Kompromitovan mojdoktor.gov.rs
#21
Hm, zašto onda piše (ima header) "X-Mailer: Zimbra Web Client" ako je relay? 

Btw, MxToolBox kaže da (sada) nije relay i pojavila se IP na Bleklistama (TRUNCATE i SORBS SPAM).

[Image: attachment.php?aid=563]

[Image: attachment.php?aid=564]


Attached Files Image(s)
       
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#22
Da dodamo i da Shodan potvrđuje da je Zimbra na ovoj IP: https://www.shodan.io/host/212.200.253.238, arhivirano: https://archive.ph/NKvZH.

[Image: attachment.php?aid=562]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#23
Poznata istorija zloupotrebe e-mail servera (212.200.253.238) i domena mojdoktor.gov.rs, pregled:

[Image: attachment.php?aid=566]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#24
nekako mi ova tema mira ne da...
verovatno je u pitanju onda neka RCE s ozbirom da je verzija zimbre starija ZmSettings.js [8.8.15_GA_3829]
sto nas mozda dovodi do
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
Reply
#25
Ne znam šta je gore, da neko direktno eksploatiše server godinama (ovo što si naveo) i da nemaju nikakav monitoring, ili da neko godinama zloupotrebljava terminale i da niko ništa nije uradio po tom pitanju.

Obavestio sam sve moguće nadležne i nenadležne institucije, i niko ne odgovara. Čak ni CERT-ovi.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#26
mozda je neka veca igra ...
Reply
#27
Poslao sam detalje ove kampanje na gomile adresa, između ostalog i na: [email protected][email protected][email protected][email protected][email protected][email protected].

Za sada je jedino odgovorio Zaštitnik građana.

[Image: attachment.php?aid=629]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#28
Dodaću link i na ovu temu gde se vide i drugi potencijalno kompromitovani zdravstveni sistemi: https://bezbedanbalkan.net/thread-470-po...ml#pid1426.

Quote:- gakfront.org (Ginekološko-akušerska klinika)
- kcnis.rs (Univerzitetski Klinički centar Niš)
- dzki.rs (Dom zdravlja Kikinda)
- vannacare.rs (Poliklinika)
- dzrakovica.rs (Dom zdravlja Rakovica)

A i ovu vest: https://heliant.rs/2023/02/21/radulovic-...-na-rts-u/, arhivirano: https://archive.ph/6cgpV.

Quote:Predstavnik kompanije „Heliant“ i predsednik Saveza za zdravstvo NALED-a, Vukašin Radulović, će 7. marta gostovati u emisiji Radio-televizije Srbije, „Naučni portal“, u kojoj će govoriti o tome zašto je digitalizacija važna za zdravstveni sistem u Srbiji, kao i najnovijim trendovima na tom polju.

Novinarka Dragana Daničić je sa predstavnikom kompanije „Heliant“ koja razvija, implementira i održava softver koji više od 250 zdravstvenih ustanova u Srbiji koristi u svom svakodnevnom radu, razgovarala o primeni modernih tehnologija u zdravstvu, o „medicini podataka u realnom vremenu“, kao i o bezbednosti tih podataka koji se čuvaju u informacionim sistemima koji se koriste u zdravstvu.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#29
Pozdrav svima,

ubacio bih se sa komentarom da nisam iznenađen što niko ne odgovara i da je veoma sramotno.

Pokušao sam da ispratim celu priču od početka, tj. prešao sam sve linkove i komentare u ovoj temi, pa bih dodao još par linkova za koje verujem da ste možda već videli ali eto neka bude u bazi.

1. Komentar na VirusTotal stranici za ovu IP adresu navodi moguć Zimbra exploit još pre 7 meseci.
2. OTX Pulse za IP adresu 212.200.253.238 spominje širenje malicioznog fajla još pre 2 godine što se poklapa sa tvojom analizom početka.
3. OTX detalji IP adrese pokazuju dodatne subdomene među kojima je i mail.mojdoktor.gov.rs koji otvara Zimbra login stranicu.
4. Izvorni kod mail login stranice ne znam da li je podrazumevani, ali mi se ne sviđa što sadrži klasičan JavaScript u samom html fajlu, gde se vidi princip rada menjanja lozinke. Nisam programer pa ne mogu tvrditi da je ovaj kod zaista ranjiv ovakav kakav je, ali šta ja znam, meni ne deluje okej.
Reply
#30
Hval na detaljima, dodaću samo još sliku:

[Image: attachment.php?aid=898]


Attached Files Image(s)
   
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)