• Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Рансомвер напади на македонски сајтови

toshex

the fool
18 септември 2013
5.924
7.089
Мелмак
После проблеми со пристап до сајтов на твитер видов дека уствари имало напад:

1656937497442.png

Но тоа не е се. Како шо изгледа истиот проблем го има и TIME MK - шо значи ова е веројатно некој организиран напад кон поголемите македонски сајтови?

FW0lo_6XwAADdEq


Интересно е дека ко и повеќето интернет напади во последно време исплатата бараат да се изврши во крипто. Ако веќе ги носиме теориите на заговор понатака - една луда теорија би било дека може да е и обид да на светско ниво се поттикне купувањето на крипто. Може има повеќе напади на повеќе сајтови низ цел свет. И онака гледаме дека во последните неколку саати се качува вредноста на БТЦ што може да е резултат на зголемено купување за исплати на рансомвер...

Но најбитно прашање е со оглед на тоа дека ИТ МК има во план да пријавува во МВР - дали мислите дека има шанси да се открие кој е позади нападите само од БТЦ новчаник адресата или пак од ИП адреси на нападите или нешто такво? Или е тоа невозможно.
 

Algebra

Intern
8 април 2018
20
21
Не сум сигурен дали можат да дојдат до личноста преку БТЦ новчаникот поради тоа што новчаникот нема никакви трансакции (а и да има пак е тешко да се дојде) и е најверојатно направен само за оваа пригода. А за ИП адреса, единствено од мејлот, шо им праќаше уцени, ако може да се докопа некоја информација но читав некаде дека proton mail не закачува ип адреса во хедерот на пораката. Ако ова е точно, мислам оти нема шанси како да се најде сторителот/сторителите..
 

Astro

Epic
20 јуни 2012
8.460
12.721
Astro's setup  
Processor & Cooler
AMD Ryzen 3600X + Deepcool Lucifer K2
Motherboard
Gigabyte B450 Aorus PRO
Storage
1Tb Kingston A2000 NVME
PSU
EVGA SuperNova 550w
RAM
$ x 8Gb Kingston HyperX DDR4-3200
Video card
Gigabyte GeForce 1060 6Gb G1 Gaming
Case
Corsair, не знам какво е.
Mouse
Eshark Naginata
Keyboard
Dell K200
Monitor
2x Dell P2417H
OS
Windows 10 Pro x64
Се знае кој е зад нападот, кога си играте со оган и банирате мадафака членови, добро е што овој памет сме поминале со опомена :ROFLMAO:
Мислењето е автоматски споено:

Не сум сигурен дали можат да дојдат до личноста преку БТЦ новчаникот поради тоа што новчаникот нема никакви трансакции (а и да има пак е тешко да се дојде) и е најверојатно направен само за оваа пригода. А за ИП адреса, единствено од мејлот, шо им праќаше уцени, ако може да се докопа некоја информација но читав некаде дека proton mail не закачува ип адреса во хедерот на пораката. Ако ова е точно, мислам оти нема шанси како да се најде сторителот/сторителите..
И онака ќе се најде ИП адресата од проксито :D
 

NecrotoX

Undead
4 март 2013
5.058
6.008
Скопје
www.youtube.com
NecrotoX's setup  
Processor & Cooler
AMD Ryzen 5 2600 @ 3.40GHz & Cooler Master MasterAir G100M
Motherboard
ASUS PRIME B450M-A
Storage
Samsung 970 EVO Plus 250 GB NVMe SSD | WD10EZEX 1TB 7200 RPM HDD | WD Blue 1TB 5400RPM External HDD
PSU
Cooler Master MWE 500
RAM
16GB Kingston HyperX FURY DDR4 @ 3200 MHz
Video card
GIGABYTE GeForce GTX 960 4GB Windforce x2 OC Edition
Case
Cooler Master MB520
Mouse
Genesis Xenon 210
Keyboard
Cooler Master CK530 Gateron Brown
Audio
Logitech Z333 2.1 Speakers | Genesis Gaming Argon 200 Black Headphones
Monitor
Dell U2518D 25" + Dell U2419H 24" + XP-Pen Artist 22 Pro
OS
Windows 11 Home
Покрај time.mk мислам дека и на Кајгана имаше прекин едно време. Ова е нешто странско нема врска со нас, не знам зошто на македонски му се обраќаат :)
 

