مون يوڪرين کي اسڪين ڪيو

فيبروري ۾، آسٽريائي ڪرسچن هاسچڪ پنهنجي بلاگ تي هڪ دلچسپ مضمون شايع ڪيو جنهن جو عنوان هو "مون سڄي آسٽريا کي اسڪين ڪيو". يقينن، مون کي دلچسپي ورتي ته ڇا ٿيندو جيڪڏهن هن مطالعي کي بار بار ڪيو ويو، پر يوڪرين سان. ڪيترائي هفتا چوويهه ڪلاڪ معلومات گڏ ڪرڻ، مضمون تيار ڪرڻ ۾ ڪجهه ڏينهن ۽ ان تحقيق دوران اسان جي سماج جي مختلف نمائندن سان ڳالهه ٻولهه ٿي، پوءِ وضاحت ڪجي، پوءِ وڌيڪ معلوم ٿئي. مهرباني ڪري ڪٽ جي هيٺان ...

TL، ڊاڪٽر

معلومات گڏ ڪرڻ لاءِ ڪي خاص اوزار استعمال نه ڪيا ويا هئا (جيتوڻيڪ ڪيترن ئي ماڻهن هڪ ئي OpenVAS استعمال ڪرڻ جي صلاح ڏني ته جيئن تحقيق کي وڌيڪ مڪمل ۽ معلوماتي بڻائي سگهجي). IPs جي سيڪيورٽي سان جيڪي يوڪرين سان تعلق رکن ٿا (وڌيڪ اهو ڪيئن هيٺ طئي ڪيو ويو)، صورتحال، منهنجي خيال ۾، ڪافي خراب آهي (۽ يقيني طور تي خراب آهي جيڪو آسٽريا ۾ ٿي رهيو آهي). دريافت ٿيل ڪمزور سرورز کي استحصال ڪرڻ جي ڪا به ڪوشش يا منصوبابندي نه ڪئي وئي آهي.

سڀ کان پهريان: توهان سڀني IP پتي کي ڪيئن حاصل ڪري سگهو ٿا جيڪي هڪ خاص ملڪ سان تعلق رکن ٿا؟

اهو اصل ۾ تمام سادو آهي. IP پتي پاڻ ملڪ طرفان نه ٺاهيا ويا آهن، پر ان کي مختص ڪيا ويا آهن. تنهن ڪري، اتي هڪ فهرست آهي (۽ اهو عوامي آهي) سڀني ملڪن ۽ سڀني IPs جو انهن سان تعلق رکي ٿو.

هرڪو ڪري سگهي ٿو ان کي ڊائونلوڊ ڪريو۽ پوء ان کي فلٽر ڪريو grep يوڪرين IP2LOCATION-LITE-DB1.CSV> ukraine.csv

هڪ سادي اسڪرپٽ جيڪا عيسائي طرفان ٺاهي وئي آهي، توهان کي لسٽ کي وڌيڪ استعمال لائق شڪل ۾ آڻڻ جي اجازت ڏئي ٿي.

يوڪرين وٽ تقريباً ايترا IPv4 پتي آهن جيترو آسٽريا، 11 ملين 11 کان وڌيڪ صحيح هجڻ لاءِ (مقابلي لاءِ، آسٽريا وٽ 640 آهي).

جيڪڏهن توهان نٿا چاهيو ته IP پتي سان پاڻ کي کيڏڻ (۽ توهان کي نه گهرجي!)، ته پوء توهان خدمت استعمال ڪري سگهو ٿا شوڊان.

ڇا يوڪرين ۾ ڪي اڻ ڄاتل ونڊوز مشينون آهن جن کي انٽرنيٽ تائين سڌي رسائي آهي؟

يقينن، ڪو به باشعور يوڪريني پنهنجي ڪمپيوٽرن تائين اهڙي پهچ کي نه کوليندو. يا ائين ٿيندو؟

masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

5669 ونڊوز مشينون نيٽ ورڪ تائين سڌو رسائي سان مليون آهن (آسٽريا ۾ صرف 1273 آهن، پر اهو تمام گهڻو آهي).

اڙي. ڇا انهن مان ڪو به اهڙو آهي جيڪو ETHERNALBLUE استعمال ڪندي حملو ڪري سگهي ٿو، جيڪي 2017 کان وٺي سڃاتل آهن؟ آسٽريا ۾ هڪ به اهڙي ڪار نه هئي، ۽ مون کي اميد هئي ته اها يوڪرين ۾ به نه ملندي. بدقسمتي سان، اهو ڪو فائدو ناهي. اسان کي 198 IP پتي مليا جيڪي هن "سوراخ" کي پاڻ ۾ بند نه ڪيو.

DNS، DDoS ۽ خرگوش جي سوراخ جي کوٽائي

ونڊوز جي باري ۾ ڪافي. اچو ته ڏسون ته اسان وٽ ڇا آهي DNS سرور، جيڪي کليل حل ڪندڙ آهن ۽ DDoS حملن لاءِ استعمال ٿي سگهن ٿا.

اهو ڪجهه هن طرح ڪم ڪري ٿو. حملو ڪندڙ هڪ ننڍڙي DNS درخواست موڪلي ٿو، ۽ نقصانڪار سرور قرباني کي هڪ پيڪٽ سان جواب ڏئي ٿو جيڪو 100 ڀيرا وڏو آهي. بوم! ڪارپوريٽ نيٽ ورڪ ڊيٽا جي اهڙي مقدار مان جلدي ختم ٿي سگهن ٿا، ۽ حملي لاءِ بينڊوڊٿ جي ضرورت آهي جيڪا جديد اسمارٽ فون مهيا ڪري سگهي ٿي. ۽ اهڙا حملا ٿيا غير معمولي نه جيتوڻيڪ GitHub تي.

