Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками


Страницы: (6) 1 2 [3] 4 5 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Max500

20.06.2019 - 00:22

Статус: Offline

Весельчак

Регистрация: 4.04.18
Сообщений: 133

Цитата (bimb0 @ 20.06.2019 - 00:18)

Цитата (palelle @ 20.06.2019 - 00:15)

Цитата (Max500 @ 20.06.2019 - 00:13)

Если сканировать роутер, то нужно его ИП сканировать а не 127.0.0.1. Всеравно роутер не пропустит внешний запрос на эти порты, ели конечно они не проброшены, а если проброшены то человек наверно знает что и зачем. А чтобы расшифровать HTTPS нужно вроде менять сертификаты в браузере, вря тли это так просто получится.

Ну а как ты из браузера узнаешь подсеть, чтобы постучаться на роутер? Только получив доступ к какому-то сетевому ресурсу. А для этого надо до него добраться. А если добрался, то вирус от лица пользователя и получает необходимый доступ.

Открой сайт 2ip или internet.yandex - узнаешь, а вообще на пхп $_SERVER['REMOTE_ADDR']

Даже если ты поимеешь пк пользователя - его роутер это отдельное устройство со своей авторизацией, короче - опять мимо.

Вот и я о чем, смысл пытаться сканировать Localhost, если у провайдера есть список всех ИП всех клиентов, можно хоть обсканирваться, и как раз найти реальные дыры смотрящие прямо в интернет.

[^]

palelle

20.06.2019 - 00:23

Статус: Offline

Ярила

Регистрация: 10.12.17
Сообщений: 1482

Цитата (bimb0 @ 20.06.2019 - 00:18)

Открой сайт 2ip или internet.yandex - узнаешь, а вообще на пхп $_SERVER['REMOTE_ADDR']

Я говорю про адрес в локальной подсети (ноутбук -> роутер), а не внешний ip. Не путай.

Может быть они тем самым могут просканировать еще и количество подключенных устройств. Сейчас провайдеры дурью маятся ограничивая права пользователей и возможно, что более двух устройств платно.

Предполагать можно бесконечно. Нужно тестировать.

Это сообщение отредактировал palelle - 20.06.2019 - 00:24

[^]

~~rgs350~~	20.06.2019 - 00:26 [ показать ] -1
Статус: Offline Юморист Регистрация: 19.03.19 Сообщений: 459	Херня. Он там от страха обосрался или нет? Сие есть абсолютно легитимное действие (странное, но легитимное). Вы тоже можете сляпять сайт который будет долбиться на случайные адреса. В общем, белка-истеричка детектед. Это сообщение отредактировал rgs350 - 20.06.2019 - 00:34
	[^]

bimb0

20.06.2019 - 00:27

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (palelle @ 20.06.2019 - 00:23)

Я говорю про адрес в локальной подсети (ноутбук -> роутер), а не внешний ip. Не путай.

А нахуя адрес в локалке нужен, если можно долбиться из вне сразу на роутер?

[^]

palelle

20.06.2019 - 00:29

Статус: Offline

Ярила

Регистрация: 10.12.17
Сообщений: 1482

Цитата (bimb0 @ 20.06.2019 - 00:27)

А нахуя адрес в локалке нужен, если можно долбиться из вне сразу на роутер?

Ну перечитай, что я выше написал:
- определяешь адрес в подсети (например, 192.168.1.10)
- начинаешь долбить по порядку по всем айпишникам (192.168.1.2, ...3, ...4, ...5) на все известные популярные порты
- что-то да ответит
- выставляешь счет на 10 подключенных устройств
- профит

Чем не вариант.

Это сообщение отредактировал palelle - 20.06.2019 - 00:32

[^]

~~Greyshadow~~

20.06.2019 - 00:29

Статус: Offline

Циничный мизантроп

Регистрация: 4.02.18
Сообщений: 5733

Цитата (Gyriev @ 19.06.2019 - 23:02)

Цитата (mrPitkin @ 20.06.2019 - 00:00)

Модем, цивилизация, сапёр.. 21 век на дворе.

Подскажите, что за игра "21 век на дворе"...

Реалистичный хоррор с элементами выживания.:)

[^]

bimb0

20.06.2019 - 00:35

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (palelle @ 20.06.2019 - 00:29)

Цитата (bimb0 @ 20.06.2019 - 00:27)

А нахуя адрес в локалке нужен, если можно долбиться из вне сразу на роутер?

