[karpa13a]

словить этава червя и ждать?)

или посотрудничать с касперским. оне вон - знают когда команды ходят) наверняка еще и откуда)

[kostich]

касперские не сразу про новые ботнеты узнают. а наших клиентосов все чаще и чаще 0day атакует...

 

интересно про коррелирование нетфлоу на базе нашей статы по ботам.

[kostich]

http://stopddos.ru/ru/report-2011-net/ - чуть в другом формате перегенерили. больше всего понравилось наличие хуиз инфы типа КБ Рубин и т.д...

 

=== IP: x.x.x.x:0, last receiving time: 2011-04-18T13:32:00+04:00, many identical requests (length 464):

GET /a4/size5137409/ HTTP/1.1

Host:[hidden]

User-Agent:Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1

Accept:text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1

Accept-Language:en-US,en;q=0.9,en;q=0.8

Accept-Charset:iso-8859-1, utf-8, utf-16, *;q=0.1

Accept-Encoding:deflate, gzip, x-gzip, identity, *;q=0

Referer:[hidden]

Connection:Keep-Alive

 

 

Я очень сорри, но исходящий порт 0 ? (вместо x.x.x.x был IP, но порт так и есть в Ваших логах - 0)

 

Я понимаю что запросов "many", но таки там был первый-последний, еще какой, у которого был конкретный номер порта? нет ?

 

Или оно старое, а для новых будет порт ?

 

 

да, именно так. хотя возможен вариант и с нулевым портом в новых записях, т.к. не везде еще обновились.

[shicoy]

Стоит ли ожидать более удобного отчета для парсинга? Например в XML

[kostich]

Стоит ли ожидать более удобного отчета для парсинга? Например в XML

 

забыл :( ... сейчас сделают.

[kostich]

такой xml и json устроит?

[kostich]

ну вот... http://stopddos.ru/current/ может кто-то центр управления сеткой глянуть?

[bitbucket]

ну вот... http://stopddos.ru/current/ может кто-то центр управления сеткой глянуть?

Поздно уже... Ты бы сразу письмо присылал по факту ддоса - тогда бы можно было посмотреть, а с задержкой 2-3 часа уже нечего ловить.

[kostich]

•Страна: Others (172495 IPs)•Unknown Unknown (172495 IPs) txt xml json

 

какую-то фигню на нас тестили, почти 200к онлайн ботов... ух чую скоро опять будет что-то в р-не 100гиг на кого.

[kostich]

Привет, ромашки. Кидайте деньги. Читайте книжки. Дурной мальчишка. Ушёл. Такая фишка.

 

вернулся сцуко, слов нету. суммарное кол-во айпишек участвующих в атаке скоро приблизится к полумиллиону. да, я без всяких там преукрасов. пока еще точно не разобрались, боты это или какието плагины/надстройки/кодеки под определенные версии браузеров, но то что оно вваливает валидное HTTP эпизодически более чем с 300k ip само по себе уже занятно. первая мысль была такая, что эта какая-то фишка с TDS-ов или соц. сетей. может в какой-то массовой игрушке какую-то бяку вставили... х.з... когда оно больше чем с 300k ip начало долбить особо не верится в ботнет. сайтик тот только у нас и отбивается, но не ясно почему они UDP/ICMP флуд не включают... может быть не могут, это к версии о каких-то браузерных фишках. это не iframe атаки с зачисткой referer, т.к. у нас они определяются хорошо... что-то новенькое, т.е. абонент флудит непереставая.

 

из РФ только 46 IP

 

