+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan mojdoktor.gov.rs (/thread-402.html)
RE: Kompromitovan [email protected] - iznogud - 02-02-2023
mnogo cudna prica..
znamo da im dmarc nije podesen ..
na sajtu su okacili gomile mailova i kontakt imena sto nikako nije dobro...pristup zimri panelu je moguc bez ogranicenja u pokusajima login... nesto mi se ne cecka po pitanju ranjivosti..
ali kada sam skenirao ip adresu 212.200.253.238
https://bazaar.abuse.ch/sample/fbe53f92a5bd344b9de096b73e0393350572cead08de228bba059510284c59af/
https://www.abuseipdb.com/check/212.200.253.238
vidi se da je i ranjije prijavljivana ide do feb. 2021 godine cak uz upotrebu vise jezika a ne samo srpskog..
ako neko ima vremena da isprati istoriju malwera kao i formi maila koje su koriscene moglo bi da nas dovede do negde
RE: Kompromitovan [email protected] - 1van - 02-02-2023
Pa katastrofa, ne znam šta drugo da kažem... arhivirano: https://archive.ph/Yv8e1.
RE: Kompromitovan [email protected] - iznogud - 02-02-2023
nekako kada bismo sabrali sve.... uz cinjenicu da se mailovi sa mojdoktor.gov.rs domena zlupotrebljavaju preko godinu dana pre bih rekao da je u pitanju neki vid spoofinga, mada bilo bi korisno kada bismo imali zvanicnu potvrdu da su mailovi validni i da su u zvanicnoj upotrebi.
nekako mi nije logicno da neko ima pristup bazi ili nekolicini mail adresa vise od dve godine i ih "samo" koristi za slanje mailova cilju sirenja malware... da imaju pristup DB verovatno bi okacili odredjene podatke na neki od foruma...
RE: Kompromitovan [email protected] - 1van - 02-03-2023
Da, čudno je da sve tako dugo traje, ali IP adresa je sa njihovog mejl servera. Možda ima još nešto što izlazi preko te IP, ili je neka aplikacija kompromitovana.
Ali i da je spoofing u pitanju, i da adrese/nalozi ne postoje, svakako je ogroman problem, jer su u pitanju izuzetno osetljivi podaci koji se mogu pribaviti ovim tehnikama.
RE: Kompromitovan [email protected] - 1van - 02-03-2023
Mejl [email protected] i IP 212.200.253.238 se spominju 2020. godine i ovde (CSIRT Čile): https://www.csirt.gob.cl/media/2020/12/13BCS20-00083-01.pdf.
RE: Kompromitovan [email protected] - 1van - 02-03-2023
Još jedna zanimljivost je da kada se Googla "[email protected]" sa još nekim terminima, može se doći do više test url-ova (sub domena) gde je dostupan ovaj isti web sajt a na sorsix.com domenu (firma koja je izradila sistem). Verovatno slično postoji i za API-e mobilne aplikacije. Možda su oni kompromitovani.
RE: Kompromitovan [email protected] - y0d4 - 02-03-2023
koliko je suludo da to traje par dina, vise bih voleo da je neko svesno ovo omogucio i da odrzava pristup za takve stvari nego da je toliki bol u ....
Nemoguce da niko za ove godine nije prijavio, primetio da je adresa na spam listama, da ima neko salje na abuse i td.
Imao bih razumevanja da je u pitanju par meseci.....
RE: Kompromitovan [email protected] - 1van - 02-04-2023
Čudni rezultati Google pretrage:
Na ovim domenima (movimientolaola.es i restaurantlepetitchaudron.fr) ima gomila random generesanih sub domena sa raznim vrstama prevara.
RE: Kompromitovan [email protected] - 1van - 02-04-2023
Analiza zaglavlja mejla koji je stigao sa [email protected], izgleda da mejlovi stižu kroz kompromitovane WebMail naloge:
RE: Kompromitovan [email protected] - iznogud - 02-04-2023
zimbra relay
https://forums.zimbra.org/viewtopic.php?t=65034
https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC