Тимур Опубликовано 7 декабря, 2006 · Жалоба Привет Мы вчера и сегодня столкнулись с новой гадостью. Несколько сотен машин наших клиентов стали делать пингфлуд на адрес 209.249.222.2 Очень неприятно, надо сказать. Есть у кого-нибудь похожая проблема? Я почему спрашиваю - если это так у многих, то это вирусная эпидемия, а если это только у нас, то это какие-то локальные хакеры устроили. Тимур Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yvt1974 Опубликовано 7 декабря, 2006 · Жалоба Было у одного товарища абсолютно тоже самое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 7 декабря, 2006 · Жалоба http://forum.nag.ru/index.php?showtopic=32187 Похоже кто-то зомбиков поднимает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[Eagle] Опубликовано 7 декабря, 2006 · Жалоба Ботоводы активизировались... За последние пару дней около десятка флудов на разные зарубежные хосты было.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrBear Опубликовано 7 декабря, 2006 · Жалоба Судя по тому, что и количество спама резко возросло за последнее время, к Рождеству готовятся все... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serg_Klp Опубликовано 7 декабря, 2006 · Жалоба Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 8 декабря, 2006 · Жалоба Ежедневно уже в течении последнего месяца сталкиваемся с этим. Разнообразный флуд на udp 80, udp 53, tcp 80, tcp 6667. На поверку оказываются ирсшными бэкдорами и прочим троянским парнокопытными. Причем абонент абсолютно об этом не подозревает - зачастую даже стоит антивирусный софт с прошлогодними апдейтами.. На вскидку из последнего: Agobot, Wootbot, SdBot, RBot, SpyBot, ForBot, IRCBot. Мдя... У меня собственно один тупой вопрос. Вот у меня образовался ботнет на сотню машин. И что мне теперь делать? Отключать? Клиенты начинают беситься - требуют чтобы их включили. Включать? Они успешно топят сеть. Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил. Чинить? Во-первых я не могу выставить столько саппортеров. Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук. В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС Требовать чтобы сами полечились? Сами они полечиться толком не могут. Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 8 декабря, 2006 · Жалоба У меня собственно один тупой вопрос. Вот у меня образовался ботнет на сотню машин. И что мне теперь делать? Отключать? Клиенты начинают беситься - требуют чтобы их включили. Включать? Они успешно топят сеть. Шейпить? У клиентов все равно ничерта не работает, потому что вири дают жару - считай что отключил. Чинить? Во-первых я не могу выставить столько саппортеров. Во-вторых, последние вири какие-то совсем злобные. С CD-ROM'а не получается - нужно снимать винт и лечить со здоровой машины. То есть каждому саппорту нужно давать ноутбук. В третьих это все равно не помогает, потому что дело кончается тем, что нужно переставлять ОС Требовать чтобы сами полечились? Сами они полечиться толком не могут. Пусть вызывают сторонний саппорт? Сторонний саппорт ломит бешенные деньги. Клиенты бесятся. Нужно просто это дело не запускать и по-тихоничку чинить абонентов. При чем за бабки. Можно даже своим сказать, чтобы на таких могли калымить. =) Тогда их работники в нерабочее время будут чинить себе же в удовольствие. Ну а еще можно попробовать отключать не всех абонентов, а по списку через одного. Или только тех, чей номер в списке делится на три. Или у кого номер является простым числом. =Р Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 8 декабря, 2006 · Жалоба Тимур, надо отключать, вариантов нет. Иначе можно дождаться больших претензий с другой стороны, и отключат уже тебя :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 8 декабря, 2006 · Жалоба Однако, если так дальше пойдет, то детекторы аномалий трафика и прочие виредавилки станут штатной принадлежностью. Вопрос будет стоять просто: тратишь на них несколько десятков килобаксов и живешь, или не тратишь и не живешь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 8 декабря, 2006 · Жалоба Увы, типовое решение годится только для типовой сети, а где Вы их видели у альтернативщиков. На самом деле не всё так плохо, новые типы аномалий появляются не слишком часто, можно на основе анализа NetFlow сделать неплохой детектор. Из вирусологии: чем злобнее вирус, тем он менее жизнеспособен, т.