krab Опубликовано 8 декабря, 2006 (изменено) · Жалоба А никто не отловил а собственно откуда флудоботы руляться? заметил что совсем не через IRC, блокировка порта 6667 никаких резултатов не принесла. Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться. Изменено 8 декабря, 2006 пользователем krab Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yellow Опубликовано 8 декабря, 2006 · Жалоба ' date='8.12.2006, 16:13' post='225941']Пошла новая волна флуда, теперь на 87.106.1.81 Наблюдаю десятки сессий. Как правило, udp port 80 Тоже самое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 8 декабря, 2006 · Жалоба Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться.Кукловоды нынче умные пошли, просто так их не отловишь.Проще отрубить ботов от сети, пока не полечатся, благо деструктивные действия выявляются "на раз". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krab Опубликовано 8 декабря, 2006 · Жалоба Решение же простое - заблочить канал связи ботов с "кукловодом", и зомби не проснуться.Кукловоды нынче умные пошли, просто так их не отловишь.Проще отрубить ботов от сети, пока не полечатся, благо деструктивные действия выявляются "на раз". Пока отрубаешь ботов, появляеются новые. Имхо, нерационально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 8 декабря, 2006 · Жалоба Так их надо роботом отрубать, по формальным признакам. Робот - он железный, ему пофиг. Руками да, умучаешься. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 8 декабря, 2006 (изменено) · Жалоба dialerschutz.de 87.106.1.81 s15203926.onlinehome-server.info Изменено 8 декабря, 2006 пользователем vIv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 8 декабря, 2006 · Жалоба Главное побольше клиентов подключить, да на 100 мбит каждого! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 11 декабря, 2006 · Жалоба Главное побольше клиентов подключить, да на 100 мбит каждого! Даёш новый блокбастер "Возвращение картавого мопЭда"!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 11 декабря, 2006 · Жалоба последние три недели все довольно активно tcp 80, udp 100 , tcp 5800 + в основном random source Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 декабря, 2006 · Жалоба по рассылке MSK-IX пошла информация об этом наподобие Да, было такое. За ~1.5 часа 27гиг на выхлоп у пользователя. Адрес 87.106.1.81 выявленные target'ы прошедшие по рассылке 209.249.222.2 87.106.1.81 195.248.160.184 88.83.203.198 87.106.0.0/16 209.249.208.0/24 121.36.126.34 88.212.197.198 209.200.131.38 209.200.177.38 во вторых http://forum.kaspersky.com/index.php?showt...=26741&st=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 11 декабря, 2006 · Жалоба Проще надо быть, тарифицировать исходящий траффик - и пусть флудят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 11 декабря, 2006 · Жалоба Проще надо быть, тарифицировать исходящий траффик - и пусть флудят. Проблему это не решит, просто клиент попадёт на БАБКИ и уйдёт к другому прову. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 11 декабря, 2006 · Жалоба Оттуда цитата: хватит флудить:смотрим тут http://forum.nag.ru/index.php?showtopic=32...225988&st=0 вывод - это множество троянов, старых и новых... просто щас все одновременно активизировались по чьейто задумке... обновляться надо и все сканировать.... Чтобы понять рекурсию... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 декабря, 2006 · Жалоба 2jab: ага, Тимур вон если не ошибаюсь вообще полосами нарезает без тарификации входящего/исходящего, пускай его несколько сотен вирусованных машин флудют, ага. Главное чтобы не в нашу подсеть :))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boykov Опубликовано 11 декабря, 2006 · Жалоба UglyAdmin: есть наработки по набору формальных признаков? то есть кроме - скорость поступления пакетов - количество неподтвержденных сессий - поддделанных src IP (в смысле не из наших сетей) еще что-то опробовано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 11 декабря, 2006 · Жалоба Проблему это не решит, просто клиент попадёт на БАБКИ и уйдёт к другому прову. Да и пусть валит, БАБКИ-то останутся... :-) Пусть потом конкурентам бесплатно флудит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 11 декабря, 2006 · Жалоба UglyAdmin: есть наработки по набору формальных признаков?