Возвращение ботнетов

Nov. 27th, 2008 11:28 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Утверждается, что центры управления спаммерскими ботнетами, уничтоженные вместе с McColo, теперь переехали в Эстонию.

Видимо, спаммеры надеются, что эстонские провайдеры и правоохранители будут долго тормозить, прежде чем прикроют эту активность.

А может быть надеются, что маленькая страна, практически лишенная каких-либо экспотных ресурсов, захочет сделать спам источником национального дохода. Есть же в Европе страна, зарабатывающая деньги азартными играми - Монако.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2008-11-27 09:37 am (UTC)
ext_605364: geg MOPO4 (Default)
From: [identity profile] gegmopo4.livejournal.com
Теперь осталось такую чистку сделать доброй традицией и поднять стоимость накладных расходов спамеров выше планки окупаемости.

Date: 2008-11-27 09:58 am (UTC)
From: [identity profile] ssh3.livejournal.com
Факт, надо фонд учредить, будем собирать деньги на пямятник последнему спамеру. Лукьяненко даже макет скульптуры собственно описал уже, в зеркалах или витражах, не помню уже.

Date: 2008-11-27 10:50 am (UTC)
ext_605364: geg MOPO4 (Default)
From: [identity profile] gegmopo4.livejournal.com
Вот уж фиг. От меня они и копейки не дождуться.

Date: 2008-11-27 09:49 am (UTC)
From: [identity profile] mar1ner.livejournal.com
м-да. /. у меня грузится с потрясающей скоростью...
а что у них в Эстонии с законами о спаме и прочих почтовых гадостях? не в курсе?

Date: 2008-11-27 10:26 am (UTC)
From: [identity profile] cmike.livejournal.com
Кстати, а что мешает блокировать ip данного провайдера на более низком уровне, вплоть до клиентской машины (ipchain-ами)?

Date: 2008-11-27 10:30 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Миша - ЦЕНТР УПРАВЛЕНИЯ БОТНЕТОМ. Тебе с того IP-адреса никогда ничего не придет, ежели ты трояна не подхватишь (что, учитывая твою операционную систему маловероятно. Хотя... Если там до сих пор ipchains...)
Спам к тебе будет приходить с миллиона более других адресов, координируемых с этого.

Date: 2008-11-27 11:37 am (UTC)
From: [identity profile] lel.myopenid.com (from livejournal.com)
Вот-вот.

Вот типичная выборка из лог-файла:
Nov 24 22:26:29 s15221545 sshd[10161]: Invalid user bree from 200.183.202.130
Nov 24 22:27:58 s15221545 sshd[11515]: Invalid user bree from 203.70.179.113
Nov 24 22:29:22 s15221545 sshd[11833]: Invalid user bree from 212.91.188.165
Nov 24 22:30:48 s15221545 sshd[13471]: Invalid user breena from 211.189.213.48
Nov 24 22:32:20 s15221545 sshd[13776]: Invalid user breena from 85.207.120.188
Nov 24 22:35:13 s15221545 sshd[15438]: Invalid user breindel from 58.196.4.2
Nov 24 22:36:33 s15221545 sshd[15695]: Invalid user breindel from 196.40.71.237
Nov 24 22:38:01 s15221545 sshd[15950]: Invalid user breindel from 64.27.16.245

И такая дребедень - каждый день. Точнее - каждые 2 минуты.
При этом с почти не повторяющихся адресов, но явно координировано с общего центра.

Кстати - никто не знает, может куда пожаловаться стоит?

Хм.

Date: 2008-11-27 01:26 pm (UTC)
From: [identity profile] cmike.livejournal.com
Довольно занятно, что (почти?) все из этих ip-адресов относятся к linux-серверам.

Кстати, есть некие шансы на то, что бот-цепочка короткая, из двух звеньев. Можно попробовать найти среди этих сайтов российский и попробовать связаться с админами.

Re: Хм.

Date: 2008-11-27 02:48 pm (UTC)
From: [identity profile] k001.livejournal.com
> Довольно занятно, что (почти?) все из этих ip-адресов относятся к linux-серверам.

Это случайно не потому, что вы за NATом, а на машинке, которая его делает — Linux?

Re: Хм.

Date: 2008-11-27 03:47 pm (UTC)
From: [identity profile] cmike.livejournal.com
Нет, вряд ли. Тут много машин, linux-специфичная атака (ssh-протокол не очень характерен для винды). К тому же nat-шлюзы (what is the name for this?) обычно достаточно защищены, на них трояна так просто не поставишь.

oops

Date: 2008-11-27 03:53 pm (UTC)
From: [identity profile] cmike.livejournal.com
Это было объяснение, почему "они за натом" на правду не похоже. А уж как можно поверить в "мы за натом", я не понимаю вовсе.

Re: Хм.

Date: 2008-11-27 04:41 pm (UTC)
From: [identity profile] lel.myopenid.com (from livejournal.com)
Совсем не понял кто 'вы' за NAT'ом?
Атакуемая машина точно не за натом.
Вы думаете, что IP аттакующих - это по большей части linux firewall'ы, за которым сидят взломанные винды?

