![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dn54Я тут каким-то совершенно непостижимым образом подхватил дома троянца. Все системы защиты прикинулись ветошью и оказались бесполезны. Так что, заметил и убил я его вручную. Но это совершенно неинтересно, об этом я бы не стал писать. После чистки перестала приходить почта с гугла через pop3. И сам почтовый сервер не отвечал.
Оказывается, эта сука (троян, в смысле) прописала на себя 212 маршрутов, в один из которых как раз попали несколько сервисов гугла. То есть, весь траффик на эти сервера шёл через троянца, который фиг знает что с этой информацией делал. Не, я, конечно, сразу же поменял пароль, да и всё равно у гугла соединение защищённое, и больше ничего я в списке знакомого не обнаружил, но, блядь, сам факт. Моргнёшь так глазом не в ту сторону - и все твои пароли уйдут куда-то.
Под катом список сетей.
84.40.30.0
85.12.57.0
85.17.210.0
85.214.106.0
85.255.19.0
85.31.222.0
87.106.242.0
87.106.254.0
87.230.79.0
87.238.48.0
87.242.72.0
87.242.74.0
87.242.79.0
88.221.119.0
89.108.66.0
89.111.176.0
89.202.149.0
89.202.157.0
90.156.159.0
90.183.101.0
91.121.97.0
91.199.212.0
91.209.196.0
92.123.155.0
92.53.106.0
93.184.71.0
93.191.13.0
94.23.206.0
94.236.0.0
95.140.225.0
74.55.74.0
75.125.185.0
174.120.186.0
208.43.71.0
74.53.70.0
74.86.232.0
74.54.139.0
174.133.38.0
174.120.185.0
174.120.184.0
74.54.130.0
74.54.46.0
75.125.189.0
75.125.43.0
74.86.125.0
75.125.212.0
207.44.254.0
83.102.130.0
87.242.75.0
81.176.67.0
212.59.118.0
188.40.74.0
208.43.44.0
62.67.184.0
74.55.143.0
195.222.17.0
81.176.230.0
194.67.52.0
184.84.67.0
80.239.197.0
74.125.77.0
38.117.98.0
193.138.220.0
95.167.139.0
83.229.173.0
128.111.48.0
128.130.56.0
128.130.60.0
139.91.222.0
141.202.248.0
149.101.225.0
150.70.93.0
155.35.248.0
162.40.10.0
165.160.15.0
166.70.98.0
18.85.2.0
188.93.8.0
192.150.94.0
193.0.6.0
193.1.193.0
193.110.109.0
193.17.85.0
193.193.194.0
193.24.237.0
193.66.251.0
193.69.114.0
193.71.68.0
194.0.200.0
194.109.142.0
194.112.106.0
194.206.126.0
194.33.180.0
195.137.160.0
195.146.235.0
195.2.240.0
195.210.42.0
195.55.72.0
195.64.225.0
195.70.37.0
198.6.49.0
199.203.243.0
203.160.188.0
204.14.90.0
205.178.145.0
205.227.136.0
206.204.52.0
207.44.154.0
207.46.18.0
207.46.20.0
207.46.232.0
207.66.0.0
208.79.250.0
209.124.55.0
209.157.69.0
209.160.22.0
209.216.46.0
209.51.167.0
209.62.112.0
209.62.68.0
209.87.209.0
212.47.219.0
212.67.88.0
212.72.62.0
212.8.79.0
213.133.34.0
213.171.218.0
213.198.89.0
213.220.100.0
213.31.172.0
216.10.192.0
216.12.145.0
216.239.122.0
216.246.90.0
216.49.88.0
216.49.94.0
216.55.183.0
216.99.133.0
217.106.234.0
217.16.16.0
217.170.21.0
217.174.103.0
38.113.1.0
62.14.249.0
62.146.210.0
62.146.66.0
62.189.194.0
62.213.110.0
62.75.163.0
62.75.216.0
63.85.36.0
64.128.133.0
64.13.134.0
64.202.189.0
64.246.4.0
64.41.142.0
64.41.151.0
64.66.190.0
64.78.182.0
65.175.38.0
65.55.184.0
65.55.240.0
66.223.50.0
66.249.17.0
66.77.70.0
67.134.208.0
67.15.103.0
67.15.231.0
67.19.34.0
67.192.135.0
67.225.206.0
67.227.172.0
68.177.102.0
69.162.79.0
69.18.148.0
69.20.104.0
69.57.142.0
69.93.226.0
70.84.211.0
72.232.246.0
72.3.254.0
72.32.125.0
72.32.149.0
72.32.70.0
74.208.158.0
74.208.20.0
74.50.0.0
74.52.233.0
74.53.201.0
74.55.40.0
75.125.29.0
75.125.82.0
78.108.86.0
78.137.164.0
78.47.87.0
79.125.5.0
80.153.193.0
80.190.130.0
80.190.154.0
80.237.132.0
80.86.107.0
81.176.66.0
81.177.31.0
81.24.35.0
82.117.238.0
82.151.107.0
82.165.103.0
82.98.86.0
83.202.175.0
83.222.23.0
83.222.31.0
83.223.117.0
А я мудаг. Всё ленился нормальный файрвол поставил, надеялся на два ната, которые в такой ситуации нах не упёрлись, конечно.
