[Robot_NagNews]

Материал: В минувшую среду, 18 апреля, Nag.ru со ссылкой на представителя одного из региональных интернет-провайдеров, сообщил об проблемах в работе Аппаратно-программного комплекса “Ревизор”, а также о том, что IP-адреса сервера “Ревизор” попали под блокировку. Материал вызвал много шума и мы решили разобраться с вопросом поглубже. Полный текст

[Navu]

Такими темпами скоро, кроме как по граблям, и некуда будет шагать.

[Антон Богатов]

Простите, но по-русски пишется «ни при чем»

 

Название режет глаза.

[ixi]

TLDR: Проблема была только у тех, кто всё ещё резолвит домены и блокирует по айпишке.

 

И стоило статью городить?

[Andrei]

Мне вот по поводу "Ревизора" вчера пришло вот такое письмо с адреса BitNinja <incident-report@bitninja.io>

(письмо ниже привожу полностью, xxx.xxx.xxx.xxx - это ip "ревизора"):

 

Dear Provider,

I’m George Egri, the Co-Founder and CEO of BitNinja Server Security. I’m writing to inform you that we have detected malicious requests from the IP xxx.xxx.xxx.xxx directed at our clients’ servers.

As a result of these attacks, we have added your IP to our greylist to prevent it from attacking our clients’ servers.

Servers are increasingly exposed as the targets of botnet attacks and you might not be aware that your server is being used as a “bot” to send malicious attacks over the Internet.

I've collected the 3 earliest logs below, and you can find the freshest 100, that may help you disinfect your server, under the link. The timezone is UTC +2:00.
http://bitninja.io/incidentReport.php?details=_________________

tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51352 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51317 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51436 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51248 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51502 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51414 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51304 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51464 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51215 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51381 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51219 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51143 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51186 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51226 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51229 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51313 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51487 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51182 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51204 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51177 ESTABLISHED
..265 more lines.
]
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52362 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52378 ESTABLISHED
tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48250 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52406 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52403 ESTABLISHED
tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51861 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52392 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52369 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52344 ESTABLISHED
tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51865 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52376 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52380 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52416 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52372 ESTABLISHED
tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48161 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52322 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52339 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52413 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52348 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52334 ESTABLISHED
..79 more lines.
]
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44233 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44101 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44146 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43989 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43983 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44024 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43981 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44219 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44176 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44223 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43972 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44021 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44108 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44242 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44137 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44234 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44075 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44063 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44145 ESTABLISHED
tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43930 ESTABLISHED
..218 more lines.
]

Please keep in mind that after the first intrusion we log all traffic between your server and the BitNinja-protected servers until the IP is removed from the greylist. This means you may see valid logs beside the malicious actions in the link above. If you need help finding the malicious logs, please don’t hesitate to contact our incident experts by replying to this e-mail.

For more information on analyzing and understanding outbound traffic, check out this:
https://doc.bitninja.io/_images/bitninja-incident-report-1.jpg?
We’ve also dedicated an entire site help people prevent their server from sending malicious attacks: 
https://doc.bitninja.io/investigations.html

Our incident experts are also happy to help you and can provide detailed logs if needed. Please, feel free to connect me with the administrator or technical team responsible for managing your server.

Thank you for helping us make the Internet a safer place!

Regards,

George Egri
CEO at BitNinja.io
BitNinja.io @ BusinessInsider UK
BitNinja.io hits the WHIR.com
BitNinja @ CodeMash conference

 

[snvoronkov]

BitNinja ф топку! Редкостные неадекваты.

[Антон Богатов]

Ответ Чемберлена: забанить ревизора за ddos. ROFL :)))

И ведь формально правы: оно и есть ботнет:)

[pppoetest]

БитНиньзя сами спамеры ещё те, в блеклисте.

[st_re]

Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла...

 

зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету..

[Rivia]

14 minutes ago, st_re said:

Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла...

 

зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету..

It depends.

По закону как бы не сказано про блокировку только http

[st_re]

В выгрузке я не нашел этого IP с не http:// урлом... и порта такого нет ни у кого другого... у меня за сутки ревизор на не 80 порт не ходил в этот IP..

[Andrei]

7 часов назад, st_re сказал:

блокировка е прошла...

:), т..к.

7 часов назад, st_re сказал:

В выгрузке я не нашел этого IP

Что за странный порт 60412 ? Да ХЗ. Может "Ревизора" тупо хакнули? :)

[BETEPAH]

Вчера прислали письмо, что у нас закрыты порты ревизора и чтобы мы быстренько устранили это, иначе штраф.

Прошёлся nmap по нему, все порты закрыты, хотя пингуется. Перегрузил его, открылся порт 2222 на пару минут, потом закрылся. :-)

[s.lobanov]

Кстати, совсем не удивлюсь если ревизора похацкают и будут использовать для dos-а на РКН (хотя этих коробочек не так уж и много). не думаю, что там накатывают апдейты на все опенсорс либы, которыми там пользуются

[Ivan_83]

Накатывание обновлений автоматически на такое - тема не лёгкая.

Думаю они не рискуют, и задачи сделать годноту там никто не ставил.