Moderators Dragos Posted January 13, 2021 Moderators Report Share Posted January 13, 2021 În contextul îndeplinirii rolului său de autoritate civilă în domeniul securității cibernetice conform HG 494/2011, CERT-RO desfășoară activități specifice pentru identificarea în spațiul de IP-uri din Romania de servere SolarWinds Orion expuse în internet. Urmărim confirmarea prezenței componentei /Orion/logoimagehandler.ashx, vizată de backdoor-ul Supernova. Verificările vor fi făcute de către CERT-RO de la adresa IP 89.149.8.195. Pentru întrebări și clarificări, ne puteți contacta la scan@cert.ro Sursa: https://cert.ro/citeste/scan-servere-expuse-internet-solarwinds-romania 1 Quote Link to comment Share on other sites More sharing options...
Nytro Posted January 13, 2021 Report Share Posted January 13, 2021 Da, interesant, dar nu stiu cat ajuta. Probabil altii au facut asta cu mult timp inainte, fara intentii pozitive si fara sa anunte IP-ul folosit. Dar mi se pare ca evolueaza lucrurile si la noi. Testul oricum nu e intrusiv, nici nu ar trebui sa anunte, dar probabil sa nu panicheze pe cineva. De parca ar monitoriza cineva loguri si accesul pe acel fisier... Ca dovada, am dat un grep pe mizeria mea de site - www.xssfuzzer.com root@xssfuzzer:/var/log/apache2# grep -R Orion . ./access.log.1:162.243.128.120 - - [14/Dec/2020:04:29:57 +0000] "GET /Orion/Login.aspx HTTP/1.1" 404 3537 "-" "Mozilla/5.0 zgrab/0.x" ./access.log.1:145.220.25.28 - - [28/Dec/2020:02:44:00 +0000] "GET /Orion/WebResource.axd HTTP/1.1" 404 3537 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" Dragut. 1 Quote Link to comment Share on other sites More sharing options...
aelius Posted January 14, 2021 Report Share Posted January 14, 2021 :)))) - E amuzant ca anunta adresa IP de unde fac verificari. - E si mai amuzant ca adresa IP apartine KBC Securities iar prefixul acesteia cat si conectivitatea sunt de la ines. (ca si prefixul + AS-ul anuntat pe CERT) Si intrebarile vin acum: - De ce ines si nu STS? - Care e legatura intre CERT si KBC Securities - Dan Cimpean, actualul director de la CERT a dat cu sapa prin Belgia. (exact unde e compania mama KBC Securities). Oare aia e legatura? :)))) 1 1 Quote Link to comment Share on other sites More sharing options...
andr82 Posted January 14, 2021 Report Share Posted January 14, 2021 Mi-am bagat pe servere /Orion/logoimagehandler.ashx si am instalat un firewall cu raportare pe blacklist 1 Quote Link to comment Share on other sites More sharing options...