Astro

Epic
20 јуни 2012
8.460
12.721
Astro's setup  
Processor & Cooler
AMD Ryzen 3600X + Deepcool Lucifer K2
Motherboard
Gigabyte B450 Aorus PRO
Storage
1Tb Kingston A2000 NVME
PSU
EVGA SuperNova 550w
RAM
$ x 8Gb Kingston HyperX DDR4-3200
Video card
Gigabyte GeForce 1060 6Gb G1 Gaming
Case
Corsair, не знам какво е.
Mouse
Eshark Naginata
Keyboard
Dell K200
Monitor
2x Dell P2417H
OS
Windows 10 Pro x64
Покрај time.mk мислам дека и на Кајгана имаше прекин едно време. Ова е нешто странско нема врска со нас, не знам зошто на македонски му се обраќаат :)
Хаха, абе ајде, ти веруеш во тоа?
Јас само ги жалам другиве сајтови низ светов што се колатерална штета. тој што го рокна нашиот, тој некој Бате, ради тоа и тоа рокнал и други сајтови да не биде толку очигледно.
 

Gilfoyle

Practice makes perfect
10 септември 2009
499
1.670
Ах бе дечки неколку пати имам пишувано на темиве а и сигурно два три пати се имам понудено директно и да помогнам без никакви обврски на администрацијата но секогаш си се имаат снајдено и сами.

На форумов има доста кул и паметни дечки и девојки што гледам полека ги снемува заради спам дискусиите што се одвиваат овие неколку месеци нејсе гледајте да не ги изгубите.

Него вакви напади не се ништо ново, поготово овие неколку месеци скоро секојдневно се објавуваат high severity багови што зјаат на стотици илјади сервери низ светот, еве нешто од последниве две недели:

Треба да го подигнете нивото на сигурност иако тоа сигурно ќе значи некој долар плус за инфраструктура, ама моја јавна препорака за сите што одржуваат било каква инфраструктура out there е следно:

Обавезно имплементирајте IDS/IPS со систем како ELK.

ELK е комбинација од 3 алатки што може да собира, складира и бара податоци. Во овој случај тие податоци се логови, односно access logs, ssh logs, apache logs, nginx logs, whatever logs.
Elasticsearch е базата на податоци
Logstash е pipeline за интегрирање на elasticsearch се користи со Apache Kafka и слично
Kibana е за визуелизација и пребарување низ логовите.
Filebeat е log shipper што ги шипува логовите до крајна дестинација

Intrusion Detection Systems (IDS) / Intrusion Prevention System (IPS) го анализира мрежниот сообраќај и споредува малициозни signatures што АВ компаниите ги имаат неколку недели уште пред да започнат напади на глобално ниво.

За IDS моја препорака е Snort затоа што е лидер во индустријата, open-source NIDS одржуван од Cisco. Може да детектира OS Fingerprints, скенирање на порти, SMB probes и многу други напади со signature matching и anomaly detection.

За IPS моја препорака е Wazuh затоа што ако е добро подесен има одличен handling, го користат Fortune 10 tech компании така да не треба многу да објаснувам колку е океј.

Кога ќе имате ваков систем што небаре треба два-три дена да го подесите од почеток до крај многу ќе ви биде полесно за да гледате и најдете каде бил point of attack затоа што реално ваквите малвери се најчесто тајмирани за да не ствара многу fuss во логовите. А кога имате едно 30 дена уназад логови и систем специјално направен за да најде аномалии многу брзо се хендлаат овие ствари.

