| 1.1, Swap (?), 10:18, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
примерно в это же время (21 января) начали досить еще один популярный сайт, характер флуда и порты совпадает с описанными в статье, что наводит на мысль а массовости атаки.
Была обнаружена одна из хакнутых машин с RA и полным набором флудпрограм, в данный моент пытаемся найти конфиги чтобы узнать какие именно айпи (или диапазоны) досились.
Если у кого-то (или у знакомых) теже проблемы, может объединим усилия? | | |
| |
| 2.3, schors (?), 10:33, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
 Да, скорее всего. У нас имеются материалы, говорящие о том, что в список атакуемых входили и другие сайты. Сейчас идёт активная переписка с http://www.famatech.com . Естественно, проводятся мероприятия по отслеживанию предполагаемого распространителя. Например, есть версия, что обновления троянов происходят автоматически, посредтсвом канала IRC.
| | |
|
| 1.2, magopennet (?), 10:33, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Ну этого вообщето следовало ожидать, некоторое
время назад пробегала ссылка, на изьян в MS линейке OS.
В ссылке подробно описывалась возможность,
без "root"-вых привилегий оперировать raw-socket'ом.
А уж с помощью чего получили доступ на MS машинку
это вторично. | | |
| 1.4, Swap (?), 10:49, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
самое интересное как мне кажется вот что:
ресурсы флудятся случайным образом многими людьми поотдельности или какким-то образов выбрали именно данные сайты... надо найти что-либо общее и отталкиваться от этого. | | |
| |
| |
| 3.10, stricty (?), 11:25, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
 Да уж... Эти, видимо, вовремя камлание не заказали и обкуривали стойку не теми травами... | | |
|
|
| 1.7, deepred (?), 11:01, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16
Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26
Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51
Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 21 | | |
| |
| |
| 3.18, deepred (?), 12:46, 20/02/2004 [^] [^^] [^^^] [ответить] | +/– | Я ведь не с потолка это взял Вот пример tracert ftp asplinux ru с одного из мои... большой текст свёрнут, показать | | |
| |
| 4.20, magopennet (?), 13:08, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
ftp.asplinux.ru похоже на полке, его
соседи таких задержек не испытывают, но все равно
спасибо, чейчас проанализируем характер их трафика. | | |
|
|
|
| 1.8, stricty (?), 11:01, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А я предлагаю начать ловить в своих сетях людей с IP 255 и смотреть откуда они эту мерзость взяли. Не вижу, зачем бы обычному человеку использовать IP 255.
Windows must die! (c) ? *:) | | |
| 1.11, Swap (?), 11:25, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>А я предлагаю начать ловить в своих сетях людей >с IP 255 и смотреть откуда они эту мерзость >взяли. Не вижу, зачем бы обычному человеку >использовать IP 255.
ты думаешь что на обычном айпи отличным от 255 этого гамна быть не может? что-то я сумлеваюсь.... | | |
| |
| 2.12, stricty (?), 11:39, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– | |
Ты не понял. И невнимательно читал саму новость. Имелось ввиду - пакеты IP с кодом протокола 255. Такого нет, код зарезервирован. Судя по описанию - это подпись данной атаки.
Надо понимать, что в этом случае IP:PROTO=255 используется атакующими для гарантированного ответа сервера, когда на нём запрещены входящие ICMP и все порты tcp и udp представляют собой "чёрные дыры". Чтобы не атаковать основным потоком пустоту. | | |
|
| 1.13, magopennet (?), 11:45, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати, а Remote Admin, коллеги, может быть
это не дыра, а последствия того, что человек
который им пользуется подцепил черьвя MyDoom'овской серии с последующей
"кражей" параметров доступа на Remote Admin?
| | |
| |
| 2.14, schors (?), 12:10, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– | |
Может быть. Если бы не тот факт, что на некоторых машинах и firewall стоял, и антивирус Касперского и даже Нортоновский антивирус. Хотя, тоже не факт. Но уж очень характерно ОБЯЗАТЕЛЬНОЕ нахождение radmin'а. | | |
| |
| 3.15, magopennet (?), 12:14, 20/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
Может просто научиличь "pwl"-ку от RA клиента декриптовать?
