The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: DDoS атака на peterhost и masterhost - это только ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: DDoS атака на peterhost и masterhost - это только ..."  
Сообщение от opennews on 20-Фев-04, 10:18 
В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.

Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая <a target="_blank" href=http://www.peterhost.ru>http://www.peterhost.ru</a> и <a target="_blank" href=http://masterhost.ru>http://masterhost.ru</a>, продолжается по настоящий момент и растёт по мощности со временем.

Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.

По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:

666.exe

rich.exe

ric1.exe

fich.exe

tcpf.exe

udpf.exe

tzpf.exe

tzpy.exe

Все эти программы уже распознаются антивирусом DrWeb (<a target="_blank" href=http://drweb.ru>http://drweb.ru</a>)как вредоносные.

Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (<a target="_blank" href=http://www.famatech.com>http://www.famatech.com</a>), открытая для доступа извне.

Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме

производителя Remote Administrator:

<a target="_blank" href=http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start>http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start</a>


На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:

200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82

Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.

<h3>Комментарии по оптимизации сетевой подсистемы FreeBSD</h3>

Простейшая  команда  "netstat  -w  1" помогла определить мощность атаки, vmstat  показал  чем  занята  атакуемая  машина и что именно её грузит (системная  область, пользовательская область, прерывания). Оказалось,
что 70% - прерывания при мощности входящего потока до 150kps.


На  атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:


options         DEVICE_POLLING
options         HZ=1000


привело к тому, что загрузка сократилась до 30% на прерывания.
Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).

Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.


URL: http://www.securityfocus.com/archive/1/354305/2004-02-16/2004-02-22/0
Новость: http://www.opennet.ru/opennews/art.shtml?num=3424

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Swap on 20-Фев-04, 10:18 
примерно в это же время (21 января) начали досить еще один популярный сайт, характер флуда и порты совпадает с описанными в статье, что наводит на мысль а массовости атаки.
Была обнаружена одна из хакнутых машин с RA и полным набором флудпрограм, в данный моент пытаемся найти конфиги чтобы узнать какие именно айпи (или диапазоны) досились.

Если у кого-то (или у знакомых) теже проблемы, может объединим усилия?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от schors email on 20-Фев-04, 10:33 
Да, скорее всего. У нас имеются материалы, говорящие о том, что в список атакуемых входили и другие сайты. Сейчас идёт активная переписка с http://www.famatech.com . Естественно, проводятся мероприятия по отслеживанию предполагаемого распространителя. Например, есть версия, что обновления троянов происходят автоматически, посредтсвом канала IRC.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от magopennet email on 20-Фев-04, 10:33 
Ну этого вообщето следовало ожидать, некоторое
время назад пробегала ссылка, на изьян в MS линейке OS.
В ссылке подробно описывалась возможность,
без "root"-вых привилегий оперировать raw-socket'ом.
А уж с помощью чего получили доступ на MS машинку
это вторично.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Swap on 20-Фев-04, 10:49 
самое интересное как мне кажется вот что:
ресурсы флудятся случайным образом многими людьми поотдельности или какким-то образов выбрали именно данные сайты... надо найти что-либо общее и отталкиваться от этого.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от deepred email on 20-Фев-04, 10:59 
Caravan, кстати, не задели случаем?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от magopennet email on 20-Фев-04, 11:23 
Пока, бог миловал.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от stricty email on 20-Фев-04, 11:25 
Да уж... Эти, видимо, вовремя камлание не заказали и обкуривали стойку не теми травами...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от deepred email on 20-Фев-04, 11:00 
А то похоже www.linuxnews.ru уже начал заваливаться...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от deepred email on 20-Фев-04, 11:01 
Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26

Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 21

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от michelle on 20-Фев-04, 12:15 
12:14 Московского времени - сервер www.linuxnews.ru работет
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от deepred email on 20-Фев-04, 12:46 
Я ведь не с потолка это взял. Вот пример tracert ftp.asplinux.ru с одного из моих серваков.

[skipped]
  3    47 ms    62 ms    47 ms  fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
  4    47 ms    62 ms    63 ms  ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
  5    47 ms    62 ms    47 ms  fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
  6    47 ms    62 ms    47 ms  fe62-core0-sav.vln.telecom.lt [212.59.7.202]
  7    63 ms    78 ms    62 ms  s-b3-pos10-0.telia.net [213.248.101.125]
  8    62 ms    63 ms    78 ms  teliasonera-01842-s-b4.c.telia.net [213.248.78.246]
  9    62 ms    78 ms    78 ms  192.130.130.133
10    93 ms    94 ms    94 ms  193.227.225.162
11    94 ms    94 ms    93 ms  mj-pos12-0.sonera.ru [217.74.128.2]
12    94 ms    93 ms    94 ms  vlan30-ge5-1.m9-3.caravan.ru [217.74.128.126]
13  1437 ms  1485 ms  1468 ms  ftp.asplinux.ru [212.24.38.150]

Это LOR.