Секако ова не е само една работа што треба да се запази. Верувам дека применувате best practice security measures како:
root user - disabled
server password login - disabled
ssh auth only - enabled
најава на сервер - само од определен сет на ИП адреси како ВПН или по ново Cloudflare Tunnel
WAF rules на cloudflare - enabled
Bot control - enabled
Managed rules кај што блокирате трафик од Russia/China/Ukraine и слични држави што нема поента да пристапуваат до сајтов а може да предизвикаат беља - sure

Искрено мислам дека е некој рандом php malware (најчесто идат од wordpress) што успеал да ескалира привилегии, затоа на WP страна никако allowed php execution во wp-content и слични бест практис свари што ги има на тацна на интернет.

Пошто сигурно нешто пропуштам нека се јави старата гарда да ме надополни и да не послушате и за овие работи :)
 

dekomote

Скептик
11 ноември 2014
2.007
4.502
Скопје
dekomote's setup  
Processor & Cooler
Ryzen 9 5900x + be quiet! Pure Loop 280
Motherboard
MSI MAG X570 Tomahawk
Storage
Samsung NVME 970 Evo Plus 500, Synology DS 411+II
PSU
EVGA Supernova G3 650W
RAM
2x8GB HyperX Fury RGB 3200 CL16
Video card
Gigabyte RTX 3070 Gaming OC
Case
be quiet! Silent Base 802
Mouse
Logitech MX Master 3
Keyboard
Мало е полето за набројување
Audio
Presonus Eris 3.5
Monitor
Dell S2721DGF 165Hz HDR
OS
KDE Neon
Не е рансомвер колку што видов, DDoS е. Нема интрузија реално.
 

Томислав

On your way to fame
7 февруари 2013
900
985
@Gilfoyle Ти нудиш предобри open-source cybersecurity алатки.

@македонски шефови/директори/ит специјалисти и администратори:
Дај Firewall уред од 20к еур без никој да знае да го конфигурира како што треба. :D
Неивестирај во вработените. Чуди се после.

( не се мисли на случајов со ИТ.мк, браво за понудата за Интервју и цената, да знаевме вака и почесто ќе имате напади :D :D :D )
 

D

Администратор
31 март 2007
3.649
3.311
www.iwmnetwork.com
Ах бе дечки неколку пати имам пишувано на темиве а и сигурно два три пати се имам понудено директно и да помогнам без никакви обврски на администрацијата но секогаш си се имаат снајдено и сами.

На форумов има доста кул и паметни дечки и девојки што гледам полека ги снемува заради спам дискусиите што се одвиваат овие неколку месеци нејсе гледајте да не ги изгубите.

Него вакви напади не се ништо ново, поготово овие неколку месеци скоро секојдневно се објавуваат high severity багови што зјаат на стотици илјади сервери низ светот, еве нешто од последниве две недели:

Треба да го подигнете нивото на сигурност иако тоа сигурно ќе значи некој долар плус за инфраструктура, ама моја јавна препорака за сите што одржуваат било каква инфраструктура out there е следно:

Обавезно имплементирајте IDS/IPS со систем како ELK.

ELK е комбинација од 3 алатки што може да собира, складира и бара податоци. Во овој случај тие податоци се логови, односно access logs, ssh logs, apache logs, nginx logs, whatever logs.
Elasticsearch е базата на податоци
Logstash е pipeline за интегрирање на elasticsearch се користи со Apache Kafka и слично
Kibana е за визуелизација и пребарување низ логовите.
Filebeat е log shipper што ги шипува логовите до крајна дестинација

Intrusion Detection Systems (IDS) / Intrusion Prevention System (IPS) го анализира мрежниот сообраќај и споредува малициозни signatures што АВ компаниите ги имаат неколку недели уште пред да започнат напади на глобално ниво.

За IDS моја препорака е Snort затоа што е лидер во индустријата, open-source NIDS одржуван од Cisco. Може да детектира OS Fingerprints, скенирање на порти, SMB probes и многу други напади со signature matching и anomaly detection.

За IPS моја препорака е Wazuh затоа што ако е добро подесен има одличен handling, го користат Fortune 10 tech компании така да не треба многу да објаснувам колку е океј.