Оказывается, эта сука (троян, в смысле) прописала на себя 212 маршрутов, в один из которых как раз попали несколько сервисов гугла. То есть, весь траффик на эти сервера шёл через троянца, который фиг знает что с этой информацией делал. Не, я, конечно, сразу же поменял пароль, да и всё равно у гугла соединение защищённое, и больше ничего я в списке знакомого не обнаружил, но, блядь, сам факт. Моргнёшь так глазом не в ту сторону - и все твои пароли уйдут куда-то.
Под катом список сетей.
84.40.30.0
85.12.57.0
85.17.210.0
85.214.106.0
85.255.19.0
85.31.222.0
87.106.242.0
87.106.254.0
87.230.79.0
87.238.48.0
87.242.72.0
87.242.74.0
87.242.79.0
88.221.119.0
89.108.66.0
89.111.176.0
89.202.149.0
89.202.157.0
90.156.159.0
90.183.101.0
91.121.97.0
91.199.212.0
91.209.196.0
92.123.155.0
92.53.106.0
93.184.71.0
93.191.13.0
94.23.206.0
94.236.0.0
95.140.225.0
74.55.74.0
75.125.185.0
174.120.186.0
208.43.71.0
74.53.70.0
74.86.232.0
74.54.139.0
174.133.38.0
174.120.185.0
174.120.184.0
74.54.130.0
74.54.46.0
75.125.189.0
75.125.43.0
74.86.125.0
75.125.212.0
207.44.254.0
83.102.130.0
87.242.75.0
81.176.67.0
212.59.118.0
188.40.74.0
208.43.44.0
62.67.184.0
74.55.143.0
195.222.17.0
81.176.230.0
194.67.52.0
184.84.67.0
80.239.197.0
74.125.77.0
38.117.98.0
193.138.220.0
95.167.139.0
83.229.173.0
128.111.48.0
128.130.56.0
128.130.60.0
139.91.222.0
141.202.248.0
149.101.225.0
150.70.93.0
155.35.248.0
162.40.10.0
165.160.15.0
166.70.98.0
18.85.2.0
188.93.8.0
192.150.94.0
193.0.6.0
193.1.193.0
193.110.109.0
193.17.85.0
193.193.194.0
193.24.237.0
193.66.251.0
193.69.114.0
193.71.68.0
194.0.200.0
194.109.142.0
194.112.106.0
194.206.126.0
194.33.180.0
195.137.160.0
195.146.235.0
195.2.240.0
195.210.42.0
195.55.72.0
195.64.225.0
195.70.37.0
198.6.49.0
199.203.243.0
203.160.188.0
204.14.90.0
205.178.145.0
205.227.136.0
206.204.52.0
207.44.154.0
207.46.18.0
207.46.20.0
207.46.232.0
207.66.0.0
208.79.250.0
209.124.55.0
209.157.69.0
209.160.22.0
209.216.46.0
209.51.167.0
209.62.112.0
209.62.68.0
209.87.209.0
212.47.219.0
212.67.88.0
212.72.62.0
212.8.79.0
213.133.34.0
213.171.218.0
213.198.89.0
213.220.100.0
213.31.172.0
216.10.192.0
216.12.145.0
216.239.122.0
216.246.90.0
216.49.88.0
216.49.94.0
216.55.183.0
216.99.133.0
217.106.234.0
217.16.16.0
217.170.21.0
217.174.103.0
38.113.1.0
62.14.249.0
62.146.210.0
62.146.66.0
62.189.194.0
62.213.110.0
62.75.163.0
62.75.216.0
63.85.36.0
64.128.133.0
64.13.134.0
64.202.189.0
64.246.4.0
64.41.142.0
64.41.151.0
64.66.190.0
64.78.182.0
65.175.38.0
