ANTYNET.PL – Administracja Sieci

Jeśli ktoś korzysta z PiHole to podaję swoje regexp.

Opracowane na podstawie własnych analiz ruchu itp.

Domeny wyłapane w ruchu ISP Debacom Zabrze:
[0-9a-za-z]{13-18}\.tickets
[0-9a-za-z]{13-18}\.blackfriday
v1\.[a-uw-z]{7}\.ru
v[12]{1}\.[a-uw-z]{7}\.ru
[b-y]{12}\.pw
[0-9a-za-z]{13-18}\.feedback
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.hosting
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.cloudfront.net
[0-9]{10}\.rsc.cdn77.org

Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:

[0-9a-za-z]{13-18}\.mooo.com
[0-9a-za-z]{13-18}\.chikenkiller.com
[0-9a-za-z]{13-18}\.us.to
[0-9a-za-z]{13-18}\.strangled.net
[0-9a-za-z]{13-18}\.ignorelist.com
[0-9a-za-z]{13-18}\.uk.to
[0-9a-za-z]{13-18}\.crabdance.com
[0-9a-za-z]{13-18}\.info.tm
[0-9a-za-z]{13-18}\.jumpingcrab.com
[0-9a-za-z]{13-18}\.twilightparadox.com
[0-9a-za-z]{13-18}\.biz.tm
[0-9a-za-z]{13-18}\.continent.kz
[0-9a-za-z]{13-18}\.az.lt

Domeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive.

[0-9a-za-z]{10-18}\.fail
[0-9a-za-z]{10-18}\.viajes
[0-9a-za-z]{10-18}\.exposed
[0-9a-za-z]{10-18}\.fit
[0-9a-za-z]{10-18}\.work
[0-9a-za-z]{10-18}\.london
[0-9a-za-z]{10-18}\.surf
[0-9a-za-z]{10-18}\.date
[0-9a-za-z]{10-18}\.asia
[0-9a-za-z]{10-18}\.life
[0-9a-za-z]{10-18}\.cam

Robiłem porządki w swojej sieci domowej.

Napotkałem na problem, adres mac: c8:93:46:36:10:1c

Gadatliwe to nie  było, porty pozamykane.

MAC address określał producenta: „MXCHIP Company Limited”

Wiele to nie dało, poza tym że trop kierował na IoT.

Poniżej wkleję połączenia, jakie wykonuje ten solar. Może kiedyś ktoś tu trafi gdy napotka na taki problem jak mój.

172.31.31.118.10000 > 121.40.214.219.80: UDP, length 228
0x0000: 4500 0100 0008 0000 ff11 9f4b ac1f 1f76 E……….K…v
0x0010: 7928 d6db 2710 0050 00ec 0000 c817 0100 y(..'..P……..
0x0020: c479 b41b fe95 76dd 0bdf 181d b9a1 e245 .y….v……..E
0x0030: 306f 2f2e 41d0 a812 416d 4700 8b15 7692 0o/.A…AmG…v.
0x0040: ca44 7cf1 d573 8981 27b9 0438 cffc 9553 .D|..s..'..8…S
0x0050: e5dd b084 b65e 1a11 fe43 9d0a 47ae 0f91 …..^…C..G…
0x0060: 1eb8 6d17 11ca 0e38 503a b6d3 c5e3 24ac ..m….8P:….$.
0x0070: bd47 3e15 3925 f88f 9bc0 1bce 7c44 5125 .G>.9%……|DQ%
0x0080: 0fb8 028d f2f2 77e3 3ce1 0572 c811 705d ……w.<..r..p]
0x0090: c357 9a3d 362d ab05 24ff da82 4829 839e .W.=6-..$…H)..
0x00a0: 43fe 05ca 0dc1 fa70 6963 745e b5d6 7304 C……pict^..s.
0x00b0: a5e9 8a7d e95b 2573 b09b 95d2 7736 e5c3 …}.[%s….w6..
0x00c0: a107 2ba3 6385 123e 8d32 98f0 96f0 0d76 ..+.c..>.2…..v
0x00d0: c854 2a4a 8e63 aa63 e9f3 c4fe 3431 cce0 .T*J.c.c….41..
0x00e0: 3cb8 e3a8 a069 5dc6 b47c e158 7894 5cae <….i]..|.Xx.\.
0x00f0: 4dfe 45a0 d04b 3809 746f cd59 0deb 94ae M.E..K8.to.Y….

