Привет

 

Мы вчера и сегодня столкнулись с новой гадостью.

 

Несколько сотен машин наших клиентов стали делать пингфлуд на адрес 209.249.222.2

Очень неприятно, надо сказать.

 

Есть у кого-нибудь похожая проблема?

 

Я почему спрашиваю - если это так у многих, то это вирусная эпидемия, а если это только у нас, то это какие-то локальные хакеры устроили.

 

Тимур

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было у одного товарища абсолютно тоже самое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ботоводы активизировались... За последние пару дней около десятка флудов на разные зарубежные хосты было..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по тому, что и количество спама резко возросло за последнее время, к Рождеству готовятся все... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot.

 

Мдя...

 

У меня собственно один тупой вопрос.

Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?

Отключать? Клиенты начинают беситься - требуют чтобы их включили.

Включать? Они успешно топят сеть.

Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил.

Чинить?

Во-первых я не могу выставить столько саппортеров.

Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук.

В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС

Требовать чтобы сами полечились? Сами они полечиться толком не могут.

Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня собственно один тупой вопрос.

Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?

Отключать? Клиенты начинают беситься - требуют чтобы их включили.

Включать? Они успешно топят сеть.

Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил.

Чинить?

Во-первых я не могу выставить столько саппортеров.

Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук.

В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС

Требовать чтобы сами полечились? Сами они полечиться толком не могут.

Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся.

Нужно просто это дело не запускать и по-тихоничку чинить абонентов. При чем за бабки. Можно даже своим сказать, чтобы на таких могли калымить. =) Тогда их работники в нерабочее время будут чинить себе же в удовольствие.

Ну а еще можно попробовать отключать не всех абонентов, а по списку через одного. Или только тех, чей номер в списке делится на три. Или у кого номер является простым числом. =Р

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тимур, надо отключать, вариантов нет.

Иначе можно дождаться больших претензий с другой стороны, и отключат уже тебя :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Однако, если так дальше пойдет, то детекторы аномалий трафика и прочие виредавилки станут штатной принадлежностью. Вопрос будет стоять просто: тратишь на них несколько десятков килобаксов и живешь, или не тратишь и не живешь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Увы, типовое решение годится только для типовой сети, а где Вы их видели у альтернативщиков.

На самом деле не всё так плохо, новые типы аномалий появляются не слишком часто, можно на основе анализа NetFlow сделать неплохой детектор.

 

Из вирусологии: чем злобнее вирус, тем он менее жизнеспособен, т.к. слишком быстро убивает хозяина. Наиболее успешный вирус - герпес, заражено более половины населения Земли, но никому особо жить не мешает. А вирусы с быстрым летальным исходом, как правило строго локализованы и давят их в первую очередь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

два случая за последние два дня

 

в первом случае - icmp неизвестного объема, весь фрагментированный. В принципе легко вырезал. Во втором - жуткий udp на www.antiddos.com :)

 

По хорошему везде где можно надо резать 135-139, 445 порты. Кол-во эпидемий резко снижается.

+ антивирь и антиспам на почтовике неплохо могут помочь.

Изменено пользователем umike

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще говоря во вторник был откровенный ДДОС внутри России (со всех сторон внутрь нашей сети к клиенту). Но слабоват оказался - и мы, и клиент переварили и не вздрогнули.

В среду был флуд со всех сторон в сторону забугра (во вполне конкретного оператора). Явно кто-то поднял зомбо-сеть по всей России. Суммарный объем - мегабит 300 случилось. Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я считаю, что надо включать соответствующие органы и отслеживать - откуда и как ведется управление. Эффективными меры становятся при борьбе с источником проблемы,а не их последствиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что интересно - проснулись некоторые трояны, которых никто до этого не видел. Из антивирусов. Аськой многие вирусы и эксполером ловились.

Даже виндами со всеми патчами. Обновления к антивирусам запаздывали на пару дней!

Похоже на хорошо подготовленную и спланированную акцию, но цели ее - только ли Новогодний спам - не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО, ситуацию здорово спасает то, что "плохие парни" здорово поумнели и повзрослели. Если раньше была гопота, которая размахивала "ножичком" часто и перед всеми, в основном из молодого куража, то теперь эта подросшая личность имеет уже вполне качественное вооружение, которое, как известно, профессионалы никогда не достают, если только действительно не собираются стрелять.

 

На самом деле 300 мбит/с более, чем достаточно, чтобы положить не очень крупный сервис, особенно если это не тупой пинг, а валидные запросы.

 

ИМХО, ситуация могла бы быть на много хуже. Если бы вместо сфокусированных и экономически обоснованных атак на отдельные конторы началась бы сетевая анархия в стиле Герострата...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну с одной стороны - да. Типа нет бессмысленного и беспощадного флуда как со Сламером и тому подобного.

 

С другой стороны, обнаружив в офисе на компьютерах и за файрволом, со всеми обновлениями и свежими антивирусами несколько троянов, которые реально рассылают вирус некоторые системные адмминистраторы Вянды сильно удивляются.