اچو ته ڏسو ته يوڪرين ۾ اهڙا سرور آهن.

masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

پهريون قدم انهن کي ڳولڻ آهي جيڪي کليل بندرگاهه 53 آهن. نتيجي طور، اسان وٽ 58 IP پتي جي هڪ فهرست آهي، پر هن جو مطلب اهو ناهي ته انهن سڀني کي DDoS حملي لاء استعمال ڪري سگهجي ٿو. ٻي گهرج پوري ٿيڻ گهرجي، يعني انهن کي کليل حل ڪرڻ گهرجي.

هن کي ڪرڻ لاء، اسان استعمال ڪري سگهون ٿا هڪ سادي ڊيگ ڪمانڊ ۽ ڏسو ته اسين "Dig" dig + short test.openresolver.com TXT @ip.of.dns.server ڪري سگهون ٿا. جيڪڏهن سرور جواب ڏنو کليل-حل ڪرڻ وارو-پتايل، پوء اهو سمجهي سگهجي ٿو حملي جو هڪ امڪاني ٽارگيٽ. اوپن حل ڪندڙ تقريبن 25٪ ٺاهيندا آهن، جيڪو آسٽريا جي مقابلي ۾ آهي. مجموعي تعداد جي لحاظ کان، اھو آھي 0,02٪ سڀني يوڪرين جي IPs جو.

ٻيو ڇا توهان يوڪرين ۾ ڳولي سگهو ٿا؟

خوش ٿيو توهان پڇيو. اهو آسان آهي (۽ ذاتي طور تي مون لاءِ سڀ کان وڌيڪ دلچسپ) IP کي ڏسڻ لاءِ کليل پورٽ 80 ۽ ان تي ڇا هلي رهيو آهي.

ويب سرور

260 يوڪريني IPs جو جواب پورٽ 849 (http). 80 ايڊريس مثبت جواب ڏنو (125 اسٽيٽس) هڪ سادي GET درخواست تي جيڪو توهان جو برائوزر موڪلي سگهي ٿو. باقي هڪ يا ٻي غلطي پيدا ڪئي. اها دلچسپ ڳالهه آهي ته 444 سرورز 200 جي اسٽيٽس جاري ڪئي، ۽ ناياب حالتون 853 هيون (پراڪسي اختيار جي درخواست) ۽ مڪمل طور تي غير معياري 500 (IP "سفيد فهرست" ۾ نه آهي) هڪ جواب لاءِ.

Apache بلڪل غالب آهي - 114 سرورز ان کي استعمال ڪن ٿا. سڀ کان پراڻو نسخو مون کي يوڪرين ۾ مليو آهي 544، آڪٽوبر 1.3.29، 29 تي جاري ڪيو ويو (!!!). nginx 2003 سرورز سان ٻئي نمبر تي آهي.

11 سرور استعمال ڪن ٿا WinCE، جيڪو 1996 ۾ جاري ڪيو ويو، ۽ انهن کي 2013 ۾ پيچنگ ختم ڪيو (آسٽريا ۾ انهن مان صرف 4 آهن).

HTTP/2 پروٽوڪول استعمال ڪري ٿو 5 سرورز، HTTP/144 - 1.1، HTTP/256 - 836.

پرنٽر... ڇو ته... ڇو نه؟

2 HP، 5 Epson ۽ 4 Canon، جيڪي نيٽ ورڪ تان پهچن ٿا، انهن مان ڪجھ بغير ڪنهن اجازت جي.

ويب ڪيم

اها خبر ناهي ته يوڪرين ۾ ڪيترائي ويب ڪيم آهن جيڪي پاڻ کي انٽرنيٽ تي نشر ڪري رهيا آهن، مختلف وسيلن تي گڏ ڪيل آهن. گهٽ ۾ گهٽ 75 ڪئميرا پاڻ کي انٽرنيٽ تي بغير ڪنهن تحفظ جي نشر ڪن ٿا. توھان انھن کي ڏسي سگھو ٿا هتي.

ايندڙ ڇا آهي؟

يوڪرين هڪ ننڍڙو ملڪ آهي، آسٽريا وانگر، پر آئي ٽي شعبي ۾ وڏن ملڪن وانگر ساڳيا مسئلا آهن. اسان کي بهتر سمجهڻ جي ضرورت آهي ته ڇا محفوظ آهي ۽ ڇا خطرناڪ آهي، ۽ سامان ٺاهيندڙن کي انهن جي سامان لاءِ محفوظ ابتدائي ترتيبون مهيا ڪرڻ گهرجن.

ان کان علاوه، آئون گڏ ڪري پارٽنر ڪمپنيون (شريڪ ٿيڻ)، جيڪو توهان جي پنهنجي آئي ٽي انفراسٽرڪچر جي سالميت کي يقيني بڻائڻ ۾ مدد ڪري سگهي ٿو. ايندڙ قدم جيڪو آئون ڪرڻ جو منصوبو ڪريان ٿو يوڪريني ويب سائيٽن جي سيڪيورٽي جو جائزو وٺو. تبديل نه ڪريو!

جو ذريعو: www.habr.com