Бля, для того, чтобы начать сканить локалку тебе нужно зацепиться на устройстве в этой локалке или получить доступ к маршрутизатору этой локалки. 1 - очень сложно, но можно, 2 - даже школьник справится

Ну не так это работает, не так...

[^]

Max500

20.06.2019 - 00:35

Статус: Offline

Весельчак

Регистрация: 4.04.18
Сообщений: 133

Цитата (palelle @ 20.06.2019 - 00:29)

Цитата (bimb0 @ 20.06.2019 - 00:27)

А нахуя адрес в локалке нужен, если можно долбиться из вне сразу на роутер?

Ну перечитай, что я выше написал:
- определяешь адрес в подсети (например, 192.168.1.1)
- начинаешь долбить по порядку по всем айпишникам (192.168.1.2, ...3, ...4, ...5) на все известные популярные порты
- что-то да ответит
- выставляешь счет на 10 подключенных устройств
- профит

Чем не вариант.

У меня в локалке телик, принтер и NAS, но они в интернет не лезут, у них даже шлюз не прописан. Придется заплатить

. Это как раньше МГТС за факс брали денег больше и за модем, типо линия перегружена.

Это сообщение отредактировал Max500 - 20.06.2019 - 00:37

[^]

palelle

20.06.2019 - 00:39

Статус: Offline

Ярила

Регистрация: 10.12.17
Сообщений: 1482

Цитата (bimb0 @ 20.06.2019 - 00:35)

Ну не так это работает, не так...

Неважно как работает. Важно, что скорее всего это вредоносный код с целями подобной этой: осуществить мошеннические действия для нарушения недавно введенных правил, "опубликованных на официальном сайте" в соответствии с незыблемым пунктом договора "оператор вправе изменять тарифные планы в одностороннем порядке".

[^]

bimb0

20.06.2019 - 00:44

Статус: Offline

МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 6080

Цитата (palelle @ 20.06.2019 - 00:39)

Вот ты как вообще связал код (почему-то вредоносный) и мошеннические действия + изменение тарифов?

Как только ты создал сессию в лк от твоего имени и так можно делать все, что душе угодно, нахуя пытаться навернуть подобие csrf?

[^]

~~gold19~~	20.06.2019 - 00:51 [ показать ] 0
Статус: Offline Ярила Регистрация: 17.02.14 Сообщений: 2978	Пфф,очнулись уже года два как провы такие макросы внедряют,тот же нетбайнет та же фигня посмотрите в подписанных приложениях.Причем роутер мой с опен врт, не помогает .
	[^]

KVS	20.06.2019 - 00:53 [ показать ] -1
Статус: Offline Балагур Регистрация: 19.04.13 Сообщений: 1566	Уважаемые. На прежней квартире был РТК, так как там телефон стационарный уже стоял. Подключили оптоволокно. Норм. Действительно все оборудование забрали потом, когда квартиру продал. Сейчас на ТТК. Выбирайте рублем.
	[^]

Vlrix	20.06.2019 - 01:17 [ показать ] -1
Статус: Offline Синее мнение Регистрация: 30.01.19 Сообщений: 222	подрачить терь в тихую не прокатит))
	[^]

ikimanets

20.06.2019 - 03:03

Статус: Online

Ярила

Регистрация: 31.03.15
Сообщений: 1144

Цитата (Ambente @ 20.06.2019 - 03:53)

Готовятся к Рунету.... скаты пля

Не говори

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками

[^]

20.06.2019 - 03:14

Статус: Offline

Ярила

Регистрация: 12.12.05
Сообщений: 1515

Цитата

кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера

к хуедоступу хуестола
харе хуету то писать.
5900 - vnc протокол. да, если всё удачно, увидишь то, что отдает vnc сервер, запущенный на твоем компе.
удаленный рабочий стол, который microsoft rdp - 3389 порт.

но какого хера сканировать 127.0.0.1, адрес, не доступный из инета? какой в этом толк?

[^]

rexiks

20.06.2019 - 03:36

Статус: Offline

Приколист

Регистрация: 3.01.14
Сообщений: 242

Цитата (Jus @ 20.06.2019 - 06:50)

Какие порты сканировал личный кабинет Ростелекома

* 5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB;
* 6900 — BitTorrent — пиринговый протокол для обмена файлами;
* 5650 — обычно использует троян Pizza;
* 5931 — неизвестно;
* 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer;
* 5939 — неизвестно;
* 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft;
* 8080 — HTTP — протокол передачи произвольных данных;
* 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером;
* 443 — HTTPS;
* 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки;
* 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам;
* 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.

Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи. Он нашёл несколько возможных объяснения, зачем Ростелеком сканирует эти порты.

* Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян;
* Это осознанное решение Ростелекома и попытка причинить вред пользователю;
* Это осознанное решение Ростелекома и попытка собрать данные о пользователе.

После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.

Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.

TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

. Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя.
пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.

Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.

via

5931 ammy admin

[^]

~~НулиКариф~~

20.06.2019 - 05:58

Статус: Offline

Ярила

Регистрация: 2.08.15
Сообщений: 1509

Цитата (Yanssen @ 19.06.2019 - 22:57)

У меня сегодня с 16 часов вдруг закосячил тырнет. Ростелеком, ага.

То слабенько работает - открывается яндекс и больше никуда, то совсем ничего.
Ну, техподдержка, ну танцы вокруг модема. Результат нулевой. Погонял в цивилизацию, в сапёра. Думал уже спать, выключил комп - и тут модем как праздничная ёлка - засветился всеми лампочками. Мол, всё. Интернет зашибенный - ура.

Включился обратно - и правда всё зашибись.
=
Значит меня уже проверили и всё хорошо.) Я не террорист какой и мне интернет разрешили.)

Или во все "углы" компа жучков навесили.

[^]

PeterB	20.06.2019 - 07:14 [ показать ] 1
Статус: Offline Хохмач Регистрация: 11.02.15 Сообщений: 609	Может стоит и заплатку поставить. Рекомендации клиентов для CVE-2019-0708 Уязвимость выполнения удаленного кода служб удаленных рабочих столов: 14 мая 2019 г. https://support.microsoft.com/ru-kz/help/45...r-cve-2019-0708
	[^]

Kukrinikz

20.06.2019 - 08:00

Статус: Offline

Сделан в СССР

Регистрация: 1.02.10
Сообщений: 2135

А чо там Конституция говорит о частной жизни и ее неприкосновенности?

Скрытый текст

вопрос в пустоту

[^]

Nartino	20.06.2019 - 08:29 [ показать ] 0
Статус: Offline Приколист Регистрация: 18.09.18 Сообщений: 250	Опять пытаются впарить антивирус Размещено через приложение ЯПлакалъ
	[^]

Toraak	20.06.2019 - 08:46 [ показать ] 0
Статус: Offline Ярила Регистрация: 22.05.14 Сообщений: 1173	ростелеком - Сраная Помойка.
	[^]

4ugunkin	20.06.2019 - 08:53 [ показать ] 3
Статус: Offline Ярила Регистрация: 5.10.12 Сообщений: 4860	коммент с хабра Я вроде русским по-белому написал — скорее всего, это сбор информации со стороны Ростелека (а также упомянутых Вами контор) для создания идентификаторов пользователей в рамках концепции Digital Identity. Этим занимаются практически все крупные конторы, имеющие веб-сервисы/сайты на вооружении. Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например. Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам.
	[^]

DimaS055

20.06.2019 - 08:54

Статус: Offline

Весельчак

Регистрация: 22.05.15
Сообщений: 114

Цитата (muhalot @ 19.06.2019 - 22:58)

Так, йа ни понил. Эта харашо или плоха?

Это отвратительно!

Качаем ЯП для Android!

[^]

~~rm2811~~	20.06.2019 - 08:59 [ показать ] 0
Статус: Offline Ярила Регистрация: 12.06.09 Сообщений: 22782	Родина следит за тобой.
	[^]

sobor

20.06.2019 - 09:04

Статус: Offline

Ярила

Регистрация: 23.05.10
Сообщений: 8321

Цитата (Max500 @ 19.06.2019 - 23:42)

Какая - то непонятная хрень, какой смысл сканировать порты Localhost, ну есть предположим SSH или HTTP server локальный, какой толк от этого провайдеру. Они в любом случае видят весь трафик идущий от компа через их оборудование.
А если глянуть логи любого сервера смотрящего в интернет, то там будут постоянные попытки сканирования портов. И еще, скрипты на сайтах надо отключать, вон от Явы давно уже отказались по умолчанию.

Какой смысл удалять гланды через рот, если можно через нос? А есть суперэксперты, которые могут и через жопу.

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 44619
0 Пользователей: