Mindannyiunk kedvenc gépe, az Apocalypse jelenleg egy összehangolt támadás áldozata!

Szóval, már egy jó ideje (értsd: évek óta) rendszeresen előfordul, a következő: valami random zombi gép kapcsolódik az aphoz, és megpróbál SSH-n keresztül belépni. Ehhez a zombi megpróbál egy csomó usernév - jelszó párt. És amikor azt mondom, hogy egy "csomót", azt úgy értem, hogy "párezret". (Hogy pontosan mi célja az ilyen zombitámadásnak, azt pontosan nem tudni, de a tippem az, hogy ez egy meghívás, hogy az apocalypse is legyen ilyen zombi.)

Az ilyen támadások miatt pár éve írtam egy scriptet, ami figyeli a belépési kisérleteket, és ha egy adott gépről háromszor sorozatban sikertelen a belépés, akkor kizárja örökre. (Egyszer meg is szoptam ezzel, amikor angliából próbáltam belépni.) A script sokáig hatékonynak bizonyult, mert a támadó zombik többezer helyett csak hármat próbálkozhattak. Ez pedig eleddig kevésnek bizonyult.

Úgy egy hete változott a támadások jellege:

  • egyrészt csak az adminisztrátor (root) jelszót próbálgatják, és
  • mindig változó IP címről.

Mi is történik valójában? A válasz egyszerű: egy többszázezer gépből álló botnet igyekszik feltörni az apocalypse adminisztrátor jelszavát. Mindegyik zombi a hálózatból csak egyet próbálkozik egyszerre; de összességében többezer gép így is nagyon sokat tud "tippelni".

Ez ellen az új támadás ellen az eddigi kis scriptem nem bizonyult túl hatékonynak, úgyhogy azt tettem, amit ilyenkor az ember tehet: beállítottam, hogy adminisztrátorként ne lehessen belépni SSH-val.

Aztán néhány napja ismét változott a támadás jellege: szépen, ABC sorrendben mennek végig usernév - jelszó párokon. A fegyverkezési verseny folytatódik...

upload:UPiBlog/botnet.png

Utoljára módosította UPi 2008.V.13 22:13-n
Új hozzászólás | PermaLink
Votes disabled.

Hozzászólások (16)

Descant hozzászólása 2008-05-13 23:49-kor

Ilyesztő velyon ez az egész automatizálva van, vagy csak valakinek nagyon kell az ap?


SAdam hozzászólása 2008-05-14 01:32-kor

Gondolom, inkább automatizálás... Nagyobb szerverek hogyan védekeznek ez ellen?


SAdam hozzászólása 2008-05-14 02:20-kor

Hehe... Szerintem valaki összehangolt támadást intéz az Apocalypse ellen:

http://index.hu/tech/biztonsag/zom130508/


UPi hozzászólása 2008-05-14 09:37-kor

Nem konkrétan az apocalypse a célpont. Ezek automatizált támadások, vélhetően random IP címek ellen.

Nagyobb intézetek, ahol komolyabb periféria hálózat (és ezáltal több támadási pont) van, általában vagy VPN-t építenek ki, vagy port knocking-ot használnak. Ez utóbbit már én is fontolóra vettem.


Descant hozzászólása 2008-05-14 22:32-kor

Az nemtudom mi


SAdam hozzászólása 2008-05-14 23:21-kor


Descant hozzászólása 2008-05-15 09:20-kor

Kicsit hülyeségnek hangzik jó sok gépből zombihálózatot csinálni, hogy aztán mégtöbb és mégjobban biztosított gépeket is el tudj foglalni, hogy mégnagyobb zombihálózatod legyen.


UPi hozzászólása 2008-05-15 09:29-kor

Ha csak ez lenne a cél, az tényleg "kicsit hülyeség" lenne. Ez a "kicsit hülyeség" viszont millió dolláros bevételekez hoz.

Egy botnet (a terjeszkedésen kívül) sokmindenre használható, egyebek között az e-mail spam egyik fő forrása, ami, mint ismert, éves szinten 100 MILLIÁRD dollár kárral jár.

További "hasznai" között található a DDOS, a fórumok spammelése, adatlopás, stb. Mindezek a "szolgáltatások" eladók jó pénzért. Komolyan, a gazemberségnek a mesterfoka ez.