к. слишком быстро убивает хозяина. Наиболее успешный вирус - герпес, заражено более половины населения Земли, но никому особо жить не мешает. А вирусы с быстрым летальным исходом, как правило строго локализованы и давят их в первую очередь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 8 декабря, 2006 (изменено) · Жалоба два случая за последние два дня в первом случае - icmp неизвестного объема, весь фрагментированный. В принципе легко вырезал. Во втором - жуткий udp на www.antiddos.com :) По хорошему везде где можно надо резать 135-139, 445 порты. Кол-во эпидемий резко снижается. + антивирь и антиспам на почтовике неплохо могут помочь. Изменено 8 декабря, 2006 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leiden Опубликовано 8 декабря, 2006 · Жалоба Вообще говоря во вторник был откровенный ДДОС внутри России (со всех сторон внутрь нашей сети к клиенту). Но слабоват оказался - и мы, и клиент переварили и не вздрогнули. В среду был флуд со всех сторон в сторону забугра (во вполне конкретного оператора). Явно кто-то поднял зомбо-сеть по всей России. Суммарный объем - мегабит 300 случилось. Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 8 декабря, 2006 · Жалоба Я считаю, что надо включать соответствующие органы и отслеживать - откуда и как ведется управление. Эффективными меры становятся при борьбе с источником проблемы,а не их последствиями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 8 декабря, 2006 · Жалоба Что интересно - проснулись некоторые трояны, которых никто до этого не видел. Из антивирусов. Аськой многие вирусы и эксполером ловились. Даже виндами со всеми патчами. Обновления к антивирусам запаздывали на пару дней! Похоже на хорошо подготовленную и спланированную акцию, но цели ее - только ли Новогодний спам - не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 8 декабря, 2006 · Жалоба ИМХО, ситуацию здорово спасает то, что "плохие парни" здорово поумнели и повзрослели. Если раньше была гопота, которая размахивала "ножичком" часто и перед всеми, в основном из молодого куража, то теперь эта подросшая личность имеет уже вполне качественное вооружение, которое, как известно, профессионалы никогда не достают, если только действительно не собираются стрелять. На самом деле 300 мбит/с более, чем достаточно, чтобы положить не очень крупный сервис, особенно если это не тупой пинг, а валидные запросы. ИМХО, ситуация могла бы быть на много хуже. Если бы вместо сфокусированных и экономически обоснованных атак на отдельные конторы началась бы сетевая анархия в стиле Герострата... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 8 декабря, 2006 (изменено) · Жалоба Ну с одной стороны - да. Типа нет бессмысленного и беспощадного флуда как со Сламером и тому подобного. С другой стороны, обнаружив в офисе на компьютерах и за файрволом, со всеми обновлениями и свежими антивирусами несколько троянов, которые реально рассылают вирус некоторые системные адмминистраторы Вянды сильно удивляются. А некоторое руководство, поняв, что на этом компьютере у них клиент-банк, доступ к внутренней 1C - вздрагивает и пугается. И пытается внушить админу, что он дурак, ничего не делал и никак не защищался. И до некоторых начинает доходить, что если бы была задача украсть у них данные - эти данные бы украли. Чему, кстати, в значительной мере способствуют 100мегатные каналы и безлимитка (то ли дело 5-8 лет назад! По 33600 или даже 128К так просто дамп базы не украдешь!). Приходиться и тем и другим объяснять, что ни то ни другое - не панацея, и что даже выключенный компьютер в сейфе не может быть 100% безопасным. И всем приходится искать баланс между функционалом и безопасностью. Который все тоньше и который все сложнее найти, к сожалению. Изменено 8 декабря, 2006 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 8 декабря, 2006 · Жалоба Вообще говоря - массовую и заметную на общем фоне зомбо-сеть в России я видел в первый раз. Вот такие вот пироги, господа. Наше отношение к клиентам-операторам, у которых сидит фрагмент зомбо-сети, но нам и нашей сети она вреда своим трафиком не наносит - мы еще не сформулировали. Думаем - ибо много тонких моментов. Если зомбо-сеть нам вредит - будем выключать вплоть до излечения не раздумывая. Традиционно: Статью! