[st_re]

а еще пароли от POP3/IMAP/SMTP, особенно последнее. Просто шквал. причем похоже работает несколько "бригад". Некоторые брутят явно набранные по спамерским базам живые или существовавшие когдато ящики, а некторые по словарю. некоторые прийдут и долбят до бана, а некоторые 1 запрос в пол часа с хоста, но 1 емейл явно идет по цепочке хостов, поэтому если ящик не болчить, то они много успеют напроверять.

 

Ну и пачки вирусов в форматах ворда-ексела с довнлоадером в ВБА автостарт или прямо екзе в зипе. и если последнее легко лечится запретом екзе, то за ексели - доки пожалуй скушают благодарные пользователи. Причем на момент прихода + пару часов, а то и дольше, оно не ловится вообще ничем из набора вирустотала. Через сутоки ловится уже половиной, но в это время приходят уже новые варианты, которые снова не ловятся.. прям хтоть все аттачи в карантин на 24 часа отлеживаться запускай... прямо как во времена всяких Анн Курниковых.

[stas_k]

Ага. У меня коллега словил зловреда шифрующего все документы и фотки. Вроде толковый человек, ан нет, "одним глазком заглянул в .pdf". И простился со всеми документами на своем макбуке.

[YuryD]

Ага. У меня коллега словил зловреда шифрующего все документы и фотки. Вроде толковый человек, ан нет, "одним глазком заглянул в .pdf". И простился со всеми документами на своем макбуке.

Обращайтесь к Данилову. При условии что у вас есть купленный антивирь, можно отправить запрос на бесплатный энкодер. Через несколько дней ожидания можно получить 80% результат. В одном из одного моём случае - помогло.

[stas_k]

При условии что у вас есть купленный антивирь, можно отправить запрос на бесплатный энкодер

Обращались. Не помогло.

[Sonne]

Непонятный трафик с/на хост 216.58.209.206

 

В интернет нашел вот это

 

Какие то странные люди делают какие то странные проверки. На входе до 6 Мбит флуда. Пока не разобрался идет ли DDOS от моих клиентов.

[Sonne]

Блин, 216.58.209.206 - сайт гуглокеша! Вот он и всплывает в бенчмарках.

 

При заходе на https://216.58.209.206 - аваст подсовывает свой SSL сертификат! Из-за этого браузер кричит что это фишинговый сайт.

[Ivan_83]

При заходе на https://216.58.209.206 - аваст подсовывает свой SSL сертификат!

Ты уверен что аваст?

Я вот ткнул, мне фаерфокс тоже выругался, говорит сертификат там от какого то гугля, а адрес таких слов не содержит.

[Sergey Gilfanov]

Аваст действительно вклинивается в https таким образом (а как еще?). Необходимо для работы его веб-экрана. Но вот вопит, скорее всего, после этого тоже он

[stas_k]

При чем тут аваст?

 

216.58.209.206 uses an invalid security certificate.

The certificate is only valid for the following names:

*.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleadapis.com , *.googleapis.cn , *.googlecommerce.com , *.googlevideo.com , *.gstatic.cn , *.gstatic.com , *.gvt1.com , *.gvt2.com , *.metric.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com

 

(Error code: ssl_error_bad_cert_domain)

[Sergey Gilfanov]

При чем тут аваст?

Ну вот я его включил, пошел по ссылке. И в данных о сертификации получил в корне "avast! Web/Mail Shield Root"

 

Ну а то, что имя сервера не подходит - так у него интеллекта достаточно много. Когда он свой MiM сертификат генерирует - все что нужно из оригинального сертификата копирует.

[Sonne]

Аваст действительно вклинивается в https таким образом (а как еще?). Необходимо для работы его веб-экрана. Но вот вопит, скорее всего, после этого тоже он

 

Ругается хром. Мне важно было понять что это нормальный трафик к нормальному хосту, чтобы не идти по ложному следу.

[NikBSDOpen]

Апну тему.

