UPi lassú, spirális ereszkedése a totális őrületbe
The heat comes down on the operation!
Mindannyiunk kedvenc gépe, az Apocalypse jelenleg egy összehangolt támadás áldozata!
Szóval, már egy jó ideje (értsd: évek óta) rendszeresen előfordul, a következő: valami random zombi gép kapcsolódik az aphoz, és megpróbál SSH-n keresztül belépni. Ehhez a zombi megpróbál egy csomó usernév - jelszó párt. És amikor azt mondom, hogy egy "csomót", azt úgy értem, hogy "párezret". (Hogy pontosan mi célja az ilyen zombitámadásnak, azt pontosan nem tudni, de a tippem az, hogy ez egy meghívás, hogy az apocalypse is legyen ilyen zombi.)
Az ilyen támadások miatt pár éve írtam egy scriptet, ami figyeli a belépési kisérleteket, és ha egy adott gépről háromszor sorozatban sikertelen a belépés, akkor kizárja örökre. (Egyszer meg is szoptam ezzel, amikor angliából próbáltam belépni.) A script sokáig hatékonynak bizonyult, mert a támadó zombik többezer helyett csak hármat próbálkozhattak. Ez pedig eleddig kevésnek bizonyult.
Úgy egy hete változott a támadások jellege:
- egyrészt csak az adminisztrátor (root) jelszót próbálgatják, és
- mindig változó IP címről.
Mi is történik valójában? A válasz egyszerű: egy többszázezer gépből álló botnet igyekszik feltörni az apocalypse adminisztrátor jelszavát. Mindegyik zombi a hálózatból csak egyet próbálkozik egyszerre; de összességében többezer gép így is nagyon sokat tud "tippelni".
Ez ellen az új támadás ellen az eddigi kis scriptem nem bizonyult túl hatékonynak, úgyhogy azt tettem, amit ilyenkor az ember tehet: beállítottam, hogy adminisztrátorként ne lehessen belépni SSH-val.
Aztán néhány napja ismét változott a támadás jellege: szépen, ABC sorrendben mennek végig usernév - jelszó párokon. A fegyverkezési verseny folytatódik...
Hozzászólások
16A szomszédságban
Korábbi bejegyzések
Archívum
- Tartalomjegyzék
- Toplista
- 2018
- 2017
- 2016
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
Descant 2008.V.13 23:49
Ilyesztő velyon ez az egész automatizálva van, vagy csak valakinek nagyon kell az ap?
SAdam 2008.V.14 01:32
Gondolom, inkább automatizálás... Nagyobb szerverek hogyan védekeznek ez ellen?
SAdam 2008.V.14 02:20
Hehe... Szerintem valaki összehangolt támadást intéz az Apocalypse ellen:
http://index.hu/tech/biztonsag/zom130508/
UPi 2008.V.14 09:37
Nem konkrétan az apocalypse a célpont. Ezek automatizált támadások, vélhetően random IP címek ellen.
Nagyobb intézetek, ahol komolyabb periféria hálózat (és ezáltal több támadási pont) van, általában vagy VPN-t építenek ki, vagy port knocking-ot használnak. Ez utóbbit már én is fontolóra vettem.
Descant 2008.V.14 22:32
Az nemtudom mi
SAdam 2008.V.14 23:21
http://en.wikipedia.org/wiki/Port_knocking
Descant 2008.V.15 09:20
Kicsit hülyeségnek hangzik jó sok gépből zombihálózatot csinálni, hogy aztán mégtöbb és mégjobban biztosított gépeket is el tudj foglalni, hogy mégnagyobb zombihálózatod legyen.
UPi 2008.V.15 09:29
Ha csak ez lenne a cél, az tényleg "kicsit hülyeség" lenne. Ez a "kicsit hülyeség" viszont millió dolláros bevételekez hoz.
Egy botnet (a terjeszkedésen kívül) sokmindenre használható, egyebek között az e-mail spam egyik fő forrása, ami, mint ismert, éves szinten 100 MILLIÁRD dollár kárral jár.
További "hasznai" között található a DDOS, a fórumok spammelése, adatlopás, stb. Mindezek a "szolgáltatások" eladók jó pénzért. Komolyan, a gazemberségnek a mesterfoka ez.
SAdam 2008.V.15 10:38
Gondolom, a levelezést és az oldalak nézegetését nem érinti ez a probléma (nem tudom, hogy az SMTP vagy IMAP szerverre való bejelentkezés után tudnak-e onnan továbbmenni, de valahogy nem hiszem, a HTTPn keresztül meg valahogy végképp nem tudom elképzelni, hogy hogy támadnának be). A többire sztem nyugodtan tegyél fel egy port knockingos cuccost, mert sztem elenyésző mennyiségben használja rajtad és Ulmaron kívül bárki is a szerverre belépés opcióját (vagyis mi kibírjuk, ha nem tudjuk a világ bármelyik internetkávézójából azonnal elérni az APot kliensoldali kopogtatószoftver híján), ti meg szerintem meg tudjátok oldani magatoknak, hogy (majdnem) akárhonnan begyertek, ahonnan szükségetek van rá...
UPi 2008.V.15 11:20
Az apot ssh-n való belépésre főleg a startvoxosok használjá.
Csak az IMAP miatt kár lenne az apot felnyomni, az igazi bónusz az lenne, ha ssh-n keresztül sikerülne belépni. (különösen root-ként) Ezért dolgoznak rajta ilyen bőszen.
Descant 2008.V.15 11:29
Én szoktam használni az SSH-t elég rendszeresen, ezt elveszteném a port knokingos megoldással?
Ez a spammelés kinek jó de tényleg? ki az aki azt mondja honnan szerezzek Viagrát? Honnan, HONNAN?? Bárcsak valami gyanús cég ellenőrizetlen forrásból eladna nekem valami ismeretlen hatású szívgyógyszert. KI segít most nekem?
UPi 2008.V.15 11:45
A viagra csak az egyik fajta jövedelmező SPAM. A (papíron) receptes gyógyszerek illegális forgalmazása csak az egyik nagy dobás...
Másik remek üzlet az úgynevezett "pump and dump", aminek lényege az, hogy veszel kurvasokat valamelyik penny stockból, amit normálisan alig kereskednek. Utána szétküldesz egy csomó SPAM-et az adott részvénnyel kapcsolatban, ettől megnő a kereslet brutálisan. Aztán amikor a hullám tetején vagy, akkor persze eladod.
Egyébként a port knocking nem akadályozza meg a legitim SSH-s belépést, csak plusz egy karikán kell átugrani hozzá..
Descant 2008.V.15 13:13
The internet is a series of tubes.
UPi 2008.V.15 13:15
...for porn!
Descant 2008.V.15 13:33
Mekkora karikán kéne átugrani, a szegény SSH-zni vágyónak, ha ezek a változások életbe lépnek, mert igazából abban az volt a jó, hogy bárhonnan elérhető volt.
UPi 2008.V.15 13:38
Vér- vizelet- és spermaminta fog kelleni hozzá.