172.31.31.118.55094 > 120.55.151.223.80: Flags [S], cksum 0xbf22 (correct), seq 6533, win 3456, options [mss 1152], length 0
0x0000: 4500 002c 000e 0000 ff06 e011 ac1f 1f76 E..,………..v
0x0010: 7837 97df d736 0050 0000 1985 0000 0000 x7…6.P……..
0x0020: 6002 0d80 bf22 0000 0204 0480 0000 `….”……..

I jak zwykle pomogło nasłuchiwanie zapytań DNS.

 172.31.31.1.53 > 172.31.31.118.4096: 0 1/0/0 mqtt.zevercloud.com. A 120.55.151.223 (53)
0x0000: 4500 0051 7411 0000 4011 6fd5 ac1f 1f01 [email protected]
0x0010: ac1f 1f76 0035 1000 003d 306b 0000 8180 ...v.5...=0k....
0x0020: 0001 0001 0000 0000 046d 7174 740a 7a65 .........mqtt.ze
0x0030: 7665 7263 6c6f 7564 0363 6f6d 0000 0100 vercloud.com....
0x0040: 01c0 0c00 0100 0100 000c d900 0478 3797 .............x7.
0x0050: df

/etc/pkg/FreeBSD.conf –> ustaw enabled na yes
/usr/local/etc/pkg/repos/FreeBSD.conf –> ustaw enabled na yes
/usr/local/etc/pkg/repos/pfSense.conf –> ustaw enabled na yes

Elegancka lista 😉

https://zwirek.eu/2020/11/25/wyszukiwarki/

windows 10 otoczenie sieciowe smb słaby transfer wolno

Skuteczne rozwiązanie:

PowerShell

Set-SmbClientConfiguration -EnableBandwidthThrottling 0 -EnableLargeMtu 1
Set-SmbServerConfiguration -EnableLeasing $false
NET STOP SERVER
NET START SERVER

http://td.fastio.me/

Pomijając kwestie bezpieczeństwa danych, fajna sprawa do dzielenia się dużymi plikami.

http://gmvault.org/download.html

Korzystanie z Let’s Encrypt na potrzeby WWW są automatyczne i proste.

Jeśli dla https mamy już certyfikaty jak wykorzystać ich moc dla serwera pocztowego?

Otóż jak zwykle u mnie prosto i szybko:

postfix:

smtpd_tls_cert_file = /etc/letsencrypt/live/domena/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domena/privkey.pem
dovecot:

ssl_cert = </etc/letsencrypt/live/szpital.zabrze.pl/fullchain.pem
ssl_key = </etc/letsencrypt/live/szpital.zabrze.pl/privkey.pem

Koniec.

Proste i działa 😉

Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.

Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.

Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.

Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.

Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:

Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*

Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*

Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*

Archived_COM:*:*:.*\.com:*:*:*:*:*:*

Archived_VB:*:*:.*\.vb:*:*:*:*:*:*

Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*

Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*

Archived_JS:*:*:.*\.js:*:*:*:*:*:*

Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*

Archived_WS:*:*:.*\.ws:*:*:*:*:*:*

Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*

Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*

Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*

Zapisujemy jako skasowac.cdb i restartujemy clama.

To tyle.

Bardzo dobre narzędzie. Oczywiście kolejne narzędzie pod linux!

Instalacja pod adresem: https://github.com/threat9/routersploit

Po uruchomieniu:

[email protected]:/home/amon/routersploit# ./rsf.py
______ _ _____ _ _ _
| ___ \ | | / ___| | | (_) |
| |_/ /___ _ _| |_ ___ _ __\ `–. _ __ | | ___ _| |_
| // _ \| | | | __/ _ \ '__|`–. \ '_ \| |/ _ \| | __|
| |\ \ (_) | |_| | || __/ | /\__/ / |_) | | (_) | | |_
\_| \_\___/ \__,_|\__\___|_| \____/| .__/|_|\___/|_|\__|
| |
Exploitation Framework for |_| by Threat9
Embedded Devices

Codename : I Knew You Were Trouble
Version : 3.4.1
Homepage : https://www.threat9.com – @threatnine
Join Slack : https://www.threat9.com/slack

Join Threat9 Beta Program – https://www.threat9.com

Exploits: 131 Scanners: 4 Creds: 171 Generic: 4 Payloads: 32 Encoders: 6

No to testujemy:

rsf > use scanners/autopwn

rsf (AutoPwn) > set target 192.168.50.1
[+] target => 192.168.50.1
rsf (AutoPwn) > run
[*] Running module scanners/autopwn…

efekt:

Zobaczysz sam … dane logowania na niezaktualizowane routery ;(

Ip podane w przykładzie to moja maszyna domowa otrzymana od operatora…. skan pokazał dane logowania 😀