Наблюдаю странное поведение, пусть будет ~нескольких хостов. Идет попытка DDoS в сторону хохляцкого Akamai (Kharkov CDN).

Счетчика HTTP:IIS:INT-OVERFLOW-DOS зашкаливают, все режется, В итоге в самой атаке не участвуем. На конечных хостах с точки зрения всевозможных антивирусов все чисто.

Может кто-то в курсе, что за новая напасть?

[Ivan_83]

Скрипты в браузере поди.

[^rage^]

Апну тему.

Наблюдаю странное поведение, пусть будет ~нескольких хостов. Идет попытка DDoS в сторону хохляцкого Akamai (Kharkov CDN).

Счетчика HTTP:IIS:INT-OVERFLOW-DOS зашкаливают, все режется, В итоге в самой атаке не участвуем. На конечных хостах с точки зрения всевозможных антивирусов все чисто.

Может кто-то в курсе, что за новая напасть?

 

MS15-034

[NikBSDOpen]

MS15-034

 

По поводу этой уязвимости было очевидно с самого начала, т.к. я написал какая именно атака идет. Суть не в этом, а немного в другом.

На лабораторном хосте, обновления все стоят, естественно антивирус и для чистоты эксперимента не один, все пишут, что угроз не обнарубено.

Не могу поймать трояна, который учавствует в атаке.

Чей то новенький ботнет активизировался. Следствие, как вылечить заразу?

[karpa13a]

чота подборщики паролей ссх активизировались.

опять друпал какой ломанули?

[Ivan_83]

Подборщики паролей - тупейшая копипаста кода, поэтому можно легко нагрутить конфиг чтобы они получали такое:

sshd[5776]: fatal: ssh_dispatch_run_fatal: no matching key exchange method found [preauth]

или

sshd[37909]: fatal: ssh_dispatch_run_fatal: no matching cipher found [preauth]

 

при этом OpenSSH и PyTTY, WinSCP всё ещё продолжают работать.

Защита не 100% но 90% подбирателей отсекает :)

[raven428]

здравствуйте. открывать новую тему для такого вопроса как-то шибко жирно, поэтому пишу сюда. ддосят в адрес одного из натов вот такими пакетами (кусок flow-report):

# recn: ip-source-address*,ip-destination-address*,ip-source-port*,ip-destination-port*,ip-protocol*,ip-tos*,octets,packets
1.52.161.156,x.y.z.98,43444,80,17,0,514,1
1.52.161.156,x.y.z.98,45842,80,17,0,514,1
1.52.161.156,x.y.z.98,46869,80,17,0,508,1
1.52.161.156,x.y.z.98,52587,80,17,0,514,1
1.52.161.156,x.y.z.98,60538,80,17,0,526,1
1.52.161.225,x.y.z.98,32994,80,17,0,526,1
1.52.161.225,x.y.z.98,35435,80,17,0,455,1

обратных адресов много, больше 100к. оператор маленький, входящий канал тоже. его успешно забивают так, что bgp прыгает вверх-вниз.

 

может ли такое быть, что какой-нибудь абонент за этим натом какими-то действиями что-то инициирует и получает в ответ флуд? с порта 80 нат точно ничего не высылает наружу, т.е. инициация должна быть косвенная. другими словами, можно ли зафильтровать что-то исходящее, чтобы прекратить входящий флуд или не забивать голову и обращаться к аплинку за очисткой трафика?

[ttttt]

может ли такое быть, что какой-нибудь абонент за этим натом какими-то действиями что-то инициирует и получает в ответ флуд?

Только в теории, на практике те люди, которые на такое могут нарваться знают, что им могут налить ддоса и точно не будут лезть с домашних интернетов.

 

Вам скорее через какой-то booter какому-то геймеру льют или за писанину на форуме каком.

 

другими словами, можно ли зафильтровать что-то исходящее, чтобы прекратить входящий флуд или не забивать голову и обращаться к аплинку за очисткой трафика?

Нельзя. Обращайтесь к аплинку.