•CORBINA-AS AS8402 (6 IPs) dump

•SIBIRTELECOM-AS AS41440 (4 IPs) dump

•COMSTAR AS8359 (3 IPs) dump

•ALFACOM-AS AS49641 (2 IPs) dump

•ASN-SPBNIT AS8997 (2 IPs) dump

•SCARTEL-AS AS47395 (2 IPs) dump

•TI-AS AS12714 (2 IPs) dump

•TKTOR AS44270 (2 IPs) dump

•EXTRIM-AS AS12668 (1 IPs) dump

•ERTH-PENZA-AS AS41754 (1 IPs) dump

•STARLINK-AS AS34602 (1 IPs) dump

•AISTNET AS8439 (1 IPs) dump

•MR-SIB-MTSAS AS28884 (1 IPs) dump

•ASN-MGTS-USPD AS25513 (1 IPs) dump

•ASN-YARTELECOM AS13118 (1 IPs) dump

•IV-TELECOM-AS AS47241 (1 IPs) dump

•PFES AS12705 (1 IPs) dump

•ERTH-NNOV-AS AS42682 (1 IPs) dump

•MVMTECH-AS AS41349 (1 IPs) dump

•SU29-AS AS29124 (1 IPs) dump

•INTERSVYAZ-AS AS8369 (1 IPs) dump

•CTCNET-AS AS25515 (1 IPs) dump

•CIFRACOM-AS AS50740 (1 IPs) dump

•INFORM-SYSTEMY-I-TECHNOLOGII-AS AS16323 (1 IPs) dump

•TIS-DIALOG-AS AS31214 (1 IPs) dump

•TATTELECOM-AS AS28840 (1 IPs) dump

•RU-CTSRND-AS AS6767 (1 IPs) dump

•ROSINTEL-AS AS24689 (1 IPs) dump

•INTERPRO-AS AS49291 (1 IPs) dump

•ER-TELECOM-AS AS12768 (1 IPs) dump

•ANTENNA-GARANT-AS AS44895 (1 IPs) dump

 

если кто в наглую может посмотреть по нетфлоу где они этого бешенства обожрались, то более детальную статистику можем предоставить. в /current/ суммарная, я из отдельного отчета по автономкам выкусил... позже еще свежее по RU посмотрим. интерисует конкретно деталка абонентов, лучше конечно флоу, но может и аккаунтинг. можем рассказать что посмотреть надо.

 

•Страна: Others (415743 IPs)•Unknown Unknown (415743 IPs) txt xml json

 

в Others у нас всё что не RIPE. по тексту запросов и сигнатурам можно у поляков глянуть, к примеру тут -> http://stopddos.ru/current/as-PL-AS44176-dump.txt ... забавно что там язык в браузерах французский... точнее он либо en-us, либо fr. причем с каждого IP участвующего в атаке подрандоммливается в небольшом диаппазоне язык, версия браузера, accept... на больших хорошо видно -> http://stopddos.ru/current/as-PL-AS29314-dump.txt ... алилуя полная в общем.

 

пысы. веселья мало

[SSD]

Траф африкансий, раз льют его в больших количествах видимо он полное Г. Что не пробила связка, сливают на вас. Как наберут нормально количество ботов пойдет уже другая атака.

[kostich]

А нам пока пофигу... стата только подглюкивает. В стате уже под 780к айпишек отсветило... скоро апдейт будет... но надо искать контрол-центер, потому как если UDP включат опять гиг 100 будет... или больше :)

[kostich]

да, это, на графике кол-во IP хитрых http флудильников в пакетнике :)

[kostich]

Хм, а как вы головы ботнетов тогда отлавливаете

 

добрые люди с этого форума в наглую анализируют поведение своих абонов относительно инфы на stopddos.ru и блочат у себя/сливают нам головы. так же они вносят инфу в IDSы свои и вынимают там новых абонов, которых надо оповестить и почистить.

[kostich]

пятничная тема в самом разгаре

 

=== Time: 2011-08-12T15:38:29+0400 IP: 84.111.119.213:26120 Server: [hidden] Length: 204 Redirect: [hidden] ===

GET /ru/info/personnel/main/ HTTP/1.0

Host: www.yota.ru

Keep-Alive: 300

Connection: keep-alive

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20

[kostich]

если кому интересно, то зафиксирован первый ботик с нормальной эмуляцией жабаскрипта... отчетик по атаке тут -> http://stopddos.ru/grimuar.info/

[vIv]

/уЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхъуЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхърьёЄъруёЄъЁурёЄєую°ўё№єЁЄуръёЄъэьшёъэЁуЄёруєёЄєъэрЁушяёшярёЄърёъ°ўєёюўуърёрюъэьЁёърюёўъру8ўёюєутўёюЁърэьЁюърёыўюєутёюьЁёюъруёыъруёЁюр7эёЁюъруЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхърьёЄъруёЄъЁурёЄєую°ўё№єЁЄуръёЄъэьшёъэЁуЄёруєёЄєъэрЁушяёшярёЄърёъ°ўєёюўуърёрюъэьЁёърюёўъру8ўёюєутўёюЁърэьЁюърёыўюєутёюьЁёюъруёыъруёЁюр7эёЁюъру8ёюрэьЁёэях7ьюъруёюърЁуююуъёюъу8рюё8уърюю5яр8уёрюу8ъэюЁё7эъхЁёъюэърЁёэхЁ7эъЁюёэ7ъЁюёэ7Ёу8ёюрэьЁёэях7ьюъруёюърЁуююуъёюъу8рюё8уърюю5яр8уёрюу8ъэюЁё7эъхЁёъюэърЁёэхЁ7эъ

 

А что это за хрень они спрашивают?

[kostich]

А что это за хрень они спрашивают?

 

х.з... у ботовода обдолбанного спросить надо. он мож в админку чо закопипастил и не посмотрел. а в клипешнике текст какой был :)