I mí Feabhra, d'fhoilsigh Críostaí na hOstaire Haschek alt suimiúil ar a bhlag dar teideal . Ar ndóigh, tháinig suim agam i cad a tharlódh dá ndéanfaí an staidéar seo arís, ach leis an Úcráin. Roinnt seachtainí de bhailiú faisnéise ar feadh an lae, cúpla lá eile chun an t-alt a ullmhú, agus le linn an taighde seo, déan comhráite le hionadaithe éagsúla dár sochaí, ansin soiléiriú, ansin tuilleadh a fháil amach. Le do thoil faoin gearrtha...
TL; DR
Níor úsáideadh aon uirlisí speisialta chun faisnéis a bhailiú (cé gur mhol roinnt daoine an OpenVAS céanna a úsáid chun an taighde a dhéanamh níos críochnúla agus níos faisnéiseach). Le slándáil IPanna a bhaineann leis an Úcráin (níos mó ar an gcaoi a socraíodh thíos), tá an scéal, i mo thuairim, go leor dona (agus cinnte níos measa ná an méid atá ag tarlú san Ostair). Níl aon iarracht déanta nó pleanáilte chun leas a bhaint as na freastalaithe leochaileacha a aimsíodh.
Ar an gcéad dul síos: conas is féidir leat na seoltaí IP go léir a bhaineann le tír áirithe a fháil?
Tá sé an-simplí i ndáiríre. Ní ghin an tír féin seoltaí IP, ach leithdháiltear orthu é. Mar sin, tá liosta (agus tá sé poiblí) de na tíortha go léir agus na IPanna go léir a bhaineann leo.
Is féidir le gach duine agus ansin é a scagadh grep Úcráin IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, ligeann duit an liosta a thabhairt isteach i bhfoirm níos inúsáidte.
Tá beagnach an oiread seoltaí IPv4 ag an Úcráin leis an Ostair, níos mó ná 11 milliún 11 le bheith cruinn (le haghaidh comparáide, tá 640 ag an Ostair).
Mura bhfuil tú ag iarraidh imirt le seoltaí IP tú féin (agus níor cheart duit!), is féidir leat an tseirbhís a úsáid .
An bhfuil aon mheaisíní Windows neamhphatáilte san Úcráin a bhfuil rochtain dhíreach acu ar an Idirlíon?
Ar ndóigh, ní Úcráinis comhfhiosach amháin a oscailt rochtain den sórt sin ar a gcuid ríomhairí. Nó an mbeidh?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lFuarthas 5669 meaisín Windows le rochtain dhíreach ar an líonra (san Ostair níl ach 1273 ann, ach tá sé sin go leor).
Úps. An bhfuil aon cheann ina measc a bhféadfaí ionsaí a dhéanamh orthu trí leas a bhaint as ETERNALBLUE exploits, a bhfuil aithne orthu ó 2017? Ní raibh carr amháin den sórt sin san Ostair, agus bhí súil agam nach mbeadh sé le fáil san Úcráin ach an oiread. Ar an drochuair, tá sé aon úsáid. Fuaireamar 198 seoladh IP nár dhún an “poll” seo iontu féin.
DNS, DDoS agus doimhneacht an phoill coinín
Go leor faoi Windows. Feicfimid cad atá againn le freastalaithe DNS, atá oscailte-réiteoirí agus is féidir a úsáid le haghaidh ionsaithe DDoS.
Oibríonn sé rud éigin mar seo. Seolann an t-ionsaitheoir iarratas DNS beag, agus freagraíonn an freastalaí leochaileach don íospartach le paicéad atá 100 uair níos mó. Borradh! Is féidir le líonraí corparáideacha titim go tapa ó mhéid sonraí den sórt sin, agus éilíonn ionsaí an bandaleithead is féidir le fón cliste nua-aimseartha a sholáthar. Agus bhí ionsaithe den sórt sin fiú ar GitHub.
