Robot_NagNews Опубликовано 22 апреля, 2018 · Жалоба Материал: В минувшую среду, 18 апреля, Nag.ru со ссылкой на представителя одного из региональных интернет-провайдеров, сообщил об проблемах в работе Аппаратно-программного комплекса “Ревизор”, а также о том, что IP-адреса сервера “Ревизор” попали под блокировку. Материал вызвал много шума и мы решили разобраться с вопросом поглубже. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Navu Опубликовано 22 апреля, 2018 · Жалоба Такими темпами скоро, кроме как по граблям, и некуда будет шагать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Антон Богатов Опубликовано 22 апреля, 2018 · Жалоба Простите, но по-русски пишется «ни при чем» Название режет глаза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 22 апреля, 2018 · Жалоба TLDR: Проблема была только у тех, кто всё ещё резолвит домены и блокирует по айпишке. И стоило статью городить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 апреля, 2018 · Жалоба Мне вот по поводу "Ревизора" вчера пришло вот такое письмо с адреса BitNinja <incident-report@bitninja.io> (письмо ниже привожу полностью, xxx.xxx.xxx.xxx - это ip "ревизора"): Dear Provider, I’m George Egri, the Co-Founder and CEO of BitNinja Server Security. I’m writing to inform you that we have detected malicious requests from the IP xxx.xxx.xxx.xxx directed at our clients’ servers. As a result of these attacks, we have added your IP to our greylist to prevent it from attacking our clients’ servers. Servers are increasingly exposed as the targets of botnet attacks and you might not be aware that your server is being used as a “bot” to send malicious attacks over the Internet. I've collected the 3 earliest logs below, and you can find the freshest 100, that may help you disinfect your server, under the link. The timezone is UTC +2:00.http://bitninja.io/incidentReport.php?details=_________________ tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51352 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51317 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51436 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51248 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51502 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51414 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51304 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51464 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51215 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51381 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51219 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51143 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51186 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51226 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51229 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51313 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51487 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51182 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51204 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51177 ESTABLISHED ..265 more lines. ] tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52362 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52378 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48250 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52406 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52403 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51861 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52392 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52369 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52344 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51865 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52376 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52380 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52416 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52372 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48161 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52322 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52339 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52413 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52348 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52334 ESTABLISHED ..79 more lines. ] tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44233 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44101 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44146 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43989 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43983 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44024 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43981 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44219 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44176 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44223 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43972 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44021 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44108 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44242 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44137 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44234 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44075 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44063 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44145 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43930 ESTABLISHED ..218 more lines. ] Please keep in mind that after the first intrusion we log all traffic between your server and the BitNinja-protected servers until the IP is removed from the greylist. This means you may see valid logs beside the malicious actions in the link above. If you need help finding the malicious logs, please don’t hesitate to contact our incident experts by replying to this e-mail. For more information on analyzing and understanding outbound traffic, check out this:https://doc.bitninja.io/_images/bitninja-incident-report-1.jpg? We’ve also dedicated an entire site help people prevent their server from sending malicious attacks: https://doc.bitninja.io/investigations.html Our incident experts are also happy to help you and can provide detailed logs if needed. Please, feel free to connect me with the administrator or technical team responsible for managing your server. Thank you for helping us make the Internet a safer place! Regards, George Egri CEO at BitNinja.io BitNinja.io @ BusinessInsider UK BitNinja.io hits the WHIR.com BitNinja @ CodeMash conference Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 апреля, 2018 · Жалоба BitNinja ф топку! Редкостные неадекваты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Антон Богатов Опубликовано 22 апреля, 2018 · Жалоба Ответ Чемберлена: забанить ревизора за ddos. ROFL :))) И ведь формально правы: оно и есть ботнет:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 апреля, 2018 · Жалоба БитНиньзя сами спамеры ещё те, в блеклисте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 апреля, 2018 · Жалоба Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла... зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 22 апреля, 2018 · Жалоба 14 minutes ago, st_re said: Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла... зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету.. It depends. По закону как бы не сказано про блокировку только http Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 апреля, 2018 · Жалоба В выгрузке я не нашел этого IP с не http:// урлом... и порта такого нет ни у кого другого... у меня за сутки ревизор на не 80 порт не ходил в этот IP.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 23 апреля, 2018 · Жалоба 7 часов назад, st_re сказал: блокировка е прошла... :), т..к. 7 часов назад, st_re сказал: В выгрузке я не нашел этого IP Что за странный порт 60412 ? Да ХЗ. Может "Ревизора" тупо хакнули? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 26 апреля, 2018 · Жалоба Вчера прислали письмо, что у нас закрыты порты ревизора и чтобы мы быстренько устранили это, иначе штраф. Прошёлся nmap по нему, все порты закрыты, хотя пингуется. Перегрузил его, открылся порт 2222 на пару минут, потом закрылся. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 апреля, 2018 · Жалоба Кстати, совсем не удивлюсь если ревизора похацкают и будут использовать для dos-а на РКН (хотя этих коробочек не так уж и много). не думаю, что там накатывают апдейты на все опенсорс либы, которыми там пользуются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 апреля, 2018 · Жалоба Накатывание обновлений автоматически на такое - тема не лёгкая. Думаю они не рискуют, и задачи сделать годноту там никто не ставил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...