Robot_NagNews Posted April 22, 2018 Posted April 22, 2018 Материал: В минувшую среду, 18 апреля, Nag.ru со ссылкой на представителя одного из региональных интернет-провайдеров, сообщил об проблемах в работе Аппаратно-программного комплекса “Ревизор”, а также о том, что IP-адреса сервера “Ревизор” попали под блокировку. Материал вызвал много шума и мы решили разобраться с вопросом поглубже. Полный текст Вставить ник Quote
Navu Posted April 22, 2018 Posted April 22, 2018 Такими темпами скоро, кроме как по граблям, и некуда будет шагать. Вставить ник Quote
Антон Богатов Posted April 22, 2018 Posted April 22, 2018 Простите, но по-русски пишется «ни при чем» Название режет глаза. Вставить ник Quote
ixi Posted April 22, 2018 Posted April 22, 2018 TLDR: Проблема была только у тех, кто всё ещё резолвит домены и блокирует по айпишке. И стоило статью городить? Вставить ник Quote
Andrei Posted April 22, 2018 Posted April 22, 2018 Мне вот по поводу "Ревизора" вчера пришло вот такое письмо с адреса BitNinja <incident-report@bitninja.io> (письмо ниже привожу полностью, xxx.xxx.xxx.xxx - это ip "ревизора"): Dear Provider, I’m George Egri, the Co-Founder and CEO of BitNinja Server Security. I’m writing to inform you that we have detected malicious requests from the IP xxx.xxx.xxx.xxx directed at our clients’ servers. As a result of these attacks, we have added your IP to our greylist to prevent it from attacking our clients’ servers. Servers are increasingly exposed as the targets of botnet attacks and you might not be aware that your server is being used as a “bot” to send malicious attacks over the Internet. I've collected the 3 earliest logs below, and you can find the freshest 100, that may help you disinfect your server, under the link. The timezone is UTC +2:00.http://bitninja.io/incidentReport.php?details=_________________ tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51352 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51317 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51436 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51248 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51502 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51414 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51304 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51464 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51215 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51381 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51219 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51143 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51186 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51226 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51229 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51313 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51487 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51182 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51204 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:51177 ESTABLISHED ..265 more lines. ] tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52362 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52378 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48250 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52406 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52403 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51861 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52392 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52369 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52344 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:51865 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52376 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52380 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52416 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52372 ESTABLISHED tcp 0 0 192.169.82.14:80 xxx.xxx.xxx.xxx:48161 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52322 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52339 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52413 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52348 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:52334 ESTABLISHED ..79 more lines. ] tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44233 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44101 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44146 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43989 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43983 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44024 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43981 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44219 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44176 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44223 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43972 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44021 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44108 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44242 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44137 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44234 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44075 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44063 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:44145 ESTABLISHED tcp 0 0 192.169.82.14:60412 xxx.xxx.xxx.xxx:43930 ESTABLISHED ..218 more lines. ] Please keep in mind that after the first intrusion we log all traffic between your server and the BitNinja-protected servers until the IP is removed from the greylist. This means you may see valid logs beside the malicious actions in the link above. If you need help finding the malicious logs, please don’t hesitate to contact our incident experts by replying to this e-mail. For more information on analyzing and understanding outbound traffic, check out this:https://doc.bitninja.io/_images/bitninja-incident-report-1.jpg? We’ve also dedicated an entire site help people prevent their server from sending malicious attacks: https://doc.bitninja.io/investigations.html Our incident experts are also happy to help you and can provide detailed logs if needed. Please, feel free to connect me with the administrator or technical team responsible for managing your server. Thank you for helping us make the Internet a safer place! Regards, George Egri CEO at BitNinja.io BitNinja.io @ BusinessInsider UK BitNinja.io hits the WHIR.com BitNinja @ CodeMash conference Вставить ник Quote
snvoronkov Posted April 22, 2018 Posted April 22, 2018 BitNinja ф топку! Редкостные неадекваты. Вставить ник Quote
Антон Богатов Posted April 22, 2018 Posted April 22, 2018 Ответ Чемберлена: забанить ревизора за ddos. ROFL :))) И ведь формально правы: оно и есть ботнет:) Вставить ник Quote
pppoetest Posted April 22, 2018 Posted April 22, 2018 БитНиньзя сами спамеры ещё те, в блеклисте. Вставить ник Quote
st_re Posted April 22, 2018 Posted April 22, 2018 Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла... зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету.. Вставить ник Quote
Rivia Posted April 22, 2018 Posted April 22, 2018 14 minutes ago, st_re said: Я так понимаю что если ваш ревизор их ДДОСит, то.... ну в общем штраф вам, блокировка е прошла... зы, хм.. а может и нет, чей та там порт такой "странный" ? 60412 ? таких цифр в дампе вроде как нету.. It depends. По закону как бы не сказано про блокировку только http Вставить ник Quote
st_re Posted April 22, 2018 Posted April 22, 2018 В выгрузке я не нашел этого IP с не http:// урлом... и порта такого нет ни у кого другого... у меня за сутки ревизор на не 80 порт не ходил в этот IP.. Вставить ник Quote
Andrei Posted April 23, 2018 Posted April 23, 2018 7 часов назад, st_re сказал: блокировка е прошла... :), т..к. 7 часов назад, st_re сказал: В выгрузке я не нашел этого IP Что за странный порт 60412 ? Да ХЗ. Может "Ревизора" тупо хакнули? :) Вставить ник Quote
BETEPAH Posted April 26, 2018 Posted April 26, 2018 Вчера прислали письмо, что у нас закрыты порты ревизора и чтобы мы быстренько устранили это, иначе штраф. Прошёлся nmap по нему, все порты закрыты, хотя пингуется. Перегрузил его, открылся порт 2222 на пару минут, потом закрылся. :-) Вставить ник Quote
s.lobanov Posted April 26, 2018 Posted April 26, 2018 Кстати, совсем не удивлюсь если ревизора похацкают и будут использовать для dos-а на РКН (хотя этих коробочек не так уж и много). не думаю, что там накатывают апдейты на все опенсорс либы, которыми там пользуются Вставить ник Quote
Ivan_83 Posted April 26, 2018 Posted April 26, 2018 Накатывание обновлений автоматически на такое - тема не лёгкая. Думаю они не рискуют, и задачи сделать годноту там никто не ставил. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.