st_re Опубликовано 19 декабря, 2014 · Жалоба а еще пароли от POP3/IMAP/SMTP, особенно последнее. Просто шквал. причем похоже работает несколько "бригад". Некоторые брутят явно набранные по спамерским базам живые или существовавшие когдато ящики, а некторые по словарю. некоторые прийдут и долбят до бана, а некоторые 1 запрос в пол часа с хоста, но 1 емейл явно идет по цепочке хостов, поэтому если ящик не болчить, то они много успеют напроверять. Ну и пачки вирусов в форматах ворда-ексела с довнлоадером в ВБА автостарт или прямо екзе в зипе. и если последнее легко лечится запретом екзе, то за ексели - доки пожалуй скушают благодарные пользователи. Причем на момент прихода + пару часов, а то и дольше, оно не ловится вообще ничем из набора вирустотала. Через сутоки ловится уже половиной, но в это время приходят уже новые варианты, которые снова не ловятся.. прям хтоть все аттачи в карантин на 24 часа отлеживаться запускай... прямо как во времена всяких Анн Курниковых. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 22 декабря, 2014 · Жалоба Ага. У меня коллега словил зловреда шифрующего все документы и фотки. Вроде толковый человек, ан нет, "одним глазком заглянул в .pdf". И простился со всеми документами на своем макбуке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 декабря, 2014 · Жалоба Ага. У меня коллега словил зловреда шифрующего все документы и фотки. Вроде толковый человек, ан нет, "одним глазком заглянул в .pdf". И простился со всеми документами на своем макбуке. Обращайтесь к Данилову. При условии что у вас есть купленный антивирь, можно отправить запрос на бесплатный энкодер. Через несколько дней ожидания можно получить 80% результат. В одном из одного моём случае - помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 22 декабря, 2014 · Жалоба При условии что у вас есть купленный антивирь, можно отправить запрос на бесплатный энкодер Обращались. Не помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 16 марта, 2015 · Жалоба Непонятный трафик с/на хост 216.58.209.206 В интернет нашел вот это Какие то странные люди делают какие то странные проверки. На входе до 6 Мбит флуда. Пока не разобрался идет ли DDOS от моих клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 17 марта, 2015 · Жалоба Блин, 216.58.209.206 - сайт гуглокеша! Вот он и всплывает в бенчмарках. При заходе на https://216.58.209.206 - аваст подсовывает свой SSL сертификат! Из-за этого браузер кричит что это фишинговый сайт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 марта, 2015 · Жалоба При заходе на https://216.58.209.206 - аваст подсовывает свой SSL сертификат! Ты уверен что аваст? Я вот ткнул, мне фаерфокс тоже выругался, говорит сертификат там от какого то гугля, а адрес таких слов не содержит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 марта, 2015 · Жалоба Аваст действительно вклинивается в https таким образом (а как еще?). Необходимо для работы его веб-экрана. Но вот вопит, скорее всего, после этого тоже он Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 17 марта, 2015 · Жалоба При чем тут аваст? 216.58.209.206 uses an invalid security certificate. The certificate is only valid for the following names: *.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleadapis.com , *.googleapis.cn , *.googlecommerce.com , *.googlevideo.com , *.gstatic.cn , *.gstatic.com , *.gvt1.com , *.gvt2.com , *.metric.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com (Error code: ssl_error_bad_cert_domain) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 марта, 2015 · Жалоба При чем тут аваст? Ну вот я его включил, пошел по ссылке. И в данных о сертификации получил в корне "avast! Web/Mail Shield Root" Ну а то, что имя сервера не подходит - так у него интеллекта достаточно много. Когда он свой MiM сертификат генерирует - все что нужно из оригинального сертификата копирует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 17 марта, 2015 · Жалоба Аваст действительно вклинивается в https таким образом (а как еще?). Необходимо для работы его веб-экрана. Но вот