Я почему вспомнил о подобном трюке, у нас так
несколько виртуальщиков начали спам рассылать - свиснули
у них сохраненные на машине пароли (или с клавы соснифирили),
выложи скриптик, списки и давай спамить.
Блого вовремя заметили, перед тем как начать рубить шашкой
клиентов.
| | |
|
|
| 1.17, fREE (?), 12:39, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-((( | | |
| |
| 2.87, errr (?), 04:17, 24/02/2004 [^] [^^] [^^^] [ответить]
| +/– | |
если устанвлена nt-аутентификация, то радмин сначала пытается отправить текущие логин и пароль, и если они совпадают с теми что на сервере, то больше вопросов и не задается ж) | | |
|
| 1.21, Nick Scherbina (?), 13:58, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Кстати, об Radmin... Пароль храниться в ветке HKLM\SYSTEM\RAdmin\v2.0\server\parametrs\parametr
Эта ветка по умолчанию никакими правами не урезается, сервис Remote Registry по умолчанию работает (кстати, некоторые вещи без этого сервиса не работают вобще в win32), так что цепляемсся к IPC$, обнуляем ключик реестра, пароль сбрасывается. Дальше объяснять? | | |
| |
| 2.95, ssoodd (?), 13:36, 26/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
"...Эта ветка по умолчанию никакими правами не урезается.."
Урезается. Смотри пермишены внимательно.
А применительно к ситуации: радмин - да, а вот IPC# врядли кому в голову придет в мир выставлять... | | |
|
| 1.23, Аноним (23), 09:16, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-((("
Не забывай блокировать консоль сервера просто :) | | |
| |
| 2.24, Merlin (?), 13:31, 21/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
 радмином можно не только доступ к экрану получить но и ко всем файлам. так что запароленная консоль на спасает. | | |
|
| 1.25, Аноним (23), 22:25, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В данное время такой флуд-атаке постоянно подвергаются следующие интернет ресурсы: masterhost.ru, peterhost.ru, cracklab.borda.ru, wzor.net, reversing.net, wasm.ru.
Есть мнение что это дело рук одного человека. Существует некая взаимосвязь между всеми этими атаками и неким молодым человеком из Эстонии.
| | |
| 1.27, anest (?), 01:47, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Скажите - а на ваших серверах которые счас досят - есть ФОРУМы ?
вопрос важен так как если всё сойдется то я знаю кто устраивает эти атаки.
| | |
| 1.29, a (?), 02:03, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Anest, причём здесь форумы, если DDOS'ят, например, peterhost то на нём куча сайтов хостится и почти у каждого свой форум. Мы все догадываемся чьи это проделки, на некоторых форумах он прямо написал что это придумал он, но как его достать? | | |
| 1.36, permont (?), 06:55, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Gospoda, prostite ne specialista. Kak ya ponyal iz obsujdeniya, ispolzowalsya protokol gruppi IP s nomerom 255. Dlya kakih libo shiroko izwestnih i primenyaemih celei on, na skolko ya mogu sudit, ne primenyaetsya. Pochemu nelzya nastroit filtraciju na routerah dlya podawleniya paketow dannogo protokola? | | |
| 1.37, Аноним (23), 12:56, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>ходил он раньше с адреса эстонского кабельного провайдера (он у них один большой)
что за глупость, их минимум 3, кто занимается кабельным инетом, а тот что самый большой вообще кабельным инетом не занимается. | | |
| |
| 2.38, глупый (?), 17:52, 22/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
>что за глупость, их минимум 3, кто занимается кабельным инетом, а тот
>что самый большой вообще кабельным инетом не занимается.
