🔥 Я натрапив на кейс, від якого трохи холоне спина: частину легітимних хмарних серверів AWS, Google Cloud і Azure тихцем переобладнали в мережу SMTP-проксі. Тобто твій звичайний Linux-сервер раптом стає ланкою у ланцюгу для спаму чи фішингу — і ти про це навіть не здогадуєшся.Хлопці з Hunt.io виявили понад 230 таких вузлів, пов’язаних з угрупованням PCPJack. Зломщики юзали зв’язку Sliver + Chisel, щоб піднімати SOCKS5-проксі й тестувати, чи може сервер відправляти пошту назовні (smtp.gmail.com:587 як “лакмусовий папірець”). Якщо у вас є Linux у хмарі, я б точно перевірив: 💡 чи немає файлу /var/tmp/.xs, дивних процесів Chisel і підозрілих SOCKS5-портів 10000–14999, а також вихідного трафіку на 587 й підключень до 213.136.80.73 / 38.242.204.245. Мені здається, це гарний привід переглянути політики вихідної пошти й не тримати сервер “відкритим у всесвіт”.🤔 Як ви обмежуєте вихідний SMTP у своїх хмарах: усе через окремий поштовий шлюз, чи досі “якось працює — не чіпаємо”?🔗 Докладніше:https://cybersecurefox.com/uk/pcpjack-230-khmarnykh-serveriv-smtp-proxy#кібербезпека #хмарнісервери #linux #devops #infosec #spamCyberSecureFox