вопит, скорее всего, после этого тоже он Ругается хром. Мне важно было понять что это нормальный трафик к нормальному хосту, чтобы не идти по ложному следу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 20 апреля, 2015 · Жалоба Апну тему. Наблюдаю странное поведение, пусть будет ~нескольких хостов. Идет попытка DDoS в сторону хохляцкого Akamai (Kharkov CDN). Счетчика HTTP:IIS:INT-OVERFLOW-DOS зашкаливают, все режется, В итоге в самой атаке не участвуем. На конечных хостах с точки зрения всевозможных антивирусов все чисто. Может кто-то в курсе, что за новая напасть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 апреля, 2015 · Жалоба Скрипты в браузере поди. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 20 апреля, 2015 · Жалоба Апну тему. Наблюдаю странное поведение, пусть будет ~нескольких хостов. Идет попытка DDoS в сторону хохляцкого Akamai (Kharkov CDN). Счетчика HTTP:IIS:INT-OVERFLOW-DOS зашкаливают, все режется, В итоге в самой атаке не участвуем. На конечных хостах с точки зрения всевозможных антивирусов все чисто. Может кто-то в курсе, что за новая напасть? MS15-034 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 21 апреля, 2015 · Жалоба MS15-034 По поводу этой уязвимости было очевидно с самого начала, т.к. я написал какая именно атака идет. Суть не в этом, а немного в другом. На лабораторном хосте, обновления все стоят, естественно антивирус и для чистоты эксперимента не один, все пишут, что угроз не обнарубено. Не могу поймать трояна, который учавствует в атаке. Чей то новенький ботнет активизировался. Следствие, как вылечить заразу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 21 апреля, 2015 · Жалоба чота подборщики паролей ссх активизировались. опять друпал какой ломанули? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 апреля, 2015 · Жалоба Подборщики паролей - тупейшая копипаста кода, поэтому можно легко нагрутить конфиг чтобы они получали такое: sshd[5776]: fatal: ssh_dispatch_run_fatal: no matching key exchange method found [preauth] или sshd[37909]: fatal: ssh_dispatch_run_fatal: no matching cipher found [preauth] при этом OpenSSH и PyTTY, WinSCP всё ещё продолжают работать. Защита не 100% но 90% подбирателей отсекает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raven428 Опубликовано 9 мая, 2015 · Жалоба здравствуйте. открывать новую тему для такого вопроса как-то шибко жирно, поэтому пишу сюда. ддосят в адрес одного из натов вот такими пакетами (кусок flow-report): # recn: ip-source-address*,ip-destination-address*,ip-source-port*,ip-destination-port*,ip-protocol*,ip-tos*,octets,packets 1.52.161.156,x.y.z.98,43444,80,17,0,514,1 1.52.161.156,x.y.z.98,45842,80,17,0,514,1 1.52.161.156,x.y.z.98,46869,80,17,0,508,1 1.52.161.156,x.y.z.98,52587,80,17,0,514,1 1.52.161.156,x.y.z.98,60538,80,17,0,526,1 1.52.161.225,x.y.z.98,32994,80,17,0,526,1 1.52.161.225,x.y.z.98,35435,80,17,0,455,1 обратных адресов много, больше 100к. оператор маленький, входящий канал тоже. его успешно забивают так, что bgp прыгает вверх-вниз. может ли такое быть, что какой-нибудь абонент за этим натом какими-то действиями что-то инициирует и получает в ответ флуд? с порта 80 нат точно ничего не высылает наружу, т.е. инициация должна быть косвенная. другими словами, можно ли зафильтровать что-то исходящее, чтобы прекратить входящий флуд или не забивать голову и обращаться к аплинку за очисткой трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 9 мая, 2015 · Жалоба может ли такое быть, что какой-нибудь абонент за этим натом какими-то действиями что-то инициирует и получает в ответ флуд?Только в теории, на практике те люди, которые на такое могут нарваться знают, что им могут налить ддоса и точно не будут лезть с домашних интернетов. Вам скорее через какой-то booter какому-то геймеру льют или за писанину на форуме каком. другими словами, можно ли зафильтровать что-то исходящее, чтобы прекратить входящий флуд или не забивать голову и обращаться к аплинку за очисткой трафика? Нельзя. Обращайтесь к аплинку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...