VOL sofreu sequestro de DNS e foi apontado para um site FAKE

49. eu sofri

julio barros
julinhobrow

(usa CentOS)

Enviado em 24/11/2016 - 20:48h

tive de reinstalar o shell todo do meu conectiva linux quase perdi tudo, era o vírus.

registro.br ainda existe? achei que agora era internic o dono dos registros br da internet.


  


50. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Gustavo Paulino
gpaulino

(usa Linux Mint)

Enviado em 24/11/2016 - 22:24h

Ainda bem que aqui está tudo normalzinho. De qualquer forma vou fiar esperto.


51. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 24/11/2016 - 23:24h

Giovanni_Menezes escreveu:

Boa sorte para ele, todos nós sabemos da segurança e modernidade do sistema prisional brasileiro, serão longos dias ao lado de bandidos de todas as especies numa cela apertadinha, com presos cheios de amor para dar ao novato rsrsrs.


Com alguma sorte ele deve ter superior.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



52. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 24/11/2016 - 23:26h

Mauriciodez escreveu:

o que eu realmente fiquei de cara foi com a quantidade de usuários aqui do fórum q baixaram e executaram o js .. aff .. e eu aqui pensando q usuários linux eram todos safos !!!


A primeira coisa que imaginei foi exploit em cima do zip/unzip e bibliotecas relacionadas. Nem quis descompactar. Estava sem máquina virtual para testes.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



53. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Josue de Jesus Santos
JJSantos

(usa Gentoo)

Enviado em 24/11/2016 - 23:46h

fernandojsouza escreveu:

Venho aqui levantar alguns pontos em relação a segurança do site:


1- Quando o site sofreu esse tipo de ataque é os usuários que se logavam tiveram o seu login e senha capturada pelo criminoso isso é certo?

2- Qual o impacto para quem baixou e executou o arquivo js no PC (abriu)?

3- Usar um usuário comum no sistema sem poderes administrativos não basta.

4- Na questão dos rastros:

Deixar o próprio whatsapp no código fonte do site? Sera que não é fake ou é mesmo burrice. Pelo conhecimento que o criminoso tem levo a crer que é fake.
Não usou nenhum proxy? Ele não ia deixa isso acontecer
Região: DF
IP registrado
Seguir os rastros do provedor neste caso o tempo esta correndo contra. Quando mais tempo levar menor vai ser os rastros.


5- Motivação do crime: Invadir para mostrar que o servidor é realmente vulnerável sera mesmo que é só isso ou tem algo oculto por atrás , isto é apenas a ponta do iceberg? Amigos...


Fabio que isso possa servir de algo positivo para todos aqui no site. Não existe sistema 100% seguro.

Não devemos fecha os olhos só porque usamos Linux, risco sempre vão existe,mais como vão ser tratado isso é outra questão.


A medida de abrir um registro de ocorrência foi correta. Existe algo que os usuários do site possa fazer para ajudar você?


Em relação a investigação da Polícia Federal tenho certeza que vai ser feita ainda mais nos tempos atuais. Vamos chama o Juiz Sérgio Moro para resolver isso.

Tem como ver Antecedentes Criminais do criminoso no site da PF



Superintendência Regional do Distrito Federal

Superintendência Regional
Superintendente: DPF Élzio Vicente da Silva
Endereço: SAIS Quadra 7 - Lote 23 - Setor Policial Sul Brasília-DF / CEP 70610-902
Fone: (61) 2024-7500
Fax: (61) 2024-7401
Plantão: (61) 2024-7503 / 2024-7678 (TeleFax)
Recepção: (61) 2024-7501/02
Comunicação Social
Chefe: Bruno Ramos Craesmeyer
Fone: (61) 2024-7510 / 7557
E-mail: cs.srdf@dpf.gov.br

PF nas redes sociais





Obs: Ate agora não vi mudança do código fonte do site como antes. Sera que foi resolvido o problema? Agora fica a questão da credibilidade do site que vai demora para volta.

Já que o ponto inicial foi uma brecha de segurança no Gmail ele não é mais confiável, mesmo que configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Sempre vai corre esse risco futuramente.

Outra questão porque tem tanta propaganda no site? É só nele que aparece (anúncios do google)


Agora vou sempre abrir o site em uma maquina virtual.


Cara o problema não foi no servidores vol website ou banco de dados, mais sim no DNS que responde para IP do VOL 162.144.34.172
Um teste básico no dia que apresentou o problema
dig vivaolinux.com.br 

Ia Perceber que estava apontando para o IP de outro servidor.
O cara que fez isso configurou um servidor para isso. Não utilizou o do vol.


54. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Perfil removido
removido

(usa Nenhuma)

Enviado em 24/11/2016 - 23:55h

Essa coisa do cara querer aparecer é igualzinho à história do Chicote Negro aparecendo em Mônaco no filme Homem de Ferro 2.
Será que ele quer que o concorrente do Tony Stark o contrate depois de simular a morte dele na cadeia?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



55. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Josue de Jesus Santos
JJSantos

(usa Gentoo)

Enviado em 25/11/2016 - 00:02h

fernandojsouza escreveu:

Venho aqui levantar alguns pontos em relação a segurança do site:


1- Quando o site sofreu esse tipo de ataque é os usuários que se logavam tiveram o seu login e senha capturada pelo criminoso isso é certo?

É possível, não tem como mensurar sem acesso. Eu pessoalmente quando abri a página desconfie logo, limpei o cache e voltou.
Troquei o DNS da operadora pelo do OpenDNS e aí o site não carregou mas.