Кога ќе имате ваков систем што небаре треба два-три дена да го подесите од почеток до крај многу ќе ви биде полесно за да гледате и најдете каде бил point of attack затоа што реално ваквите малвери се најчесто тајмирани за да не ствара многу fuss во логовите. А кога имате едно 30 дена уназад логови и систем специјално направен за да најде аномалии многу брзо се хендлаат овие ствари.

Секако ова не е само една работа што треба да се запази. Верувам дека применувате best practice security measures како:
root user - disabled
server password login - disabled
ssh auth only - enabled
најава на сервер - само од определен сет на ИП адреси како ВПН или по ново Cloudflare Tunnel
WAF rules на cloudflare - enabled
Bot control - enabled
Managed rules кај што блокирате трафик од Russia/China/Ukraine и слични држави што нема поента да пристапуваат до сајтов а може да предизвикаат беља - sure

Искрено мислам дека е некој рандом php malware (најчесто идат од wordpress) што успеал да ескалира привилегии, затоа на WP страна никако allowed php execution во wp-content и слични бест практис свари што ги има на тацна на интернет.

Пошто сигурно нешто пропуштам нека се јави старата гарда да ме надополни и да не послушате и за овие работи :)

As always, фала ти на корисното инфо и понудата за помош!

Бидејќи си во секторот, јасно ти е колку всушност се ограничувачки DDoS нападите и нивната митигација, но да се златни Cloudflare и Incapsula и нивните прилично ефтини решенија.

Претходниот DDoS следеше сличен pattern, прво на IT.mk, па после Time.mk (кога беше и хакот) па нели заврши со ДИК и хаосот. Сега пак, IT.mk па Time.mk. Симптоматичното тука е тоа што ако некој се решава да таргетира .мк сајтови, обично се иде по некоја листа на најпопуларни сајтови кои знаеш дека таква ситна сума одма ке ти шитнат да прекине напад или ке имаат голем ефект. IT.mk не е на листата на најпосетувани или најпопуларни сајтови, што малце ја прави чудна ситуацијава.

Дополнително, имаме сознанија дека уште минимум два популарни сајта + една образована институција во последнава недела-две имаат DDoS напади, едните дури го примиле и истиот мејл ко ние но со барање во кеш, а не во BTC. Дополнително, споредбено со другите DDoS напади што сме ги истрпеле, овој генерално доаѓа од еден ASN - кај кого исто е пријавен нападот.

Според овие, а и некои други засега непотврдени шпекулации и дојави кои не би сакале да ги пласираме дур немаме некоја основа за нив, се сомневаме дека нападот е инициран од локално тло. Евтини се сега DDoS нападите, нели... :)

Нападот е на ниво на домен, не на IP. А ги таргетира и IT.mk и Forum.it.mk.

Секако, ако затреба помош пингаме обавезно, засега менаџираме со Cloudflare - кои btw, имаа исто проблеми кои моравме да ги решаваме со тикети, бидејќи им заглавија дел од challenge request-ите одредено време.

Но најбитно прашање е со оглед на тоа дека ИТ МК има во план да пријавува во МВР - дали мислите дека има шанси да се открие кој е позади нападите само од БТЦ новчаник адресата или пак од ИП адреси на нападите или нешто такво? Или е тоа невозможно.

Ако добиеме некое конкретно сознание, или има вмешано IP адреса од локален карактер, може да се истера ситуацијата целосно.
Од друга страна, важно е да се пријавуваат вакви сајбер криминални активности за да влезат во некоја статистика според која утре ќе се донесат одлуки за да се инвестира, одвои буџет или преземе нешто на таа тема - обично така функционираат работите...

