[krab]

А никто не отловил а собственно откуда флудоботы руляться? заметил что совсем не через IRC, блокировка порта 6667 никаких резултатов не принесла.

Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться.

Изменено 8 декабря, 2006 пользователем krab

[Yellow]

' date='8.12.2006, 16:13' post='225941']

Пошла новая волна флуда, теперь на 87.106.1.81 Наблюдаю десятки сессий. Как правило, udp port 80

Тоже самое.

[UglyAdmin]

Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться.

Кукловоды нынче умные пошли, просто так их не отловишь.

Проще отрубить ботов от сети, пока не полечатся, благо деструктивные действия выявляются "на раз".

[krab]

Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться.

Кукловоды нынче умные пошли, просто так их не отловишь.

Проще отрубить ботов от сети, пока не полечатся, благо деструктивные действия выявляются "на раз".

Пока отрубаешь ботов, появляеются новые. Имхо, нерационально.

[UglyAdmin]

Так их надо роботом отрубать, по формальным признакам.

Робот - он железный, ему пофиг. Руками да, умучаешься.

[vIv]

dialerschutz.de

87.106.1.81

s15203926.onlinehome-server.info

Изменено 8 декабря, 2006 пользователем vIv

[Sonne]

Главное побольше клиентов подключить, да на 100 мбит каждого!

[GateKeeper]

Главное побольше клиентов подключить, да на 100 мбит каждого!

Даёш новый блокбастер "Возвращение картавого мопЭда"!!!

[short]

последние три недели все довольно активно

 

tcp 80, udp 100 , tcp 5800

 

+ в основном random source

[umike]

по рассылке MSK-IX пошла информация об этом наподобие

Да, было такое. За ~1.5 часа 27гиг на выхлоп у пользователя. Адрес 87.106.1.81

выявленные target'ы прошедшие по рассылке

209.249.222.2

87.106.1.81

195.248.160.184

88.83.203.198

87.106.0.0/16

209.249.208.0/24

121.36.126.34

88.212.197.198

209.200.131.38

209.200.177.38

 

 

во вторых http://forum.kaspersky.com/index.php?showt...=26741&st=0

[jab]

Проще надо быть, тарифицировать исходящий траффик - и пусть флудят.

[UglyAdmin]

Проще надо быть, тарифицировать исходящий траффик - и пусть флудят.

Проблему это не решит, просто клиент попадёт на БАБКИ и уйдёт к другому прову.

[GateKeeper]

Оттуда цитата:

хватит флудить:

смотрим тут

http://forum.nag.ru/index.php?showtopic=32...225988&st=0

 

вывод - это множество троянов, старых и новых... просто щас все одновременно активизировались по чьейто задумке...

обновляться надо и все сканировать....

Чтобы понять рекурсию...

[umike]

2jab:

ага, Тимур вон если не ошибаюсь вообще полосами нарезает без тарификации входящего/исходящего, пускай его несколько сотен вирусованных машин флудют, ага. Главное чтобы не в нашу подсеть :)))

[boykov]

UglyAdmin: есть наработки по набору формальных признаков?

то есть кроме

- скорость поступления пакетов

- количество неподтвержденных сессий

- поддделанных src IP (в смысле не из наших сетей)

еще что-то опробовано?

[jab]

Проблему это не решит, просто клиент попадёт на БАБКИ и уйдёт к другому прову.

Да и пусть валит, БАБКИ-то останутся... :-) Пусть потом конкурентам бесплатно флудит.

[UglyAdmin]

UglyAdmin: есть наработки по набору формальных признаков?

то есть кроме

- скорость поступления пакетов

- количество неподтвержденных сессий

- поддделанных src IP (в смысле не из наших сетей)

еще что-то опробовано?

А что там может быть ещё?

CBAC - слишком уж ресурсоёмко...

[Ilya Nikitin]

Может уже неактуально, но мы вроде выявили одну голову: 75.126.22.187 порт 80 TCP

Изменено 11 декабря, 2006 пользователем Ilya Nikitin

[Тимур]

Может уже неактуально, но мы вроде выявили одну голову: 75.126.22.187

google.ru?

[umike]

судя по гуглю это ip (проксика?) с которого по Valuehost'у ходил бот и вставлял в главные страницы iframe со ссылкой на троян. Про это можно почитать на Вируслисте, и по указанным в комментариях урлах, например самом форуме поддержки валуя что в свою очередь связано с тем что в конце ноября у валуя в очередной раз утащили всю базу юзеров с паролями. Ку! :)

Изменено 11 декабря, 2006 пользователем umike

[Ilya Nikitin]

google.ru?

Я тоже так сначала подумал, когда в браузере этот ИП набрал, но потом сделал вот такую штуку:

%telnet 75.126.22.187 80
Trying 75.126.22.187...
Connected to 75.126.22.187.infomart.reverse.mirhosting.com.
Escape character is '^]'.
GET
<html>
<head>
<script language="JavaScript" type="text/JavaScript">
<!--
function MM_goToURL() { //v3.0
  var i, args=MM_goToURL.arguments; document.MM_returnValue = false;
  for (i=0; i<(args.length-1); i+=2) eval(args[i]+".location='"+args[i+1]+"'");
}
//-->
</script>
</head>

<body onLoad="MM_goToURL('parent','http://www.google.com');return document.MM_returnValue">

</body>
</html>Connection closed by foreign host.

Это редирект на google.com

Фишка в том, что абсолютно все зараженные машины обращались на этот адрес, вполне вероятно, что он не единственный...

Изменено 11 декабря, 2006 пользователем Ilya Nikitin

[umike]

хммм..

GET./data.php?param=cmd〈=RUS&id=0002&shell=0&socksport=50385&httpport=13558&uptimem=16&uptimeh=0&

uid=[xxxxxxxxxxxxxxxxxx]&ver=5.0.HTTP/1.0..User-Agent:.MSIE.XPSP2..Host:.sun-ww.net..Connection:.Keep-Alive

 

а ему оттуда 403 Forbidden

Изменено 11 декабря, 2006 пользователем umike

[boykov]

UglyAdmin: есть наработки по набору формальных признаков?

то есть кроме

- скорость поступления пакетов

- количество неподтвержденных сессий

- поддделанных src IP (в смысле не из наших сетей)

еще что-то опробовано?

А что там может быть ещё?

CBAC - слишком уж ресурсоёмко...

Ну, мало ли... Тут проскакивал пример фильрования по контенту пакета силами не столь уж крутого свича, правда там исходная настройка таки ручками.

Мож у кого еще что есть. У магистралов тех же.

[Yellow]

UglyAdmin: есть наработки по набору формальных признаков?

то есть кроме

- скорость поступления пакетов

- количество неподтвержденных сессий

- поддделанных src IP (в смысле не из наших сетей)

еще что-то опробовано?

Соотношение входящего/исходящего трафика.

Изменено 12 декабря, 2006 пользователем Yellow

[Serg_Klp]

Всех абонентов "вылечили". Уже дней как 4-5 все тихо, ни одной ботофлудной атаки. Как успехи у коллег?