65.55.184.0
65.55.240.0
66.223.50.0
66.249.17.0
66.77.70.0
67.134.208.0
67.15.103.0
67.15.231.0
67.19.34.0
67.192.135.0
67.225.206.0
67.227.172.0
68.177.102.0
69.162.79.0
69.18.148.0
69.20.104.0
69.57.142.0
69.93.226.0
70.84.211.0
72.232.246.0
72.3.254.0
72.32.125.0
72.32.149.0
72.32.70.0
74.208.158.0
74.208.20.0
74.50.0.0
74.52.233.0
74.53.201.0
74.55.40.0
75.125.29.0
75.125.82.0
78.108.86.0
78.137.164.0
78.47.87.0
79.125.5.0
80.153.193.0
80.190.130.0
80.190.154.0
80.237.132.0
80.86.107.0
81.176.66.0
81.177.31.0
81.24.35.0
82.117.238.0
82.151.107.0
82.165.103.0
82.98.86.0
83.202.175.0
83.222.23.0
83.222.31.0
83.223.117.0
А я мудаг. Всё ленился нормальный файрвол поставил, надеялся на два ната, которые в такой ситуации нах не упёрлись, конечно.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2010-11-24 06:27 pm (UTC)а вот вчерась случай был...
Date: 2010-11-24 08:12 pm (UTC)no subject
Date: 2010-11-25 12:22 am (UTC)Re: а вот вчерась случай был...
Date: 2010-11-25 12:24 am (UTC)Нортоном - в смысле коммандером или антивирусом?
no subject
Date: 2010-11-25 06:18 am (UTC)no subject
Date: 2010-11-25 06:54 am (UTC)no subject
Date: 2010-11-25 07:26 am (UTC)no subject
Date: 2010-11-25 07:45 am (UTC)no subject
Date: 2010-11-25 07:52 am (UTC)Давайте пройдёмся по софту.
Почта. Допустим, сервис - gmail. pop3/smtp может работать через ssl, веб-интерфейс работает по https.
ICQ и Jabber. Сейчас, кажется, вообще не умеют передавать нешифрованные пароли.
Всякие форумы и вконтактики - таки да, вроде передают в лоб. Ну, пароли от них не так страшно пролюбить.
Переходим к более ценным вещам.
webmoney - лично я юзаю enum-авторизацию, так что даже троян-кейлоггер мне пофиг.
Интернет-банкинг - обычно работает по одноразовым паролям.
ssh и прочие заходы на *nix-сервера - опять же не передают паролей явно. Но для красоты можно настроить OTP-авторизацию.
Таки какой же софт передаёт ценные пароли по сети?
no subject
Date: 2010-11-25 08:00 am (UTC)Он у меня так и работает, написал же. А стопиццот других почтовиков - нет.
IM я не использую.
90% сайтов с регистрацией про https не знают. Sad but true.
Работа с деньгами - само собой.
Но из этого интернет как-бы не весь состоит.
>Таки какой же софт передаёт ценные пароли по сети?
Вы тут очень ловко сделали замену "пароли" - "ценные пароли".
no subject
Date: 2010-11-25 08:10 am (UTC)Действительно - мой косяк в формулировках.
Re: а вот вчерась случай был...
Date: 2010-11-25 11:51 am (UTC)ибо его почему-то- повторюсь- ни веб, ни каспер не видели.