![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Нет слов, одни выражения
Dec. 19th, 2014 08:11 amПоявилось у меня давеча подозрение, что у меня малварь в сети поселилась. Ну это не то чтобы супер-неожиданно, виндовая сетка, туча машин и VM в разных локациях забриджена по L2, то-сё. Я хоть винду админить умею, но и особых иллюзий не испытываю - zero-day были, есть и будут.
Вижу лаги DNS резолва, лаги TCP коннектов - плавали, знаем. Потом и Гугл сказал, капчу свою показал. Ладно, вырубаем машины по одной, клонируем, выдерживаем три дня чтоб базы у антивируса обновились, сканируем. Нихуя. Сканил, сканил, врубал-вырубал, забил.
И вот, нашёл. Нашел случайно, игрался с nginx'ом и увидел СТРАННЫЕ запросы. С еще более странным source IP. Ну то есть нет такого IP в моей сетке!
Короче, да, есть малварь. Живёт в нескольких роутерах, куда спускаются хвосты VPN-ки. Апдейтов прошивок нет. Ну охуеть теперь, радость на новый год от Cisco и D-Link.
На секьюрити это не то чтобы повлияло, все важные места ходят в инет через отдельный VPN, но осадочек остался. Даже непонятно что делать, блин.
Вижу лаги DNS резолва, лаги TCP коннектов - плавали, знаем. Потом и Гугл сказал, капчу свою показал. Ладно, вырубаем машины по одной, клонируем, выдерживаем три дня чтоб базы у антивируса обновились, сканируем. Нихуя. Сканил, сканил, врубал-вырубал, забил.
И вот, нашёл. Нашел случайно, игрался с nginx'ом и увидел СТРАННЫЕ запросы. С еще более странным source IP. Ну то есть нет такого IP в моей сетке!
Короче, да, есть малварь. Живёт в нескольких роутерах, куда спускаются хвосты VPN-ки. Апдейтов прошивок нет. Ну охуеть теперь, радость на новый год от Cisco и D-Link.
На секьюрити это не то чтобы повлияло, все важные места ходят в инет через отдельный VPN, но осадочек остался. Даже непонятно что делать, блин.
