Kompromitovan mojdoktor.gov.rs - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html) +--- Thread: Kompromitovan mojdoktor.gov.rs (/thread-402.html) |
RE: Kompromitovan [email protected] - 1van - 02-05-2023 Hm, zašto onda piše (ima header) "X-Mailer: Zimbra Web Client" ako je relay? Btw, MxToolBox kaže da (sada) nije relay i pojavila se IP na Bleklistama (TRUNCATE i SORBS SPAM). RE: Kompromitovan [email protected] - 1van - 02-05-2023 Da dodamo i da Shodan potvrđuje da je Zimbra na ovoj IP: https://www.shodan.io/host/212.200.253.238, arhivirano: https://archive.ph/NKvZH. RE: Kompromitovan [email protected] - 1van - 02-05-2023 Poznata istorija zloupotrebe e-mail servera (212.200.253.238) i domena mojdoktor.gov.rs, pregled: RE: Kompromitovan mojdoktor.gov.rs - iznogud - 02-14-2023 nekako mi ova tema mira ne da... verovatno je u pitanju onda neka RCE s ozbirom da je verzija zimbre starija ZmSettings.js [8.8.15_GA_3829] sto nas mozda dovodi do https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-14-2023 Ne znam šta je gore, da neko direktno eksploatiše server godinama (ovo što si naveo) i da nemaju nikakav monitoring, ili da neko godinama zloupotrebljava terminale i da niko ništa nije uradio po tom pitanju. Obavestio sam sve moguće nadležne i nenadležne institucije, i niko ne odgovara. Čak ni CERT-ovi. RE: Kompromitovan mojdoktor.gov.rs - y0d4 - 02-14-2023 mozda je neka veca igra ... RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-21-2023 Poslao sam detalje ove kampanje na gomile adresa, između ostalog i na: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]. Za sada je jedino odgovorio Zaštitnik građana. RE: Kompromitovan mojdoktor.gov.rs - 1van - 02-22-2023 Dodaću link i na ovu temu gde se vide i drugi potencijalno kompromitovani zdravstveni sistemi: https://bezbedanbalkan.net/thread-470-post-1426.html#pid1426. Quote:- gakfront.org (Ginekološko-akušerska klinika) A i ovu vest: https://heliant.rs/2023/02/21/radulovic-gost-emisije-naucni-portal-na-rts-u/, arhivirano: https://archive.ph/6cgpV. Quote:Predstavnik kompanije „Heliant“ i predsednik Saveza za zdravstvo NALED-a, Vukašin Radulović, će 7. marta gostovati u emisiji Radio-televizije Srbije, „Naučni portal“, u kojoj će govoriti o tome zašto je digitalizacija važna za zdravstveni sistem u Srbiji, kao i najnovijim trendovima na tom polju. RE: Kompromitovan mojdoktor.gov.rs - facyber_ - 03-22-2023 Pozdrav svima, ubacio bih se sa komentarom da nisam iznenađen što niko ne odgovara i da je veoma sramotno. Pokušao sam da ispratim celu priču od početka, tj. prešao sam sve linkove i komentare u ovoj temi, pa bih dodao još par linkova za koje verujem da ste možda već videli ali eto neka bude u bazi. 1. Komentar na VirusTotal stranici za ovu IP adresu navodi moguć Zimbra exploit još pre 7 meseci. 2. OTX Pulse za IP adresu 212.200.253.238 spominje širenje malicioznog fajla još pre 2 godine što se poklapa sa tvojom analizom početka. 3. OTX detalji IP adrese pokazuju dodatne subdomene među kojima je i mail.mojdoktor.gov.rs koji otvara Zimbra login stranicu. 4. Izvorni kod mail login stranice ne znam da li je podrazumevani, ali mi se ne sviđa što sadrži klasičan JavaScript u samom html fajlu, gde se vidi princip rada menjanja lozinke. Nisam programer pa ne mogu tvrditi da je ovaj kod zaista ranjiv ovakav kakav je, ali šta ja znam, meni ne deluje okej. RE: Kompromitovan mojdoktor.gov.rs - 1van - 05-12-2023 Hval na detaljima, dodaću samo još sliku: |