Од 18.00 сме таргет и на нова тура:
Погледнете го атачментот 114687
 

acikaaa

Gaining Experience
22 октомври 2018
388
379
Скопје
Погледнете го атачментот 114672
Дечки надвор од темава, само ме интересира дали и кај вас вака покажува на страната на Анхоч на грчки? А го нема во јазици горе да се избере
Можно е да има поврзаност со ова што го пишав сабајле или нема врска? Лаички прашувам и не се разбирам :)
 

gloria borger

On your way to fame
10 мај 2018
303
606
херцажа
Можно е да има поврзаност со ова што го пишав сабајле или нема врска? Лаички прашувам и не се разбирам :)
Не. Сајтот на анхоч те гледа од која IP адреса пристапуваш и автоматски го прилагодува јазикот на месенџер, затоа членовите претпоставија дека у тај моменат си бил на егејот. Ако не си бил, тогаш им е баг.
 

noc32

Gaining Experience
21 март 2016
146
89
Дали и cpay.com.mk е жртва? Не можам сметки од сабајле да платам. Кога ме редиректира на cpay, ми враќа грешка.
1656972663141.png
 

Gilfoyle

Practice makes perfect
10 септември 2009
499
1.670
...овој генерално доаѓа од еден ASN - кај кого исто е пријавен нападот.
Веќе кога користите платен план од Cloudflare, зошто не го блокирате соодветниот ASN или држава од каде што доаѓа трафикот? Затоа што не верувам да доаѓа ваков трафик од МК, на крај краева креирајте rule според GET риквестите, мора да има нешто што е унифицирани во сите риквести и многу лесно со платен план на CF може да го најдете што е тоа и да блокирате и според него пример да носи одреден тип на оперативен систем или сите риквести да имаат ист header и слично.

Инаку да прав си, на интернет има милион сервиси што коштаат 5-6-10 долари за да предизвикаат нешто вакво, проблем е што изгледа и самата инфраструктура не е доволно оптимизирана да може да го издржи ова, може да не ми веруваш ама сме имале сервери на nginx што возеле WP и што терале со 4vCPU / 8 GB рам и оплужувале милиони и милиони риквести на час без проблем, ама за тоа да е така потрошени биле саати и саати за конфигурации на redis, varnish, memcached, свич од локално хостирани бази на cloud солуции како aurora rds и слични работи.

Побарајте помош и од хостинг провајдерот, независно дали вие сами го менаџирате серверот истиот треба да ви помогне, провјадерот треба да има начин на network левел да интервенира и да митигира, пример со Хетзнер сум имал задоволително искуство на напад од 500-600к риквестс/с да го активираат Arbor-от за да фати душа серверот бидејќи базата беше исто на него и практично беше 100% утилизиран и не исфрлаше од конзола.

Верувам во искуството што го имате но сите што биле во Operations го имаат ова поминато многу пати и знаат дека никогаш нема да сопре целосно туку само се смирува периодично. Ова што го пишувам се совети што може само да ви ги олесни околностите и со соодветни конфигурации ова се да ви е на аутопилот а крајните корисници да не ни приметат дека нешто се случува.

Ако има нешто тука сме да помогнеме :)
 

D

Администратор
31 март 2007
3.649
3.311
www.iwmnetwork.com
Веќе кога користите платен план од Cloudflare, зошто не го блокирате соодветниот ASN или држава од каде што доаѓа трафикот? Затоа што не верувам да доаѓа ваков трафик од МК, на крај краева креирајте rule според GET риквестите, мора да има нешто што е унифицирани во сите риквести и многу лесно со платен план на CF може да го најдете што е тоа и да блокирате и според него пример да носи одреден тип на оперативен систем или сите риквести да имаат ист header и слично.

Трафикот претежно доаѓаше од US, Germany, Canada, Indonesia. Инаку меѓу првите нешта што го направивме е:
Image 072.png

Инаку не рековме дека нападите доаѓаат од МК по ботнет origin, туку некако имаме сомнеж дека иницијаторот е од мк тло. :)
Активиравме веднаш Under Attack на Cloudflare - но она што се случуваше е на browser integrity check, CF главеше и не правеше редирект кон challenge - ова е во процес на разрешување со CF преку официјални тикети зошто се случи.