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serg_Klp Опубликовано 8 декабря, 2006 · Жалоба Мдя... У меня собственно один тупой вопрос. Вот у меня образовался ботнет на сотню машин. И что мне теперь делать? /покушано/ Мы действуем по следующей схеме: Лежит сеть - "физически" отключаем абонента, информируем о причине, даем два варианта на выбор - лечится сам или лечим мы "оперативно и со скидкой". Обычно выбирают второе. Все довольны, только приходится побегать. Последнюю подхваченную абонентом гадость удавалось излечить (не сочтите за рекламу) только 6-ым педантным Каспером при полном скане всей системы ибо остальные антивирусники активные модули благополучно находили и удаляли, но в системе оставались тела троянов, которые через пару перезапусков ПС снова приводили к полному заражению системы. Если сеть не лежит - просто блокируем атаку (такая атака как правило описуема 1-2 правилами файервола), что в большинстве случаев абонент замечает (стал медленнее работать компьютер, интернет, открывающиеся лишние окошки вместо нужного google.com) и своими силами устраняет. Проблема в своевременной и моментальной реакции со стороны провайдера. Дежурный админ всё время должен "пасти" траффик и увидев её, в ту же минуту отреагировать на атаку.. Иначе "лежащая" часами сеть может войти в правило на каждый вечер, а для абонентов такой сети это означало бы одно - смена провайдера. З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 8 декабря, 2006 · Жалоба З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается. В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 8 декабря, 2006 · Жалоба З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться... нутк трояны и боты это ограничение и отключат. ставьте у клиентов DI-604 - они лягут от флуда и сеть останется чистой :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serg_Klp Опубликовано 8 декабря, 2006 · Жалоба З.Ы.: Даешь в Винде интегрированное ограничение packets per second, а то железками ограничивать как-то дороговато получается.В винде, вообсче-то очень много чего есть... Жаль только, мало кто умеет этим всем пользоваться... Возможно я чего-то недоглядел, если не затруднит ткните носом в то место, где у Винды ограничение максимального кол-ва пакетов в секунду регулируется. Ежели речь идет о так называемом "TcpNumConnections", появившемся в XP SP2 и ограничивающем "полуоткрытые" сессии до 10 сессий в секунду, то на мой взгляд этого решения недостаточно, чтобы остановить тупой флуд ненуждающийся в открывании сессии. (http://www.ixbt.com/soft/win-xp-sp2.shtml#Network_protection) Согласен, клиентское софтовое решение не является напацеей от всех болезней, но ставить на каждого абонента по фильтрующей в реальном времени на вирусы, спам, флуд, и тому подобное железке является невозможным в принципе. В скором времени каждая домохозяйка будет иметь персональный компьютер с интуитивно понятной и дружелюбной операционной системой, подключенный ко всемирной сети. И что будет тогда? Кто ей объяснит, что помимо включения и выключения её железный друг умеет делать еще очень много других необъяснимых вещей, совсем ей не нужных.. В глобальном смысле мне видется решение только лишь в идеальном програмном обеспечении для домохозяек, не нуждающемся в управлении. А этого, видимо, не будет никогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 8 декабря, 2006 · Жалоба Однако, если так дальше пойдет, то детекторы аномалий трафика и прочие виредавилки станут штатной принадлежностью. Вопрос будет стоять просто: тратишь на них несколько десятков килобаксов и живешь, или не тратишь и не живешь... Уже есть http://www.hp.com/rnd/pdf_html/virus-throt..._tech_brief.htm Случайно опробовано в большой сети, - оператор млеет от счастья ;-) Случайно, - всмысле изначально использовать не планировали, включили из любопытства. Через какое-то время очередная червеэпидемия неожиданно продемонстрировала, как хорошо жить админам, когда виредавилка встроена в коммутаторы ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yellow Опубликовано 8 декабря, 2006 · Жалоба Вчера и к нам приходили :(. Приблизительно с 21:50 начался тупой UDP flood на западные IP. В 22:10 - пик, pppoe потихоньку ложиться - где-то 200 клиентов заражены, от каждого поток 30-40Mbit. Слава богу большинство безлимитчики, поэтому до Uplink'ов почти ничего не дошло. По итогам написали скрипт со счетчиками, если безлимитчик за час пытался отправить в два раза больше возможного на тарифе, следующий час сосет лапу. После трех блокировок в сутки добро пожаловать в офис. Кстати, первая столь серьезная эпидемия. Что же будет дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[Eagle] Опубликовано 8 декабря, 2006 · Жалоба Пошла новая волна флуда, теперь на 87.106.1.81 Наблюдаю десятки сессий. Как правило, udp port 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...