то есть кроме - скорость поступления пакетов - количество неподтвержденных сессий - поддделанных src IP (в смысле не из наших сетей) еще что-то опробовано? А что там может быть ещё?CBAC - слишком уж ресурсоёмко... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Nikitin Опубликовано 11 декабря, 2006 (изменено) · Жалоба Может уже неактуально, но мы вроде выявили одну голову: 75.126.22.187 порт 80 TCP Изменено 11 декабря, 2006 пользователем Ilya Nikitin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 11 декабря, 2006 · Жалоба Может уже неактуально, но мы вроде выявили одну голову: 75.126.22.187 google.ru? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 декабря, 2006 (изменено) · Жалоба судя по гуглю это ip (проксика?) с которого по Valuehost'у ходил бот и вставлял в главные страницы iframe со ссылкой на троян. Про это можно почитать на Вируслисте, и по указанным в комментариях урлах, например самом форуме поддержки валуя что в свою очередь связано с тем что в конце ноября у валуя в очередной раз утащили всю базу юзеров с паролями. Ку! :) Изменено 11 декабря, 2006 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Nikitin Опубликовано 11 декабря, 2006 (изменено) · Жалоба google.ru?Я тоже так сначала подумал, когда в браузере этот ИП набрал, но потом сделал вот такую штуку: %telnet 75.126.22.187 80 Trying 75.126.22.187... Connected to 75.126.22.187.infomart.reverse.mirhosting.com. Escape character is '^]'. GET <html> <head> <script language="JavaScript" type="text/JavaScript"> <!-- function MM_goToURL() { //v3.0 var i, args=MM_goToURL.arguments; document.MM_returnValue = false; for (i=0; i<(args.length-1); i+=2) eval(args[i]+".location='"+args[i+1]+"'"); } //--> </script> </head> <body onLoad="MM_goToURL('parent','http://www.google.com');return document.MM_returnValue"> </body> </html>Connection closed by foreign host. Это редирект на google.com Фишка в том, что абсолютно все зараженные машины обращались на этот адрес, вполне вероятно, что он не единственный... Изменено 11 декабря, 2006 пользователем Ilya Nikitin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 декабря, 2006 (изменено) · Жалоба хммм.. GET./data.php?param=cmd〈=RUS&id=0002&shell=0&socksport=50385&httpport=13558&uptimem=16&uptimeh=0& uid=[xxxxxxxxxxxxxxxxxx]&ver=5.0.HTTP/1.0..User-Agent:.MSIE.XPSP2..Host:.sun-ww.net..Connection:.Keep-Alive а ему оттуда 403 Forbidden Изменено 11 декабря, 2006 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boykov Опубликовано 12 декабря, 2006 · Жалоба UglyAdmin: есть наработки по набору формальных признаков? то есть кроме - скорость поступления пакетов - количество неподтвержденных сессий - поддделанных src IP (в смысле не из наших сетей) еще что-то опробовано? А что там может быть ещё?CBAC - слишком уж ресурсоёмко... Ну, мало ли... Тут проскакивал пример фильрования по контенту пакета силами не столь уж крутого свича, правда там исходная настройка таки ручками. Мож у кого еще что есть. У магистралов тех же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yellow Опубликовано 12 декабря, 2006 (изменено) · Жалоба UglyAdmin: есть наработки по набору формальных признаков?то есть кроме - скорость поступления пакетов - количество неподтвержденных сессий - поддделанных src IP (в смысле не из наших сетей) еще что-то опробовано? Соотношение входящего/исходящего трафика. Изменено 12 декабря, 2006 пользователем Yellow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serg_Klp Опубликовано 13 декабря, 2006 · Жалоба Всех абонентов "вылечили". Уже дней как 4-5 все тихо, ни одной ботофлудной атаки. Как успехи у коллег? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...