Нет слов, одни выражения
Появилось у меня давеча подозрение, что у меня малварь в сети поселилась. Ну это не то чтобы супер-неожиданно, виндовая сетка, туча машин и VM в разных локациях забриджена по L2, то-сё. Я хоть винду админить умею, но и особых иллюзий не испытываю - zero-day были, есть и будут.
Вижу лаги DNS резолва, лаги TCP коннектов - плавали, знаем. Потом и Гугл сказал, капчу свою показал. Ладно, вырубаем машины по одной, клонируем, выдерживаем три дня чтоб базы у антивируса обновились, сканируем. Нихуя. Сканил, сканил, врубал-вырубал, забил.
И вот, нашёл. Нашел случайно, игрался с nginx'ом и увидел СТРАННЫЕ запросы. С еще более странным source IP. Ну то есть нет такого IP в моей сетке!
Короче, да, есть малварь. Живёт в нескольких роутерах, куда спускаются хвосты VPN-ки. Апдейтов прошивок нет. Ну охуеть теперь, радость на новый год от Cisco и D-Link.
На секьюрити это не то чтобы повлияло, все важные места ходят в инет через отдельный VPN, но осадочек остался. Даже непонятно что делать, блин.
This entry was originally posted at http://wizzard.dreamwidth.org/411415.html. It has
comments. Please comment there using OpenID.
Вижу лаги DNS резолва, лаги TCP коннектов - плавали, знаем. Потом и Гугл сказал, капчу свою показал. Ладно, вырубаем машины по одной, клонируем, выдерживаем три дня чтоб базы у антивируса обновились, сканируем. Нихуя. Сканил, сканил, врубал-вырубал, забил.
И вот, нашёл. Нашел случайно, игрался с nginx'ом и увидел СТРАННЫЕ запросы. С еще более странным source IP. Ну то есть нет такого IP в моей сетке!
Короче, да, есть малварь. Живёт в нескольких роутерах, куда спускаются хвосты VPN-ки. Апдейтов прошивок нет. Ну охуеть теперь, радость на новый год от Cisco и D-Link.
На секьюрити это не то чтобы повлияло, все важные места ходят в инет через отдельный VPN, но осадочек остался. Даже непонятно что делать, блин.
This entry was originally posted at http://wizzard.dreamwidth.org/411415.html. It has
comments. Please comment there using OpenID.