Говорить кому-то что тот глупый - это и есть настоящая глупость ;-)
| | |
|
| 1.41, ЕА (?), 13:42, 23/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Самое страшное, то что "только начало" в заголовке вполне раально.
Анонимность и безнаказанность - еще долго будут атрибутами интернета.
Даже если появится законодательный базис.
Мне не понятно, предположим, как законодательно воздействовать и доказать виновность преступника из какой нибудь африканской страны, организовавшего атаку через цепочку proxy на завирусенных машинах, причем все эти машиныы и атакуемый объект
в разных странах. Не доросло еще международное право до этого. Еще страшнее, что особой квалификации для подобного скрытия следов не требуется.
Проекты по введению сигнатуры личности отправителя в каждый пакет, вообще нелепость, такую сигнатуру подделать проще обычного IP.
| | |
| |
| 2.42, anest (?), 16:35, 23/02/2004 [^] [^^] [^^^] [ответить]
| +/– | |
Возможно что-то решится к лучшему с переходом (не за горами уже) на протокол TCP/IP v6. Думается что в нём учли ошибки/недочеты протоколов прошлого века.
| | |
| |
| |
| 4.102, anest (?), 16:36, 28/02/2004 [^] [^^] [^^^] [ответить]
| +/– |
Ну v6 вроде еще в стадии "тестирования" так что думаю рано еще выводы делать.. хотя..
вот что счас подумал - все только охают и ахают. а делать никто ничего не хочет. а кто нам мешает организовать открытый проект по устранению этих недочетов в протоколах например? ;) всё ведь в исходниках... повесить на сайт список недочетов (и желаемых фич) с возможностью добавления любым желающим пунктов в список. и подтянуть народ (а я думаю заинтерисованных найдется немало. в том числе и талантливых). и начать работать над этим списком. а когда будет результат - наверняка его уже не смогут проигнорировать те кто принимает решения наверху. ведь все будут только в выигрыше. и возможно что получится переход запланированный в будущем не на v.6 а сразу на "улучшенный 6.2" ;-) как вам идея?
| | |
| |
| 5.115, Gregory (?), 14:38, 13/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
To anest:
v6 - dostatochno zrelii protocol s izvetnimi implementaciyami. S drugoi storoni sama architectura ineta (i IP protocola) predpolagaet raspredelennoe dvizheniye paketov. Esli vi pereidete k kontroliruemomu dvizheniyu paketov togda vsuy mirovuyu struktury seti pridetsya menyat' - zadacha myagko govorya slozhnaya.
Na samom dele, ryad filtrov mozhet stoyat' na 'network access points' krupnih provider-ov obespechivayushih marshrutizaciyu setei. Krome togo, bolee bezopasniye OS-i s avtomaticheskoi proverkoi celostnosti, itd, sil'no umen'shat vozmozhnost' virusnogo zarazheniya.
I, konec'no, zakonodatelno - sazhat' nado, chtobi nepovadno bilo.
A vot protocol menyat' - I'm a pessimist. | | |
|
|
|
|
| 1.90, Maxim Chirkov (?), 10:45, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Господа, прошу вести линию обсуждения более цивилизованно и достойно.
Не стоит отпускаться до призывов к самосуду, угроз, оскорблений и провоцирования продолжения DDoS атак.
| | |
| 1.91, avial (?), 13:16, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хм. А если без намеков - можно сказать, кто это?
Или ссылку дать на форумы, где он "высказывался". | | |
| 1.92, kOSts (?), 20:06, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Subj конца замечательной программы Remote Administrator.
Хотел я было поставить её, но теперь уж поставил Symantec. Я не агитирую, я призываю к осторожности.
Надеюсь все поступят по совести...
Можно конечно и хостинги поменять, но пока, тьфу тьфу трафик дышит.
Наверно скоро к пассивной защите собственных ресурсов добавится и активная защита - извещение админов систем и/или полу-автоматический удалённый доступ с принудитеным отключением-лечением-форматированием.
