domeni firme:
psgbdvor.rs
psgbdvor.com
psgbdvor.net
svi idu na:
takođe postoji i ns.psgbdvor.rs kao i webmail.psgdbvor.rs koji takođe idu na adresu 213.240.41.18
SPF: v=spf1 ip4:213.240.41.18 ip4:213.240.41.24 ~all
194.247.196.19 je verovatno web hosting kod yunet.rs - YUNET INTERNATIONAL d.o.o.
Sajt na IP adresi kao i sama IP adresa su nedostupni, kada su poslednji put bili dostupni ne mogu da nađem, moguće je da nije nikada ni bio aktivan sajt jer ne nalazim ni jednu keširanu kopiju?
IP adresa gde je mejl server, 213.240.41.18, je deo koji je YUNET delegirao samoj firmi:
I izgleda da u ovom trenutku ide preko Telekoma:
(volim ove nikad ažurirane .co.yu PTR rekorde)
Mejl server je u ovom trenutku nedostupan. Sad zapravo nisam siguran da li je bio nedostupan jer kad sam išao da proverim još jednom radio je :
Takođe je zanimljivo da je do (možda) 2024-05-28 mail.psgbdvor.rs bio usmeren na drugu IP adresu, 92.42.254.113, koja je kod mediaworksit.net tj. Orion Telekom-a, mada da li se ovo zaista desilo i datum kada se desilo ne mogu da precizno odredim.
Timeline za sada:
2024-05-20 : Objavljuje se prodaja pristupa firmi - https://bezbedanbalkan.net/thread-1482.html
2024-05-28 : Ransomware grupa objavljuje da je kompromitovala firmu, istog dana se navodno menja DNS mejl servera sa IP adrese Orion-a na sopstvenu IP adresu. Dan kasnije je objavljena vest koja je linkovana u prvom komentaru ove teme, a prva spomen na X-u je datuma 2024-05-28 14:58
psgbdvor.rs
psgbdvor.com
psgbdvor.net
svi idu na:
Code:
psgbdvor.rs has address 194.247.196.19
psgbdvor.rs mail is handled by 10 mail.psgbdvor.rs.
psgbdvor.rs mail is handled by 20 relay.eunet.rs.
mail.psgbdvor.rs has address 213.240.41.18
takođe postoji i ns.psgbdvor.rs kao i webmail.psgdbvor.rs koji takođe idu na adresu 213.240.41.18
SPF: v=spf1 ip4:213.240.41.18 ip4:213.240.41.24 ~all
194.247.196.19 je verovatno web hosting kod yunet.rs - YUNET INTERNATIONAL d.o.o.
Sajt na IP adresi kao i sama IP adresa su nedostupni, kada su poslednji put bili dostupni ne mogu da nađem, moguće je da nije nikada ni bio aktivan sajt jer ne nalazim ni jednu keširanu kopiju?
IP adresa gde je mejl server, 213.240.41.18, je deo koji je YUNET delegirao samoj firmi:
Code:
inetnum: 213.240.41.16 - 213.240.41.31
netname: PSG-BANATSKIDVOR-NET
descr: PSG Banatski dvor d.o.o.
descr: Narodnog fronta 12
descr: 21000 Novi Sad
descr: Serbia
country: RS
admin-c: BV2061-RIPE
tech-c: DB18486-RIPE
status: ASSIGNED PA
mnt-by: AS8771-MNT
created: 2013-07-24T10:25:38Z
last-modified: 2013-07-24T10:25:38Z
source: RIPE # Filtered
person: Branislava Vukic
address: PSG Banatski dvor d.o.o.
address: Narodnog fronta 12
address: 21000 Novi Sad
address: Serbia
phone: +381 21 481 2115
fax-no: +381 21 471 4361
nic-hdl: BV2061-RIPE
mnt-by: AS8771-MNT
created: 2013-07-24T10:25:38Z
last-modified: 2013-07-24T10:25:38Z
source: RIPE # Filtered
person: Dejan Belic
address: PSG Banatski dvor d.o.o.
address: Narodnog fronta 12
address: 21000 Novi Sad
address: Serbia
phone: +381 21 481 2115
fax-no: +381 21 471 4361
nic-hdl: DB18486-RIPE
mnt-by: AS8771-MNT
created: 2013-07-24T10:25:38Z
last-modified: 2013-07-24T10:25:38Z
route: 194.247.192.0/19
descr: YUnet International
origin: AS8771
mnt-by: AS8771-MNT
created: 2002-08-20T20:37:38Z
last-modified: 2013-08-07T10:26:56Z
source: RIPE
I izgleda da u ovom trenutku ide preko Telekoma:
Code:
traceroute to 213.240.41.18 (213.240.41.18), 30 hops max, 60 byte packets
...
7 telekom.sox.rs (185.1.27.38) 8.415 ms 11.010 ms 11.000 ms
8 212.200.7.69 (212.200.7.69) 10.991 ms 9.533 ms 9.119 ms
9 durum.mitsidespoint.co.yu (212.200.231.206) 11.116 ms 11.103 ms 11.122 ms
10 mail.psgbdvor.rs (213.240.41.18) 10.728 ms 10.719 ms 11.063 ms^C
(volim ove nikad ažurirane .co.yu PTR rekorde)
Mejl server je u ovom trenutku nedostupan. Sad zapravo nisam siguran da li je bio nedostupan jer kad sam išao da proverim još jednom radio je :
Takođe je zanimljivo da je do (možda) 2024-05-28 mail.psgbdvor.rs bio usmeren na drugu IP adresu, 92.42.254.113, koja je kod mediaworksit.net tj. Orion Telekom-a, mada da li se ovo zaista desilo i datum kada se desilo ne mogu da precizno odredim.
Timeline za sada:
2024-05-20 : Objavljuje se prodaja pristupa firmi - https://bezbedanbalkan.net/thread-1482.html
2024-05-28 : Ransomware grupa objavljuje da je kompromitovala firmu, istog dana se navodno menja DNS mejl servera sa IP adrese Orion-a na sopstvenu IP adresu. Dan kasnije je objavljena vest koja je linkovana u prvom komentaru ove teme, a prva spomen na X-u je datuma 2024-05-28 14:58