Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html) +--- Thread: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) (/thread-534.html) Pages:
1
2
|
Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 03-14-2023 Izgleda da su resursi i ove državne ustanove neadekvatno zaštićeni i da se zloupotrebljavaju već duže vreme. Došao sam do ovoga istraživajući incidente vezane za MojDoktor: - Prvo sam ukucao na Google: "mojdoktor sorsix", jer samo već videli da ima testing lokacija kompanije koja je izradila MojDoktor aplikaciju i ideja mi je da proverim da li se i one pojavljuju na spam/malware listama (nisam sve još istražio, ako imate vremena molim vas pogledajte i vi) - Onda među rezultatima došao sam do ove indexirane prezentacije: "ДИГИТАЛНА ТРАНСФОРМАЦИЈА ЗДРАВСТВЕНОГ СИСТЕМА СРБИЈЕ ПРОФ.ДР ФЕРЕНЦ ВИЦКО", i u njoj sam video na slici ekrana adresu: eapoteka.mojdoktor.gov.rs. - IP adresa gde vodi eapoteka.mojdoktor.gov.rs je 212.200.188.116. Provajder je Telekom Srbija. - Zatim sam sam u AbuseIPDB pretražio 212.200.188.116/24 i dobio kao rezultat IP adresu: 212.200.188.121. Provajder je Telekom Srbija. - Detalji na AbuseIPDB za adresu 212.200.188.121 pokazuju incidente počevši od Marta 2021. do Marta 2023. godine uključujući skeniranje portova, ddos i bruteforce karakteristike napada. - Zatim ako IP 212.200.188.121 ubacimo u Shodan, dobijemo hostname: idp.esdnevnik.rs. - Ako pretražimo idp.esdnevnik.rs na Google vidimo da to je login na elektronski dnevnik. Rezultati sa AbuseIPDB: Rezultati sa ShodanIO: Rezultati sa Google: RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 03-17-2023 Bilo bi super i kada bi nam neko objasnio kako se ovo našlo u Google indeksu. Arhivirano: https://archive.ph/SRYND. RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 04-12-2023 Novi dokazi (13 detekcija) sa AlienVault: https://otx.alienvault.com/indicator/ip/212.200.188.121, arhivirano: https://archive.ph/vVQUT. RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 04-12-2023 AlienVault sve detekcije: RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 04-12-2023 Novi dokazi sa ThreatBook: https://threatbook.io/ip/212.200.188.121 RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 05-08-2023 Da dodamo još par detalja na ovu temu: https://otx.alienvault.com/indicator/domain/esdnevnik.rs Dostupni domeni i IP adrese (212.200.188.120, 212.200.188.121, 212.200.188.122, 217.26.210.157, 199.247.19.49, idp.esdnevnik.rs, moj.esdnevnik.rs, test.idp.esdnevnik.rs, kibana.esdnevnik.rs, support.esdnevnik.rs, test.esdnevnik.rs): Skorašnje detekcije: Nečija analiza napada sa VirusTotal: https://www.virustotal.com/gui/domain/esdnevnik.rs/relations RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 05-08-2023 I da sumiramo ono što znamo da se sigurno do sada dogodilo (nisam uspeo da izvučem sve informacije iz OTX, a i treba istražiti ostale IP i ovaj VirusTotal sample): RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 05-11-2023 Dobili smo odgovor od pomoćnika ministra prosvete dr. Saša Stojanović: Quote:Одмах по Вашој пријави покренули смо поступак провере система, након чега смо обавештени да је систем безбедан и заштићен, и да не постоји могућност неовлашћеног приступа, те да исти није могао бити, нити је коришћен за извођење напада на било који други систем. Jedan od mogućih scenarija zašto ipak vidimo prethodno objavljene rezultate je da je bio uključen neki vid spoofing-a IP adrese. RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - 1van - 05-11-2023 Odgovorio je i CERT republičkih organa <[email protected]>: Quote:Poštovani Ivane Markoviću, RE: Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs) - y0d4 - 05-11-2023 a pa da, to "opozicija im smesta".... -.- sto li sam se nadao da ce biti drugacije... |