В качестве пищи для размышлений - полный список: http://s15221545.onlinehome-server.info/

Любые идеи что делать с этим списком приветствуются.
(Идея блокировать их через iptables уже реализована).

Re: Хм.

Date: 2008-11-27 04:49 pm (UTC)
From: [identity profile] k001.livejournal.com
Да нет, я думал, что тот, кто написал, что все эти машины — линукс-сервера, определил это, используя nmap -O. А он, если ты сидишь за NATом, определяет OS на нат-роутере, а не на том хосте. Короче, я хотел сказать, что результатам nmap -O нельзя доверять, если ты запускаешь его на хосте, который NATится.

Касательно «что с этим делать» — я просто перевесил sshd на другой порт на всех своих доступных из Инета машинках. Как говорится, дёшево и сердито.

А что делать с этими хостами, которые в ботнете? Кроме «найти их админов и написать им письмо» ничего в голову не приходит…

Re: Хм.

Date: 2008-11-27 05:19 pm (UTC)
From: [identity profile] cmike.livejournal.com
Ещё рекомендуют sshd_sentry (http://linuxmafia.com/pub/linux/security/sshd_sentry/sshd_sentry). Он блокирует ip, с которых по было по пять неудачных попыток залогиниться по ssh. Disclaimer: я с этим скриптом не разбирался.

И кстати, по сети бродит несколько списков, с которых идёт атака.

И недобрый совет: использовать аутентификацию по ключу.

Re: Хм.

Date: 2008-11-27 05:34 pm (UTC)
From: [identity profile] lel.myopenid.com (from livejournal.com)
Собственно того, что кто-то проломает ssh я вовсе не боюсь.
И аутентификация - только по ключу. И вообще ни у одного пользователя нет пароля.
И ни одного имени пользователя пока не подобрали.
И блокируется после 5 попыток (я изучил пару подобных скриптов и написал свой).

Но ведь они не только в ssh долбятся. А в остальных подсистемах я не так уверен. И ведь наверняка спам идёт с тех же адресов.

Re: Хм.

Date: 2008-11-28 09:42 am (UTC)
From: [identity profile] mtve.livejournal.com
+1, http://213.73.82.67/

Насчёт русских:

Date: 2008-11-27 02:56 pm (UTC)
From: [identity profile] lel.myopenid.com (from livejournal.com)
grep 'sshd.*Invalid user' /var/log/messages | cut -d\ -f 10 | sort -u | xargs -n 1 host | grep '\.ru.$'

216.133.124.193.in-addr.arpa domain name pointer cbs3uao16.ru.
188.109.254.80.in-addr.arpa domain name pointer mail.remzestar.ru.

Да, хотя центр -- это уязвимость

Date: 2008-11-27 12:59 pm (UTC)
From: [identity profile] cmike.livejournal.com
Ну тады да. Хотя вот другая идея – Подселение бота – статья менее спорная и легко доказываемая (не нужно доказывать массовость рассылки). Можно и на поток поставить: снял логи – послал письмо в прокуратуру.

Хотя... Если там до сих пор ipchains...)

Утром был netfilter. ;) А вообще я ipmasq использую, а он сам определяет, используется ли netfilter, ipchains или ipfwadm.

Date: 2008-11-27 11:22 am (UTC)
From: [identity profile] besm6.livejournal.com
Эстония - маленькая страна, ее если целиком экскоммуницировать - никто и не заметит...

Date: 2008-11-27 12:39 pm (UTC)
From: [identity profile] amarao-san.livejournal.com
Блокировать Эстонию. Всю. На пограничных коммутаторах. Как в войне с тирванами. Один заблокирует - у сотни пользователей залагает. Второй заблокирует - миллион возмутится.

Date: 2008-11-27 08:14 pm (UTC)
From: [identity profile] mcjabberwock.livejournal.com
Всю слабО. Можете поверить на слово.

Date: 2008-11-27 08:15 pm (UTC)
From: [identity profile] mcjabberwock.livejournal.com
А кто-нибудь в курсе, где именно в Эстонии? Могу поговорить с ребятами оттуда.

Date: 2008-11-27 08:26 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
А ребята оттуда сами слешдот и компьюеруорлд не читают?

Date: 2008-11-28 05:18 pm (UTC)
From: [identity profile] mcjabberwock.livejournal.com
никогда этим не интересовался.
ну одно из двух: либо читают, либо нет.

Эстонцы отключили серверы крупнейшего ботнета

Date: 2008-11-28 02:34 pm (UTC)
From: [identity profile] ylevdik.livejournal.com
http://www.lenta.ru/news/2008/11/28/srizbi/
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

July 2025

S M T W T F S
  12345
6789 1011 12
13141516 17 1819
20212223242526
2728293031  

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 20th, 2025 05:24 am
Powered by Dreamwidth Studios