка

Надо при выходе в Интернет шапочку из фольги одевать.

Тогда и не будут страшны «подозрительные серверы»(С)(R).

Bioreactor ★★★★★
(26.06.14 22:08:53 MSK)

Ссылка

Сегодня на почту пришло:

From: Kaspersky <info@kaspersky.com>
Автоматизированная система Kaspersky обнаружила, что недавно имела место попытка взломать Ваш компьютер, а также ведение нелегитимной рассылки от Вашего имени.
Если Вы пострадали от рук злоумышленников, изучите те действия, которые помогут Вам избежать подобного в будущем.
Выполнение простой инструкции (во вложении) обезопасит Вас от многих уязвимостей.
С уважением,
Антивирусная Лаборатория «Kaspersky»

Это при том что у меня уже давно нет касперского.

Shaman007, вам там не стыдно таким лохотроном заниматься?

drull ★☆☆☆
(27.06.14 00:11:56 MSK)
Последнее исправление: drull 27.06.14 00:14:12 MSK (всего исправлений: 2)

Скока лет стояла у них лаборатории коробочка, жужжала. И вдруг они обнаружили, что это сервер?

ziemin ★★
(27.06.14 00:23:11 MSK)

Ссылка

Ответ на: комментарий от drull 27.06.14 00:11:56 MSK

Во-первых ты безграмотен и даже сам не можешь прочитать заголовки письма, чтобы понять, что они левые. Во-вторых от имени дрвеба такие тоже есть. В третьих, я уже джва года не работаю в лк. Чтобы понять мои чувства, посмотри ролик Макафи.

Shaman007 ★★★★★
(27.06.14 00:23:40 MSK)

Ответ на: комментарий от Shaman007 27.06.14 00:23:40 MSK

1. Я смотрю почту через гугловебинтерфейс, скачивать письмо чтобы прочитать заголовки явного спама мне лень.
2. Хз, не видел.
3. Тогда извини, ошибся адресом.

drull ★☆☆☆
(27.06.14 00:29:23 MSK)