A ligean ar a fheiceáil má tá freastalaithe den sórt sin san Úcráin.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lIs é an chéad chéim ná iad siúd a bhfuil calafort oscailte 53 acu a aimsiú. Mar thoradh air sin, tá liosta de 58 seoltaí IP againn, ach ní chiallaíonn sé seo gur féidir iad go léir a úsáid le haghaidh ionsaí DDoS. Ní mór an dara riachtanas a chomhlíonadh, is é sin ní mór dóibh a bheith oscailte-réiteora.
Chun seo a dhéanamh, is féidir linn ordú tochailt simplí a úsáid agus a fheiceáil gur féidir linn tochailt + short test.openresolver.com TXT @ip.of.dns.server a “thochailt”. Má d'fhreagair an freastalaí le réiteach oscailte-bhraite, ansin is féidir é a mheas mar sprioc ionsaí féideartha. Is ionann réitigh oscailte agus thart ar 25%, atá inchomparáide leis an Ostair. I dtéarmaí líon iomlán, tá sé seo thart ar 0,02% de gach IP Úcráinis.
Cad eile is féidir leat a fháil san Úcráin?
Sásta d'iarr tú. Tá sé níos éasca (agus an ceann is suimiúla domsa go pearsanta) breathnú ar an IP le port oscailte 80 agus cad atá ag rith air.
freastalaí gréasáin
Freagraíonn 260 IP Úcráinis do phort 849 (http). Thug 80 seoladh freagra dearfach (stádas 125) ar iarratas simplí GET is féidir le do bhrabhsálaí a sheoladh. Tharla earráid amháin nó earráid eile leis an gcuid eile. Tá sé suimiúil gur eisigh 444 freastalaí stádas 200, agus ba iad na stádais is annamh ná 853 (iarratas ar údarú seachfhreastalaí) agus an 500 iomlán neamhchaighdeánach (IP nach bhfuil ar an “liosta bán”) ar fhreagra amháin.
Tá Apache go hiomlán ceannasach - úsáideann 114 freastalaithe é. Is é an leagan is sine a fuair mé san Úcráin 544, scaoileadh ar 1.3.29 Deireadh Fómhair, 29 (!!!). Tá nginx sa dara háit le 2003 freastalaí.
Úsáideann 11 fhreastalaí WinCE, a eisíodh i 1996, agus chríochnaigh siad é a bhreacadh in 2013 (níl ach 4 cinn acu seo san Ostair).
Úsáideann an prótacal HTTP/2 5 freastalaí, HTTP/144 - 1.1, HTTP/256 - 836.
Printéirí... mar... cén fáth nach bhfuil?
2 HP, 5 Epson agus 4 Canon, atá inrochtana ón líonra, cuid acu gan aon údarú.
ceamaraí gréasáin
Ní nuacht é go bhfuil go leor ceamaraí gréasáin san Úcráin ag craoladh iad féin ar an Idirlíon, a bhailítear ar acmhainní éagsúla. Craoltar ar a laghad 75 ceamara iad féin ar an Idirlíon gan aon chosaint. Is féidir leat breathnú orthu .
Cad atá romhainn?
Is tír bheag í an Úcráin, cosúil leis an Ostair, ach tá na fadhbanna céanna aici agus atá ag tíortha móra san earnáil TF. Ní mór dúinn tuiscint níos fearr a fhorbairt ar cad atá sábháilte agus cad atá contúirteach, agus ní mór do mhonaróirí trealaimh cumraíochtaí tosaigh sábháilte a sholáthar dá dtrealamh.
Ina theannta sin, bailím cuideachtaí comhpháirtíochta (), ar féidir leo cabhrú leat sláine do bhonneagair TF féin a chinntiú. Is é an chéad chéim eile atá beartaithe agam ná athbhreithniú a dhéanamh ar shlándáil láithreáin ghréasáin na hÚcráine. Ná athraigh!
Foinse: will.com