Fake stranky, malware, spam - tvorba honeypotu

[Jerry]

Ten zoznam zozbieraných ip by ma zaujímal

[Hexaris]

Co sa mne do zoznamu dostanu su len kvapka v mori. Je ich malo, nakolko casom to prestane a clovek zvazi ci ich bude drzat na nejakom perma liste. Ja som tu mal wordpress weby ktore boli zneuzite a to boli stranky prav. firmy, stavebniny, kozmetika proste vselico. Preto je dolezite to nejak spatne kontrolovat alebo to blokovat na nejaky cas.
Ak sa chces bavit s tym co je globalne zbierane, nech sa paci: https://raw.githubusercontent.com/ktsao ... el2.netset
https://www.spamhaus.org/drop/edrop.txt
https://sslbl.abuse.ch/blacklist/sslipblacklist.txt a to ich je viac, samozrejme cim viac tym vacsia duplicita.

Su samozrejme aj platene a daleko lepsie, ale to neni sekcia pre end usera

[Hexaris]

Neviem ci to presne spada sem, ale ved otestujte
Exploiting custom protocol handlers for cross-browser tracking in Tor, Safari, Chrome and Firefox
https://schemeflood.com
Na jednej masine to dokonca ukazalo aj presnost 95% - unique.

Co ma trochu hneva, ze kopec veci clovek nenajde u nas na sk/cz webe, ale musi hladat inde.

[HellAngel]

ked spustim ten scan, tak vysledok je vlastne co? aplikacie ktore mozu nejako komunikovat bez mojho vedomia?

[Hexaris]

Viac tu https://fingerprintjs.com/blog/external ... -flooding/

[Hexaris]

Trochu sa vratim k zaloham ako som spominal v nejakom vlakne. Skusim to v kratkosti ake su moje skusenosti.
Ak mam data niekde, pripadne ich tam zalohujem tak vznika riziko, ze o tie data pridem z dovodu virus/malware a podobne. Aj ked pristupujem napr. k zdielanej zlozke a nasledne to ukoncim, tak nez bola verzia win 8 win srv 2012 sa dali hesla z memory citat v plain (fcpalm). Potom stacilo mat zapnute browsing na sambe/cifs a bolo postarane.
Aktualne je v mode sifrovanie, mne sa osvedcilo aby zalohy boli geolokacne oddelene a data z prveho backup storge boli zalohovane externym SW. To jest jedna app nezalohuje na obe miesta. Obsah samozrejme sifrujem a nazvy suborov tiez. V zalohe je nasledne ulozena DB (sifrovana) s povod. nazvom suboru. Takto z casti obmedzim hit na file extension. Pravidelne kontrolujem zmeny v obsahu, na toto uz si tiez zacali davat pozor a sifrovanie robia pomaly po castiach aby to nespustilo alarm/event. Pouzivam aj shadowcopy, ale to len skrz rychlost. Historiu dat malware zmaze jedna radost, takze len skrz lenivost ... A pravidelne testovat moznost rozbalenia/desifrovanie zaloh a nahodne obcas vybrat nejaky file. Otestovat funkcnost notifikacii ak su na baze only error/velka zmena. Ono clovek zabudne, zmeni niekde nieco a veci prestanu fungovat a ani o tom nevie. Na domace podmienky asi mozno hlupost, ale mozno ako inspiracia ...
Ako priklad moje domacie riesenie

Kód: Vybrať všetko

nas -> nas -> nas
      \-> synology cloud
        \-> backblaze

Trochu x krat
Technicke data asi nema vyznam davat, nakolko je to silne individualne.

[wingo]

Ako je to teraz s tými malware? Spomínaš pomalé šifrovanie atď., ja som nejak bol v tom že to tak do dňa-dvoch zašifruje všetko a pýta výkupné takže nejaké dlhodobé sledovanie som neriešil. Druhá vec, preliezajú malware aj NAS a šifrujú veci aj tam ak je prístup na zápis, či tak ďaleko to našťastie ešte nie je?

[Hexaris]

Jasne ze jo, NAS nie je ziadna prekazka, vratane pask. mechanik. Nakolko uz existuje poucenie z malware tak sa to sifruje mesiac, 2,3 aby to nebolo okate a ve finale priamo user data. Potom pri obnove zistis, ze vlastne nic nemas (: ono je to cim dalej kvalitnejsie (v zlom). Zalezi kolko tych dat je.

[Hexaris]

Aj ked to sem ulne nepatri, ale je to celkom dolezite ... https://www.sk-cert.sk/threat/sk-cert-b ... index.html

https://logging.apache.org/log4j/2.x/security.html
https://www.root.cz/zpravicky/vzdalena- ... -programy/

Pouzivame solr, ale nie je to dostupne smerom von a je to v docker kontaineroch a ma to separe lan + firewall. Treba byt v strehu