Как я собирал статистику по брутфорсу наших серверов и лечил их

Мы разместили 5 ханипотов, в дальнейшем просто «серверов», чтобы собрать статистику по брутфорсу RDP в наших сетях. Один сервер находился в Лондоне, другой в Цюрихе, один в защищенной сети в M9, два других в дата-центре Rucloud в защищенной и незащищенной сетях. IP адреса каждого из серверов...

Все блоги / Про интернет

Решаем, нужен ли вам личный почтовый сервер

Большинство из нас бесит то, что владелец сервера читает нашу почту. Конечно, делают это алгоритмы, а не живые люди, но от этого не легче: мутная контекстная реклама, собранная из обрывков фраз, недостаточная безопасность, да и просто осознание того, что твою переписку может просматривать условный...

Все блоги / Про интернет

Freeradius + Google Autheticator + LDAP + Fortigate

Как быть, если двухфакторной аутентификации и хочется, и колется, а денег на аппаратные токены нет и вообще предлагают держаться и хорошего настроения. Данное решение не является чем-то супероригинальным, скорее — микс из разных решений, найденных на просторах интернета. Читать дальше →...

Все блоги / Про интернет

[Перевод] ELK, SIEM из OpenSource, Open Distro: Case management

В сегодняшней статье мы поставим последний кусочек пазла на его место. Мы собираемся представить вам часть нашего SOC, касающуюся управления делами. Мы использовали две технологии с открытым исходным кодом — TheHive и Cortex. TheHive будет использоваться в качестве платформы управления оповещениями...

Все блоги / Про интернет

[Перевод] Как ограничить частоту запросов в HAProxy: пошаговая инструкция

Автор статьи объясняет, как реализовать в HAProxy ограничение скорости обработки запросов (rate limiting) с определенных IP-адресов. Команда Mail.ru Cloud Solutions перевела его статью — надеемся, что с ней вам не придется тратить на это столько времени и усилий, сколько пришлось потратить ему....

Все блоги / Про интернет

Пока все дома: как защитить инфраструктуру IT-компании на удаленке

Карантин заставил IT-отрасль перейти на удаленку. Оказалось, что инфраструктура многих компаний к такому не готова — удаленный доступ дается на скорую руку, а VPN-сервера конфигурируют за пару дней. А еще дистанционная работа обостряет человеческий фактор, из-за которого продуманная безопасность...

Все блоги / Про интернет

Как наладить безопасный доступ к серверам в режиме удалённой работы

Тут на Хабре уже десятки статей, повествующих, как люди переживали переход на удалёнку, как переживали первые дни удалёнки, потом – как прошла первая неделя, и всё такое прочее. Иногда между описанием эмоций проскакивали какие-то дельные советы. Мы как люди с 12-летним опытом удалённого...

Все блоги / Про интернет

Более безопасное подключение к SSH с помощью DNSSEC

Все, кто использует SSH знают, что при первом подключении к серверу, появляется сообщение с подтверждением отпечатка ключа. Дальше ключ сохраняется на стороне клиента, и больше это сообщение не показывается до момента пока сохраненный ключ не изменится. Но в чем практический смысл этой процедуры? В...

Все блоги / Про интернет

Двухфакторная аутентификация в OpenVPN с Telegram ботом

В статье описывается настройка сервера OpenVPN для включения двухфакторной аутентификации с Telegram ботом, который будет присылать запрос с подтверждением при подключении. OpenVPN — широко известный, бесплатный VPN сервер с открытым исходным кодом, который повсеместно используется для организации...

Все блоги / Про интернет

Компания по защите от DDoS сама запускала DDoS-атаки, признал её основатель

К 2016 году vDos стал самым популярным в мире сервисом для заказа DDoS-атак Если верить теориям заговора, то антивирусные компании сами распространяют вирусы, а сервисы защиты от DDoS-атак сами инициируют эти атаки. Конечно, это выдумки… или нет? 16 января 2020 года Федеральный окружной суд...

Все блоги / Про интернет

[Перевод] Обнаружена новая вспышка H2Miner червей, которые эксплуатируют Redis RCE

День назад один из серверов моего проекта был атакован подобным червем. В поисках ответа на вопрос «что же это было такое?» я нашел замечательную статью команды Alibaba Cloud Security. Поскольку я не нашел этот статьи на хабре, то решил перевести ее специально для вас...

Все блоги / Про интернет

Делаем Windows Server безопаснее

В этой статье автор хотел бы дать пару хороших советов по администрированию серверов на Windows, которые по какой-то причине не нашел в интернете. Следуя этим принципам вы сильно обезопасите свои серверы под управлением Windows как в локальных средах, так и в публичных. Читать дальше →...

Все блоги / Про интернет

DDoS-атака через социальную инженерию

TL;DR Атакующий подменяет source ip на адрес вашего сервера и триггерит автоматические абузы. В результате клиента банят на хостинге за вредоносную активность, которой не было. Комментарий от vdsina.ru: Эта статья написана нашим клиентом, который перешёл к нам от крупного хостера после DDoS-атаки и...

Все блоги / Про интернет

[Перевод] Проблема конфиденциальности данных в Active Directory

Я занимался тестированиями на проникновение с использованием PowerView и использовал его для извлечения информации о пользователях из Active Directory (далее – AD). В то время я делал акцент на сборе информации о членстве в группах безопасности, а затем использовал эту информацию, чтобы...

Все блоги / Про интернет

Что происходит при соединениях внутри и вне VPN-туннеля

Из писем в службу техподдержки Tucha рождаются настоящие статьи. Так, недавно к нам обратился клиент с запросом разъяснить, что происходит при соединениях внутри VPN-туннеля между офисом пользователя и средой в облаке, а также при соединениях вне VPN-туннеля. Поэтому весь текст, приведенный ниже, —...

Все блоги / Про интернет

Проблемы в системе журналирования событий безопасности ОС Windows

В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из...

Все блоги / Про интернет

Что останется в серверной?

Многие организация используют облачные сервисы или перемещают оборудование в ЦОД. Что имеет смысл оставить в серверной и как лучше организовать защиту периметра офисной сети в такой ситуации? Читать дальше →...

Все блоги / Про интернет

[Перевод] Обнаружение брутфорс-атак через NTLM с помощью Varonis

Сегодня мы опишем реальный рабочий процесс, который команда реагирования на инциденты (Incident Response Team) Varonis использует для расследования атак методом подбора паролей (brute force attack, далее – брутфорс-атака) через NTLM. Данные атаки являются довольно распространенными, и наша команда...

Все блоги / Про интернет

Назад