По остывшим следам

Nov 13, 2012 10:16

Отгремели выборы, отшумели ддос атаки на сайты СМИ. По результатам могу сказать что господа хакеры с прошлого раза несколько усовершествовались и явно выросли в толщину - боты стали более "интеллектуальными" и их стало больше. Осенними вечерами netstat устойчиво показывал 68-100 тыс. соединений на порт HTTP. Также видел как ботнет пытается менять вектор атаки при постановке страницы заглушки вместо главной сайта-жертвы: минут через сорок адрес атаки поменялся на адрес ссылки, статически указанной на странице-заглушке. Видимо зверек освоил простейший разбор получаемой странички. Раньше такого не было (может не включали?). В этот раз много внимания уделялось атакам TCP_SYN flood - на мой серв. шел трафик 3Гбит/сек - реально эффективно, ничего не скажешь.
Мы тоже учимся - сценарии блокирования http ддос с помощью netstat и правил файервола еще раз доказали свою несостоятельность - была разработана более эффективная методика.
Да, кстати, повторюсь: веб-сервер Nginx рУлит - его производительность позволила вместо "тяжелой" главной страницы сайта выставить статическую страницу-заглушку с вшитым javascript, перебрасывающим добропорядочного пользователя на шифрованный адрес, (где собственно и показывалась лента новостей) и держать нагрузку. Собс-но, после этого введения атака переключилась на SYN flood и держалась несколько дней. (Теперь есть у меня идея как можно справится и с этим.)
Антидос конторы, с которыми успел познакомится, впечатляют не только шириной каналов но и ценами тоже. Самое разумное что видел: 300 у.е. за защиту в течении месяца. Оплата, впрочем, не менее чем за месяц. Дороговато, как для для защиты областного ньюспортала, имхо. Потому ни к кому в итоге не обратились.
nmap скан адресов ботнета показал что большинство ботов - офисные роутеры, DSL модемы, сетевые принтеры и прочие embedded linux девайсы. В сети нашел пару статей об обнаружении червей, заражающих бытовое сетевое оборудование.
Народ, ну защищайте ж вы свои ящики, е-мое, пароли с дефолтных меняйте, что-ли... 99% червей просто делают перебор дефолтных паролей и логинятся в админку устройства, а затем заставляют его скачать тело червя из рассадника.
Интересная, но пока не подтвержденная идея:
Недавно заметил возобновление атаки на сайт, когда на главную вылезла статья с материалом, уже ранее публиковавшимся - теперь дали продолжение. Атака началась после той публикации, а сейчас вяло возобновилась.
Есть у мну мысль что кто-то соорудил робота (анализирующего ленту новостей от яндекса, например) и направляющего атаку на ресурсы, опубликовавшие определенные материалы. Если я прав, то ребята подошли к делу творчески, думаю что и ответ тоже будет "креативным". :)
Да. Фор фан, вот вам адрес одного из ботов: http://75.148.178.20/ пока он доступен и не выдан другому устройству легко убедиться что на 80 порту у него открыта !в интернет! система управления офисного роутера. Пароль подбирать лень, да и червь мог его перегенерировать, а то бы попробовал ресет сделать. Весело, короче.

інтернет

Previous post Next post
Up