vitus_wagner (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
vitus_wagner) wrote2008-11-27 11:28 am
vitus_wagner) wrote2008-11-27 11:28 am
Entry tags:
Возвращение ботнетов
Утверждается, что центры управления спаммерскими ботнетами, уничтоженные вместе с McColo, теперь переехали в Эстонию.
Видимо, спаммеры надеются, что эстонские провайдеры и правоохранители будут долго тормозить, прежде чем прикроют эту активность.
А может быть надеются, что маленькая страна, практически лишенная каких-либо экспотных ресурсов, захочет сделать спам источником национального дохода. Есть же в Европе страна, зарабатывающая деньги азартными играми - Монако.
Видимо, спаммеры надеются, что эстонские провайдеры и правоохранители будут долго тормозить, прежде чем прикроют эту активность.
А может быть надеются, что маленькая страна, практически лишенная каких-либо экспотных ресурсов, захочет сделать спам источником национального дохода. Есть же в Европе страна, зарабатывающая деньги азартными играми - Монако.
no subject
no subject
no subject
no subject
а что у них в Эстонии с законами о спаме и прочих почтовых гадостях? не в курсе?
no subject
no subject
Спам к тебе будет приходить с миллиона более других адресов, координируемых с этого.
no subject
Вот типичная выборка из лог-файла:
Nov 24 22:26:29 s15221545 sshd[10161]: Invalid user bree from 200.183.202.130
Nov 24 22:27:58 s15221545 sshd[11515]: Invalid user bree from 203.70.179.113
Nov 24 22:29:22 s15221545 sshd[11833]: Invalid user bree from 212.91.188.165
Nov 24 22:30:48 s15221545 sshd[13471]: Invalid user breena from 211.189.213.48
Nov 24 22:32:20 s15221545 sshd[13776]: Invalid user breena from 85.207.120.188
Nov 24 22:35:13 s15221545 sshd[15438]: Invalid user breindel from 58.196.4.2
Nov 24 22:36:33 s15221545 sshd[15695]: Invalid user breindel from 196.40.71.237
Nov 24 22:38:01 s15221545 sshd[15950]: Invalid user breindel from 64.27.16.245
И такая дребедень - каждый день. Точнее - каждые 2 минуты.
При этом с почти не повторяющихся адресов, но явно координировано с общего центра.
Кстати - никто не знает, может куда пожаловаться стоит?
Хм.
Кстати, есть некие шансы на то, что бот-цепочка короткая, из двух звеньев. Можно попробовать найти среди этих сайтов российский и попробовать связаться с админами.
Re: Хм.
Это случайно не потому, что вы за NATом, а на машинке, которая его делает — Linux?
Re: Хм.
oops
Re: Хм.
Атакуемая машина точно не за натом.
Вы думаете, что IP аттакующих - это по большей части linux firewall'ы, за которым сидят взломанные винды?
В качестве пищи для размышлений - полный список: http://s15221545.onlinehome-server.info/
Любые идеи что делать с этим списком приветствуются.
(Идея блокировать их через iptables уже реализована).
Re: Хм.
Касательно «что с этим делать» — я просто перевесил sshd на другой порт на всех своих доступных из Инета машинках. Как говорится, дёшево и сердито.
А что делать с этими хостами, которые в ботнете? Кроме «найти их админов и написать им письмо» ничего в голову не приходит…
Re: Хм.
И кстати, по сети бродит несколько списков, с которых идёт атака.
И недобрый совет: использовать аутентификацию по ключу.
Re: Хм.
И аутентификация - только по ключу. И вообще ни у одного пользователя нет пароля.
И ни одного имени пользователя пока не подобрали.
И блокируется после 5 попыток (я изучил пару подобных скриптов и написал свой).
Но ведь они не только в ssh долбятся. А в остальных подсистемах я не так уверен. И ведь наверняка спам идёт с тех же адресов.
Re: Хм.
Насчёт русских:
216.133.124.193.in-addr.arpa domain name pointer cbs3uao16.ru.
188.109.254.80.in-addr.arpa domain name pointer mail.remzestar.ru.
Да, хотя центр -- это уязвимость
Хотя... Если там до сих пор ipchains...)
Утром был netfilter. ;) А вообще я ipmasq использую, а он сам определяет, используется ли netfilter, ipchains или ipfwadm.
no subject
no subject
no subject
no subject
no subject
no subject
ну одно из двух: либо читают, либо нет.
Эстонцы отключили серверы крупнейшего ботнета