Возвращение ботнетов

[vitus_wagner]

Утверждается, что центры управления спаммерскими ботнетами, уничтоженные вместе с McColo, теперь переехали в Эстонию.

Видимо, спаммеры надеются, что эстонские провайдеры и правоохранители будут долго тормозить, прежде чем прикроют эту активность.

А может быть надеются, что маленькая страна, практически лишенная каких-либо экспотных ресурсов, захочет сделать спам источником национального дохода. Есть же в Европе страна, зарабатывающая деньги азартными играми - Монако.

Comments

Хм.

[cmike.livejournal.com]

Довольно занятно, что (почти?) все из этих ip-адресов относятся к linux-серверам.

Кстати, есть некие шансы на то, что бот-цепочка короткая, из двух звеньев. Можно попробовать найти среди этих сайтов российский и попробовать связаться с админами.

Re: Хм.

[k001.livejournal.com]

> Довольно занятно, что (почти?) все из этих ip-адресов относятся к linux-серверам.

Это случайно не потому, что вы за NATом, а на машинке, которая его делает — Linux?

Re: Хм.

[cmike.livejournal.com]

Нет, вряд ли. Тут много машин, linux-специфичная атака (ssh-протокол не очень характерен для винды). К тому же nat-шлюзы (what is the name for this?) обычно достаточно защищены, на них трояна так просто не поставишь.

oops

[cmike.livejournal.com]

Это было объяснение, почему "они за натом" на правду не похоже. А уж как можно поверить в "мы за натом", я не понимаю вовсе.

Re: Хм.

[lel.myopenid.com (from livejournal.com)]

Совсем не понял кто 'вы' за NAT'ом?
Атакуемая машина точно не за натом.
Вы думаете, что IP аттакующих - это по большей части linux firewall'ы, за которым сидят взломанные винды?

В качестве пищи для размышлений - полный список: http://s15221545.onlinehome-server.info/

Любые идеи что делать с этим списком приветствуются.
(Идея блокировать их через iptables уже реализована).

Re: Хм.

[k001.livejournal.com]

Да нет, я думал, что тот, кто написал, что все эти машины — линукс-сервера, определил это, используя nmap -O. А он, если ты сидишь за NATом, определяет OS на нат-роутере, а не на том хосте. Короче, я хотел сказать, что результатам nmap -O нельзя доверять, если ты запускаешь его на хосте, который NATится.

Касательно «что с этим делать» — я просто перевесил sshd на другой порт на всех своих доступных из Инета машинках. Как говорится, дёшево и сердито.

А что делать с этими хостами, которые в ботнете? Кроме «найти их админов и написать им письмо» ничего в голову не приходит…

Re: Хм.

[cmike.livejournal.com]

Ещё рекомендуют sshd_sentry (http://linuxmafia.com/pub/linux/security/sshd_sentry/sshd_sentry). Он блокирует ip, с которых по было по пять неудачных попыток залогиниться по ssh. Disclaimer: я с этим скриптом не разбирался.

И кстати, по сети бродит несколько списков, с которых идёт атака.

И недобрый совет: использовать аутентификацию по ключу.

Re: Хм.

[lel.myopenid.com (from livejournal.com)]

Собственно того, что кто-то проломает ssh я вовсе не боюсь.
И аутентификация - только по ключу. И вообще ни у одного пользователя нет пароля.
И ни одного имени пользователя пока не подобрали.
И блокируется после 5 попыток (я изучил пару подобных скриптов и написал свой).

Но ведь они не только в ssh долбятся. А в остальных подсистемах я не так уверен. И ведь наверняка спам идёт с тех же адресов.

Re: Хм.

[mtve.livejournal.com]

+1, http://213.73.82.67/

Насчёт русских:

[lel.myopenid.com (from livejournal.com)]

grep 'sshd.*Invalid user' /var/log/messages | cut -d\ -f 10 | sort -u | xargs -n 1 host | grep '\.ru.$'

216.133.124.193.in-addr.arpa domain name pointer cbs3uao16.ru.
188.109.254.80.in-addr.arpa domain name pointer mail.remzestar.ru.