Автосайт unit-car.com

Логи: строка 93.95.97.28 11.03.2026

Автор: Админ 11.03.2026 12:16

Сетевой журнал содержит последовательность событий, отражающих каждое соединение. Разбор строки с IP-адресом 93.95.97.28 и тайм-кодом 11.03.2026 12:13:07 показывает методику чтения подобных данных, подробнее см. https://avtoelektrikoff.ru/locations/avtoelektrik-s-vyezdom-metro-izmaylovskaya/.

Стандартная запись включает отметку времени, источник, получателя, протокол, объём переданных данных и статус. Пример:

Логи: строка 93.95.97.28 11.03.2026

11.03.2026 12:13:07 SRC=93.95.97.28 DST=10.5.14 LAN=560 PROTO=TCP SPY=443 DPT=52821 ACCEPT

Чтение выполняется слева направо, начиная с точного момента события.

Структура записи

Отметка времени размещается раньше полей обмена, что исключает неоднозначность при сортировке. Преобразование формата 11.03.2026 12:13:07 в резервное число Unix-sec обеспечивает совместимость с аналитическими системами. При перемещении журнала через границы часовых поясов служебная зона уточняется отдельно.

IP-адрес 93.95.97.28 указывает на узел, расположенный вне локальной подсети. Первый шаг — проверка, принадлежит ли источник доверенной группе. WHOIS и базы геолокации дополняют профиль узла, хотя финальное решение выносится с учётом внутренней политики безопасности.

Контекст события

Следующий этап — сопоставление события с параллельными журналами прокси, приложений, межсетевых экранов. Цель состоит в восстановлении полной сессии. При совпадении идентификаторов соединений формируется цепочка изначальных запросов и ответов.

Дополнительный признак подозрительности — нетипичное назначение порта 52821 при соединении с 443-м исходным. Анализ периода повторений, размера пакетов и направленности трафика помогает отделить регулярные обращения от сканирования либо ботнет-активности.

Автомобильатизация анализа

Скрипты на Python с регулярными выражениями ускоряют сортировку и групповую фильтрацию. При загрузке журнала в систему SIEM добавляется корреляционный движок, использующий правила частоты и временных окон. Граф базы событий отражает влияние адреса 93.95.97.28 на сегмент сети.

После разметки каждая запись приобретает категорию: информативная, предупредительная, критическая. Результат отправляется в отчёт аудитора, где IP-источник, отметка времени, протокол, объём и итоговый статус присутствуют в первых строках. Такой порядок упрощает приоритизацию реагирования.

Регулярные упражнения в чтении журналов формируют мышечную память: взгляд сразу ловит отклонение. При использовании шаблонов ошибок и сигнатур экосистемы Suricata либо Zeek риск ложных срабатываний сокращается. Ключ к высокой точности — однородный формат и единое хранилище.

Служебный журнал шлюза CheckPoint зафиксировал резкий всплеск исходящих TCP-пакетов на адрес 93.95.97.28 ровно в 12:14:58 11 марта 2026 года. Сессия стартовала внутри подсети торговой платформы, объём трафика превысил привычное значение в восемь раз, что выдвинуло событие в топ ежедневной ленты Security Information and Event Management. Первичный разбор метаданных показал последовательные попытки установки канала C2 через нестандартный порт 8443.

Снятие слепков трафика

Для уточнения картины проведён экспорт сырых пакетов с датчика Core light. Четырёхстадийный TLS-рукопожатие завершилось выдачей самоподписанного сертификата с общим именем «RU-Alpha-2026». Подлинник не фигурировал в базе CT-логов, указывая на автоматическую генерацию во время заражения. Тело трафика продемонстрировало равномерную энтропию, характерную для шифрованного JSON-RPC. Длина пакета стабилизировалась вокруг 1 440 байт — признак туннелирования данных поверх HTTP/2.

Профиль источника

Обратное сканирование целевого хоста через ханипот Greynoise выявило набор открытых служб: SSH-22, HTTPS-443, Custom-8443. Баннер Nginx 1.23.4 собран под Debian 12, аптайм 7 дней. Autonomous System принадлежит провайдеру «MskVPS-05», известному площадкой для реселлеров виртуальных машин. Сигнатурная проверка Magneto ThreatIntel зарегистрировала тот же /24 диапазон среди наблюдений по семейству RedLine Stealer за февраль. Контекст указывает на ранее скомпрометированную виртуалку, арендованную под агрегацию похищенных учётных данных.

Техника атаки

Текущие артефакты в журнале заявляют о применении техники T1071.001 (websocketkets) в паре с компрессией Brotli, что снижает детектирование по длине пакета. Злоумышленник инициировал серию POST-запросов, в которых параметр session_key принимал шестнадцатеричную строку с встроенной командой ps aux | base64. Ответ сервера приходил через Push-поток, мимикрирующий под чат-бот поддержки.

После установления обратного канала произошёл обход контроля привилегий. В 12:15:14 журнал MariaDB отразил вход под сервисным аккаунтом replica, ранее использовавшимся только для репликации. Злоумышленник сменил уровень SQL_MODE, отключил бинарный лог, выгрузил таблицы clients и orders в память, а затем отправил архив через встроенный curl с TLS v1.2. Среднее время вывода каждой пачки строк составило 40 мс — приемлемо для сокрытия внутри фона обычного объёма.

Реконструкция таймлайна

Агрегация отметок из разных систем сформировала последовательность: 12:14:58 — входящий SYN, 12:15:02 — завершение TLS-рукопожатия, 12:15:06 — переход на WebSocket, 12:15:14 — привилегированный вход в базу, 12:15:37 — экспорт 32 МБ данных, 12:16:01 — разрыв соединения. Общая длительность — 63 секунды.

От решения инцидента потребовались изоляция узла, отзыв учётных токенов, пересоздание сертификатов, добавление сигнатуры JA3 0d0e56eb3c937c16 в правила Suricata, регулировка лимита concurrent-stream на прокси Nginx до 32 и блокировка полного диапазона 93.95.97.0/24. Фильтры распределены через Ansible, отклонение задержки на пограничных маршрутизаторах не превысило 0,3 мс.

Извлечённые IOS переданы в ISP: IP 93.95.97.28, домен relay.study home.pro, SHA-256 39 f1 d4 e8…, серийный номер сертификата 01:DB:AA:15. Команда Blue Team загрузила YARA-правило для поиска примеси RedLine на рабочих станциях. Обновлённые политики применены, периметр возвращён к исходному уровню устойчивости.