Инаку да прав си, на интернет има милион сервиси што коштаат 5-6-10 долари за да предизвикаат нешто вакво, проблем е што изгледа и самата инфраструктура не е доволно оптимизирана да може да го издржи ова, може да не ми веруваш ама сме имале сервери на nginx што возеле WP и што терале со 4vCPU / 8 GB рам и оплужувале милиони и милиони риквести на час без проблем, ама за тоа да е така потрошени биле саати и саати за конфигурации на redis, varnish, memcached, свич од локално хостирани бази на cloud солуции како aurora rds и слични работи.
Нема зошто да не ти верувам. :)

Побарајте помош и од хостинг провајдерот, независно дали вие сами го менаџирате серверот истиот треба да ви помогне, провјадерот треба да има начин на network левел да интервенира и да митигира, пример со Хетзнер сум имал задоволително искуство на напад од 500-600к риквестс/с да го активираат Arbor-от за да фати душа серверот бидејќи базата беше исто на него и практично беше 100% утилизиран и не исфрлаше од конзола.
Веднаш беше стапено и со нив и они се вклучија, исто и овие се германци ама не се Hetzner (со нив сме имале ужасно искуство кога им се деси пожар во дата центарот и изгубивме податоци и пристап).
Верувам во искуството што го имате но сите што биле во Operations го имаат ова поминато многу пати и знаат дека никогаш нема да сопре целосно туку само се смирува периодично. Ова што го пишувам се совети што може само да ви ги олесни околностите и со соодветни конфигурации ова се да ви е на аутопилот а крајните корисници да не ни приметат дека нешто се случува.
Апсолутно се согласувам, ова веќе е трет DDoS напад врз IT.mk, и иако првиот помина доста време дур да се освестиме, вториот беше митигиран прилично незабележително од голем број на корисници. Третиов сега, дел од тоа што имавме киксна, а дел треба и да се поубаво досетира и среди. Ќе поработиме на случајот.
Ако има нешто тука сме да помогнеме :)
Much, much appreciated, здравје ќе пиеме кафе набрзо! :)
 

Miki98

Gaining Experience
13 јануари 2021
283
144
Macedonia Pehchevo [2326]
www.balkan77.com
Кој и да е,че се нае,јас на php имав направено проект кога некој ја отвара страната,позади него сите податоци да стојат,бровсер,ип адреси,локација,уред и све да го зачува на текст документ и на php.
 

acikaaa

Gaining Experience
22 октомври 2018
388
379
Скопје
туку некако имаме сомнеж дека иницијаторот е од мк тло. :)
Може да си во право со ова :) од проста причина што тиме мк е најголем агрегатор на вести во државава а сега баш се решава “малтене” иднината на народот и не е чудно да нема кај да се информираме :) just sayin’ :)
 

MartinPP

Gaining Experience
26 јуни 2017
105
110
/root
Искрено мислам дека е некој рандом php malware (најчесто идат од wordpress) што успеал да ескалира привилегии, затоа на WP страна никако allowed php execution во wp-content и слични бест практис свари што ги има на тацна на интернет.

Пошто сигурно нешто пропуштам нека се јави старата гарда да ме надополни и да не послушате и за овие работи :)

Не че да е malware, туку класичен Layer 7 attack спрема објавеното, преплавени се со requesti, да беше malware досега сите фајлови ќе им беа енкриптирани и ќе гледавме deface na IT со Ransomware request.

Советите се супер, посебно за логовите и за митигација на трафик од одредени земји, има неколку работи што може да се направат за да колку толку се намали јачината на нападот и да не приметат корисниците дека нешто се случува ( сепак тоа зависи и од јачината на нападот ).

@Gilfoyle

Дај Firewall уред од 20к еур без никој да знае да го конфигурира како што треба. :D

Пушти го во струја и врзи нет порт на него ! Толку од конфигурацијата :ROFLMAO:
 

chroot

Gaining Experience
12 ноември 2021
215
277
Скопје
Што стана со најавените напади на анонимуси од 2020та, ги снема дечките.
 

Нови мислења

Последни Теми

Онлајн администрација

Статистика

Теми
43.440
Мислења
901.082
Членови
32.158
Огласи
526
Најнов член
Wanderer385
На врв Дно