SAdam hozzászólása 2008-05-15 10:38-kor

Gondolom, a levelezést és az oldalak nézegetését nem érinti ez a probléma (nem tudom, hogy az SMTP vagy IMAP szerverre való bejelentkezés után tudnak-e onnan továbbmenni, de valahogy nem hiszem, a HTTPn keresztül meg valahogy végképp nem tudom elképzelni, hogy hogy támadnának be). A többire sztem nyugodtan tegyél fel egy port knockingos cuccost, mert sztem elenyésző mennyiségben használja rajtad és Ulmaron kívül bárki is a szerverre belépés opcióját (vagyis mi kibírjuk, ha nem tudjuk a világ bármelyik internetkávézójából azonnal elérni az APot kliensoldali kopogtatószoftver híján), ti meg szerintem meg tudjátok oldani magatoknak, hogy (majdnem) akárhonnan begyertek, ahonnan szükségetek van rá...


UPi hozzászólása 2008-05-15 11:20-kor

Az apot ssh-n való belépésre főleg a startvoxosok használjá.

Csak az IMAP miatt kár lenne az apot felnyomni, az igazi bónusz az lenne, ha ssh-n keresztül sikerülne belépni. (különösen root-ként) Ezért dolgoznak rajta ilyen bőszen.


Descant hozzászólása 2008-05-15 11:29-kor

Én szoktam használni az SSH-t elég rendszeresen, ezt elveszteném a port knokingos megoldással?

Ez a spammelés kinek jó de tényleg? ki az aki azt mondja honnan szerezzek Viagrát? Honnan, HONNAN?? Bárcsak valami gyanús cég ellenőrizetlen forrásból eladna nekem valami ismeretlen hatású szívgyógyszert. KI segít most nekem?


UPi hozzászólása 2008-05-15 11:45-kor

A viagra csak az egyik fajta jövedelmező SPAM. A (papíron) receptes gyógyszerek illegális forgalmazása csak az egyik nagy dobás...

Másik remek üzlet az úgynevezett "pump and dump", aminek lényege az, hogy veszel kurvasokat valamelyik penny stockból, amit normálisan alig kereskednek. Utána szétküldesz egy csomó SPAM-et az adott részvénnyel kapcsolatban, ettől megnő a kereslet brutálisan. Aztán amikor a hullám tetején vagy, akkor persze eladod.

Egyébként a port knocking nem akadályozza meg a legitim SSH-s belépést, csak plusz egy karikán kell átugrani hozzá..


Descant hozzászólása 2008-05-15 13:13-kor

The internet is a series of tubes.


UPi hozzászólása 2008-05-15 13:15-kor

...for porn!


Descant hozzászólása 2008-05-15 13:33-kor

Mekkora karikán kéne átugrani, a szegény SSH-zni vágyónak, ha ezek a változások életbe lépnek, mert igazából abban az volt a jó, hogy bárhonnan elérhető volt.


UPi hozzászólása 2008-05-15 13:38-kor

Vér- vizelet- és spermaminta fog kelleni hozzá.

Új hozzászólás

 

Alapvető szövegformázás

FormázásWiki formaEredmény
Kövér'''kövér szöveg'''kövér szöveg
Dőlt''dőlt szöveg''kövér szöveg
Előreformázott bekezdés<pre>előreformázott bekezdés</pre>
előreformázott bekezdés
Vízszintes vonás----

Listák

FormázásWiki formaEredmény
Pontozott lista* Lista elem 1
** Lista elem 2
*** Lista elem 3
* Lista elem 4
  • Lista elem 1
    • Lista elem 2
      • Lista elem 3
  • Lista elem 4
Sorrendezett lista# Lista elem 1
## Lista elem 2
### Lista elem 3
# Lista elem 4
  1. Lista elem 1
    1. Lista elem 2
      1. Lista elem 3
  2. Lista elem 4
Definíciós lista; Kifejezés 1 : Leírás 1
; Kifejezés 2 : Leírás 2
Kifejezés 1
Leírás 1
Kifejezés 2
Leírás 2
Táblázatok|| Cella 1 || Cella 2 || Cella 3 ||
|||| Cella 4 || Cella 5 ||
Cella 1Cella 2Cella 3
Cella 4Cella 5

Linkek

FormázásWiki formaEredmény
Külső hivatkozáshttp://google.com/http://google.com/
Külső hivatkozás címkével[http://google.com/ Google]Google
Belső oldal[[ApocalypseKÖZÖS]]ApocalypseKÖZÖS
Belső oldal címkével[[ApocalypseKÖZÖS|Ez egy oldal]]Ez egy oldal
Fotó linkhttps://apocalypse.rulez.org/
Content/Images/down.png
Tagek:
 

ApocalypseKÖZÖS | FrissVáltozások | TémaKatalógus | Index | Térkép | Random Page
Belépés | Regisztrálok
Ez az oldal nem változtatható | Régebbi változatok | Hivatkozásai | Add a kedvenceimhez
Utoljára módosította UPi 2008.V.13 22:13-n