Кто за? Все!?
Дело за малым - написать "лечащий" вирус...
и сбросить в Spam сеть
| | |
| 1.97, Артур Бойко (?), 18:31, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Здравствуйте !
Хочу сообщить Вам всем что RAdmin одна из наиболее защищенных програм. В смысле попыток ее сломать. Аргументы : равботнички из фирм Касперского и Данилова уже 4 день не могут понять принцеп ее работы - и эти люди кричат на каждом углу о том что они вас зщищают. ПОЗОР !!!!!!!
Подробности можно прочитать на forum.ru-board.com в разделе варез не покупайте их программы - они такие же лживые как и они !!!!!!!!! | | |
| 1.99, Аноним (23), 22:48, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Артур Бойко
Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел | | |
| |
| 2.100, helper (?), 23:00, 27/02/2004 [^] [^^] [^^^] [ответить]
| +/– | |
уже всё везде почистили :-)
>Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
>
| | |
|
| 1.105, Аноним (23), 14:44, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Я не знаю как здесь вы смотрите на новые дыры и експолиты но пользователи моей сети уже довольно давно експлоят ремоут админ. Что самое интересно это второе что они ищут после мсбласта | | |
| 1.107, Solo (?), 16:28, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
можно почитать форум на securitylab.ru
ps. anest, глянь свой ПМ на ру-борде. | | |
| 1.108, Solo (?), 17:29, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
на securitylab.ru раньше видел сообщение о том, что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)
А перегрузить машину можно этим:
http://www.securitylab.ru/42787.html
| | |
| |
| |
| 3.110, Solo (?), 11:08, 02/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
Дело в том, что наш "герой", по-моему, не в состоянии затачивать эксплойты под свои задачи. А взять готовый, перегружающий машину - дело несложное. Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
И я никогда не говорил, что доступ к радмину во времы перезагрузки - это баг радмина. Если он существует, то тут вина MS гораздо большая. Но в радмине это можно было бы подправить, чтоб баг винды на нем не сказывался...
Вообще - все это предположения. Я никогда не видел/не юзал радмина, и не видел логов атакованых машин...
А не флеймить - скучно :)
Но можно и молчать, делая вид, что ничего не происходит :) ... | | |
| |
| 4.113, eof (?), 18:27, 06/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
 Sorry for my translit..
Solo wrote:
---
Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
---
'root shell' pod win - eto "cmd.exe" s visokimi pravami(dopustim, posle uspeshnogo exploit'inga kakogo-nibud' uyazvimogo servisa s visokimi pravami(admin priv, SYSTEM priv...etc)), zabindenniy na opredelenniy port(naprimer, 12345). Na kotoriy mi mojem pri'telnetitsya i poluchit' polniy control nad masninoy:
telnet xxx.xxx.xxx.xxx 12345
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\> | | |
|
|
| 2.111, Ilia Demenkov (?), 12:33, 05/03/2004 [^] [^^] [^^^] [ответить]
| +/– |
 >на securitylab.ru раньше видел сообщение о том, что во время
>перезагрузки компа можно получить беспарольный доступ к
>установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)
Проверили. Пока что ни разу не подтвердилось. Во время shutdown'а удалённого сервера установленный на нём Радмин по-прежнему спрашивает login/password/domain, при вводе неправильных - говорит "User does not have rights for this connection mode" (если до того, как юзер разлогонен) либо "Bad password" (если после того, как юзер разлогонен). Хотелось бы более подробного описания методики обхода авторизации на адрес support@famatech.com. Кому-нибудь удавалось добиться воспроизведения ошибки?
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com). | | |
| |
| 3.112, Solo (?), 23:05, 05/03/2004 [^] [^^] [^^^] [ответить]
| +/– | |
насколько я помню, там еще НТауторити должна быть включена в настройках радмина... | | |
|
|
|