2- Qual o impacto para quem baixou e executou o arquivo js no PC (abriu)?

você chegou a analisar o arquivo?
Eu não baixei quando, e percebi que se tratava de outro site, só voltei a tentar acessar no dia seguinte a tarde. E já estava normalizado o acesso.


3- Usar um usuário comum no sistema sem poderes administrativos não basta.

pode explicar melhor isso, fiquei curioso, qual a correlação?




5- Motivação do crime: Invadir para mostrar que o servidor é realmente vulnerável sera mesmo que é só isso ou tem algo oculto por atrás , isto é apenas a ponta do iceberg? Amigos...

ele não invadiu o servidor do vol, você estão misturando as coisas

Fabio que isso possa servir de algo positivo para todos aqui no site. Não existe sistema 100% seguro.

verdade, mais que foi quem disse que existe?

@izaias e @fabio me ajuda aí.

Não devemos fecha os olhos só porque usamos Linux, risco sempre vão existe,mais como vão ser tratado isso é outra questão.

concordo, riscos não vulnerabilidades, todo sistema operacional tem.

Obs: Ate agora não vi mudança do código fonte do site como antes. Sera que foi resolvido o problema? Agora fica a questão da credibilidade do site que vai demora para volta.

[b]Simples o vol não mudou.
O que mudou foi o DNS.

Já que o ponto inicial foi uma brecha de segurança no Gmail ele não é mais confiável, mesmo que configure-o para autenticar via Google Authenticador, autenticação em duas etapas. Sempre vai corre esse risco futuramente.

Outra questão porque tem tanta propaganda no site? É só nele que aparece (anúncios do google)

alguém precisa pagar as contas

Agora vou sempre abrir o site em uma maquina virtual

:-)

.





56. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 25/11/2016 - 00:27h

"Que viagem é essa veio". Parem com isso kkkkk exploit em cima do zip, abrir em máquina vitual vocês estão dando o que os kiddies querem, por que que não deixam quieto? O cara somente mudou o dns, eu falei desse ataque semana passada aqui, é mais comum do que parece.

O cara nem sequer explorou uma falha do site ele simplesmente foi no elo mais fraco e isso respingou no site.

Dont't worry be happy





______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/


57. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Josue de Jesus Santos
JJSantos

(usa Gentoo)

Enviado em 25/11/2016 - 00:32h

ctw6av escreveu:

"Que viagem é essa veio". Parem com isso kkkkk exploit em cima do zip, abrir em máquina vitual vocês estão dando o que os kiddies querem, por que que não deixam quieto? O cara somente mudou o dns, eu falei desse ataque semana passada aqui, é mais comum do que parece.

O cara nem sequer explorou uma falha do site ele simplesmente foi no elo mais fraco e isso respingou no site.

Dont't worry be happy





______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/


Eu respondi um tópico. Cara fez um post, como se a NSA tivesse sido hackeada.
Pior que são vários posts sobre o mesmo assunto.


58. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

ANDRE MILKE DOS SANTOS
andremilke

(usa Debian)

Enviado em 25/11/2016 - 07:28h

Se puder enviar, agradeço.


59. O tal script

Perfil removido
removido

(usa Nenhuma)

Enviado em 25/11/2016 - 08:25h

Deu um trabalhinho mais consegui converter "String.fromCharCode()" e ir para a segunda parte. Não sei pra que tanto desse, pois não bastava um e colocar "String.fromCharCode(87, 45, 95, 65, ...)"?

No site da MS tem muito material sobre cada parte do código. Coisas sobre o Powershell, System.IO.Compression, IO.Compression.DeflateStream, FromBase64String, Convert, Decompress, essas coisas.

Seria bom uma seção aqui no VOL trocando ideias sobre o código. Bastava usar tudo menos a parte "perigosa" que de perigosa mesmo não parece ter nada, penso.

Se o moderador achar que coloquei muita coisa que não deveria aqui, pode me alertar (lógico), apagar ou modificar.
Mas, já que ocorreu o "ocorrido", seria bom falar sobre o assunto de forma mais aprofundada para suprir nossa demanda por conhecimento.
Vamos comentar o código e fazer funcionar usando um código nulo. Quem sabe com uma mensagem de viva o conhecimento. Viva o Vol.


60. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Enzo de Brito Ferber
EnzoFerber

(usa FreeBSD)

Enviado em 25/11/2016 - 08:29h

tony130666 escreveu:

Deu um trabalhinho mais consegui converter "String.fromCharCode()" e ir para a segunda parte. Não sei pra que tanto desse, pois não bastava um e colocar "String.fromCharCode(87, 45, 95, 65, ...)"?

No site da MS tem muito material sobre cada parte do código. Coisas sobre o Powershell, System.IO.Compression, IO.Compression.DeflateStream, FromBase64String, Convert, Decompress, essas coisas.

Seria bom uma seção aqui no VOL trocando ideias sobre o código. Bastava usar tudo menos a parte "perigosa" que de perigosa mesmo não parece ter nada, penso.

Se o moderador achar que coloquei muita coisa que não deveria aqui, pode me alertar (lógico), apagar ou modificar.
Mas, já que ocorreu o "ocorrido", seria bom falar sobre o assunto de forma mais aprofundada para suprir nossa demanda por conhecimento.
Vamos comentar o código e fazer funcionar usando um código nulo. Quem sabe com uma mensagem de viva o conhecimento. Viva o Vol.


Gostei demais dessa ideia.
Se alguém puder me enviar o código fico feliz! Quero dar uma fuçada também!
Enzo Ferber
[]'s


$ indent -kr -i8 src.c

"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right."
- linux/Documentation/CodingStyle - TORVALDS, Linus.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts