https://www.opennet.ru/openforum/vsluhforumID3/121398.html Продолжает набирать обороты атака "Meow", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло примерно до 2500, а вчера превысило отметку 3800, но снизилось сегодня до 3750...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53438<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#155 Sat, 01 Aug 2020 18:07:04 GMT процессинг слегка изолирован, ботнеты слегка не под макрозадачи, хозяин ботнета слегка несвободен в выборе, всё против конца света, но взглючнуть может, слегка.<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#154 Sat, 01 Aug 2020 13:00:03 GMT &gt; из 3800 всего 25 догадались закрыть?<br><br>не "догадались", а "сумели".<br>Если ты вот прям щас "закроешь" доступ к базам данных коммерческого проекта - через еще час пойдешь искать новую работу и хорошего адвоката, а доступ откроют другие ребята.<br><br>Потому что сосюрити это очень хорошо и замечательно, но ты - именно ты - сломал прод, нанеся ущерб на сумму...<br><br>А поменять в непонятном количестве непонятных мест кода на статридцати фреймворках и тулкитах беспарольный доступ на парольный - не каждый васян справится. А без даунтайма - и невасянам слабо.<br>Закрыть доступ пакетным фильтром в виду всеобщего облачного благорастворения - тоже не так просто.<br><br>&gt; и оставлены в публичном доступе? интересная версия.<br><br>куда они денутся? Они даже не в курсе наверняка, что случилось - "у нас сломалась монга! Срочно переустановите!".<br><br>&gt; шудан определяет базы только по следам мява?<br><br>так там конкретно следы ищутся. А сколько всего он нашел (он просто так тоже ищет) - оно в другом разделе.<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#153 Thu, 30 Jul 2020 07:45:59 GMT &gt; Там, вроде, таки что-то пошифровали: https://news.drweb.ru/show/?i=13928&lng=ru&c=5 <br><br>Там походу малвара через ad немного порулила их инфраструктуркой, раскидав себя на все машины в ынтыгпгайзе и все зашифровав. Как вы понимаете, при этом в фирме наступает полнейшее ололо для админов и не только, и им там вообще не до каких-то там дурацких онлайн сервисов, они вообще за выживание фирмы борятся :D<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#152 Thu, 30 Jul 2020 07:44:08 GMT YOLO!!!! Вы что, не в курсе? Гармина малварь через этот ваш любимый AD трахнула. И соответственно у них жесточайший тарарам по всему энтерпрайзу.<br><br>Ну да, AD удобный. Чтобы рулить. Вот малварь инфраструктурой гармина и порулила, гггг :)))). Отдельные приветы фанатам этой кульной технологии.<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#151 Thu, 30 Jul 2020 07:31:52 GMT &gt; чё было бы, если бы все ботнеты под винду одновременно получили бы <br>&gt; команду "уничтожить всё" <br><br>Ну, ты приходишь в магаз, а тебе и не дают жрат. Процессинг лежит, карты не работают, онлайн кассы в дауне, банки в дауне, ... ну в общем газуй в огород и копай картофаен, если он у тебя был. Иначе ... вот тебе бабушка и вендокапец!<br><br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#150 Thu, 30 Jul 2020 07:29:08 GMT &gt; А где фрактал с сишными дыренями?<br><br>Базу из бэкапа раскатывает!<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#149 Thu, 30 Jul 2020 07:27:30 GMT &gt; да. Но, поскольку современных разработчиков оказалось _невозможно_ обучить культуре unix-style <br>&gt; логов - ничего кроме этого г-на и нет.<br><br>Это когда вы грепаете цаит гигов хлама каджый раз, наслаждаясь перфомансом операции? А вот даже туповатые хипстеры не поняли зачем так мумукаться :)<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#148 Thu, 30 Jul 2020 07:23:14 GMT &gt; Такой логикой можно и до оправдания карманников дойти. Мол, не кража, а <br>&gt; вход. Карманы же не закрыты на ключ.<br><br>Те кто так вываливает базы в своем праве обратиться к правоохранителям. Правда, им при этом придется малость объяснить - как все это соответствует каким-нибудь законам о персональных данных и тому подобным регуляциям, где в приваси полиси на их сайте это было написано, и, вероятно, заплатить по итогам выяснения этих деталей нехреновый штраф, да еще чего доброго вывесив публичный анонс о профакивании кастомерских данных, как того требует законодательство ряда стран.<br><br>По поводу чего большинство таких раздолбаин, вероятно, постесняется делать именно это, именно так, потому что и сами с точки зрения законодательства - "не очень" :)<br> https://www.opennet.ru/openforum/vsluhforumID3/121398.html#147 Thu, 30 Jul 2020 05:19:14 GMT &gt; у 25 наконец-то прикрыли внешний доступ, <br><br>из 3800 всего 25 догадались закрыть? интересная версия.<br><br>&gt; еще 25 перезалиты с нуля, <br><br>и оставлены в публичном доступе? интересная версия.<br> <br>&gt; пока Мяу их заново не посетил, поэтому его следы Shodan не <br>&gt; видит <br><br>шудан определяет базы только по следам мява? нет следов - нет проблем? <br><br><br>