 

А некоторое руководство, поняв, что на этом компьютере у них клиент-банк, доступ к внутренней 1C - вздрагивает и пугается. И пытается внушить админу, что он дурак, ничего не делал и никак не защищался. И до некоторых начинает доходить, что если бы была задача украсть у них данные - эти данные бы украли. Чему, кстати, в значительной мере способствуют 100мегатные каналы и безлимитка (то ли дело 5-8 лет назад! По 33600 или даже 128К так просто дамп базы не украдешь!).

 

Приходиться и тем и другим объяснять, что ни то ни другое - не панацея, и что даже выключенный компьютер в сейфе не может быть 100% безопасным.

И всем приходится искать баланс между функционалом и безопасностью. Который все тоньше и который все сложнее найти, к сожалению.

Изменено пользователем SergeiK

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая.

Традиционно: Статью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мдя...

 

У меня собственно один тупой вопрос.

Вот у меня образовался ботнет на сотню машин. И что мне теперь делать?

/покушано/

Мы действуем по следующей схеме:

 

Лежит сеть - "физически" отключаем абонента, информируем о причине, даем два варианта на выбор - лечится сам или лечим мы "оперативно и со скидкой". Обычно выбирают второе. Все довольны, только приходится побегать.

 

Последнюю подхваченную абонентом гадость удавалось излечить (не сочтите за рекламу) только 6-ым педантным Каспером при полном скане всей системы ибо остальные антивирусники активные модули благополучно находили и удаляли, но в системе оставались тела троянов, которые через пару перезапусков ПС снова приводили к полному заражению системы.

 

Если сеть не лежит - просто блокируем атаку (такая атака как правило описуема 1-2 правилами файервола), что в большинстве случаев абонент замечает (стал медленнее работать компьютер, интернет, открывающиеся лишние окошки вместо нужного google.com) и своими силами устраняет.

 

Проблема в своевременной и моментальной реакции со стороны провайдера. Дежурный админ всё время должен "пасти" траффик и увидев её, в ту же минуту отреагировать на атаку.. Иначе "лежащая" часами сеть может войти в правило на каждый вечер, а для абонентов такой сети это означало бы одно - смена провайдера.

 

З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.

В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.
В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться...

нутк трояны и боты это ограничение и отключат. ставьте у клиентов DI-604 - они лягут от флуда и сеть останется чистой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.
В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться...

Возможно я чего-то недоглядел, если не затруднит ткните носом в то место, где у Винды ограничение максимального кол-ва пакетов в секунду регулируется.

 

Ежели речь идет о так называемом "TcpNumConnections", появившемся в XP SP2 и ограничивающем "полуоткрытые" сессии до 10 сессий в секунду, то на мой взгляд этого решения недостаточно, чтобы остановить тупой флуд ненуждающийся в открывании сессии. (http://www.ixbt.com/soft/win-xp-sp2.shtml#Network_protection)

 

Согласен, клиентское софтовое решение не является напацеей от всех болезней, но ставить на каждого абонента по фильтрующей в реальном времени на вирусы, спам, флуд, и тому подобное железке является невозможным в принципе. В скором времени каждая домохозяйка будет иметь персональный компьютер с интуитивно понятной и дружелюбной операционной системой, подключенный ко всемирной сети. И что будет тогда? Кто ей объяснит, что помимо включения и выключения её железный друг умеет делать еще очень много других необъяснимых вещей, совсем ей не нужных.. В глобальном смысле мне видется решение только лишь в идеальном програмном обеспечении для домохозяек, не нуждающемся в управлении. А этого, видимо, не будет никогда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Однако, если так дальше пойдет, то детекторы аномалий трафика и прочие виредавилки станут штатной принадлежностью. Вопрос будет стоять просто: тратишь на них несколько десятков килобаксов и живешь, или не тратишь и не живешь...

Уже есть

http://www.hp.com/rnd/pdf_html/virus-throt..._tech_brief.htm

 

Случайно опробовано в большой сети, - оператор млеет от счастья ;-)

 

Случайно, - всмысле изначально использовать не планировали, включили из любопытства. Через какое-то время очередная червеэпидемия неожиданно продемонстрировала, как хорошо жить админам, когда виредавилка встроена в коммутаторы ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вчера и к нам приходили :(. Приблизительно с 21:50 начался тупой UDP flood на западные IP. В 22:10 - пик, pppoe потихоньку ложиться - где-то 200 клиентов заражены, от каждого поток 30-40Mbit. Слава богу большинство безлимитчики, поэтому до Uplink'ов почти ничего не дошло.

 

По итогам написали скрипт со счетчиками, если безлимитчик за час пытался отправить в два раза больше возможного на тарифе, следующий час сосет лапу. После трех блокировок в сутки добро пожаловать в офис.

 

Кстати, первая столь серьезная эпидемия. Что же будет дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пошла новая волна флуда, теперь на 87.106.1.81 Наблюдаю десятки сессий. Как правило, udp port 80

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0