[skipped]
  3    47 ms    63 ms    47 ms  fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
  4    47 ms    63 ms    62 ms  ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
  5    47 ms    62 ms    47 ms  fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
  6    47 ms    62 ms    63 ms  212-59-21-149.telecom.lt [212.59.21.149]
  7    78 ms    78 ms    94 ms  sl-gw10-sto-2-3.sprintlink.net [80.77.97.65]
  8    93 ms   110 ms   109 ms  sle-golde6-1-0.sprintlink.net [80.77.97.86]
  9    94 ms   109 ms   109 ms  dr25-jcr-0.moscow.gldn.net [194.67.17.83]
10    94 ms   109 ms   109 ms  81.211.6.246
11   110 ms    93 ms   109 ms  unreachable [217.76.33.169]
12    94 ms   125 ms   125 ms  linuxhacker.ru [217.76.32.60]

А вот что говорит Opera при попытке открыть сайт на титульной странице. Время 11:37 GMT+2 (12:37 GMT+3). Вчера ещё работало. Форум вроде пашет.

Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26

Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51

Вот так. Хотя может я зря беспокоюсь, может это всё моё больное воображение, а может просто ошибка на серваке.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от magopennet email on 20-Фев-04, 13:08 
ftp.asplinux.ru похоже на полке, его
соседи таких задержек не испытывают, но все равно
спасибо, чейчас проанализируем характер их трафика.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от stricty email on 20-Фев-04, 11:01 
А я предлагаю начать ловить в своих сетях людей с IP 255 и смотреть откуда они эту мерзость взяли. Не вижу, зачем бы обычному человеку использовать IP 255.

Windows must die! (c) ? *:)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Swap on 20-Фев-04, 11:25 
>А я предлагаю начать ловить в своих сетях людей >с IP 255 и смотреть откуда они эту мерзость >взяли. Не вижу, зачем бы обычному человеку >использовать IP 255.

ты думаешь что на обычном айпи отличным от 255 этого гамна быть не может? что-то я сумлеваюсь....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от stricty email on 20-Фев-04, 11:39 
Ты не понял. И невнимательно читал саму новость. Имелось ввиду - пакеты IP с кодом протокола 255. Такого нет, код зарезервирован. Судя по описанию - это подпись данной атаки.

Надо понимать, что в этом случае IP:PROTO=255 используется атакующими для гарантированного ответа сервера, когда на нём запрещены входящие ICMP и все порты tcp и udp представляют собой "чёрные дыры". Чтобы не атаковать основным потоком пустоту.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от magopennet email on 20-Фев-04, 11:45 
Кстати, а Remote Admin, коллеги, может быть
это не дыра, а последствия того, что человек
который им пользуется подцепил черьвя MyDoom'овской серии с последующей
"кражей" параметров доступа на Remote Admin?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от schors email on 20-Фев-04, 12:10 
Может быть. Если бы не тот факт, что на некоторых машинах и firewall стоял, и антивирус Касперского и даже Нортоновский антивирус. Хотя, тоже не факт. Но уж очень характерно ОБЯЗАТЕЛЬНОЕ нахождение radmin'а.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от magopennet email on 20-Фев-04, 12:14 
Может просто научиличь "pwl"-ку от RA клиента декриптовать?
Я почему вспомнил о подобном трюке, у нас так
несколько виртуальщиков начали спам рассылать - свиснули
у них сохраненные на машине пароли (или с клавы соснифирили),
выложи скриптик, списки и давай спамить.
Блого вовремя заметили, перед тем как начать рубить шашкой
клиентов.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "rAdmin"  
Сообщение от fREE on 20-Фев-04, 12:39 
Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-(((
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

87. "rAdmin"  
Сообщение от errr on 24-Фев-04, 04:17 
если устанвлена nt-аутентификация, то радмин сначала пытается отправить текущие логин и пароль, и если они совпадают с теми что на сервере, то больше вопросов и не задается ж)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от stricty email on 20-Фев-04, 12:55 
Понеслась тема!! *:)

http://www.famatech.com/support/forum/read.php?FID=11&TID=5828

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Nick Scherbina email on 20-Фев-04, 13:58 
Кстати, об Radmin... Пароль храниться в ветке HKLM\SYSTEM\RAdmin\v2.0\server\parametrs\parametr

Эта ветка по умолчанию никакими правами не урезается, сервис Remote Registry по умолчанию работает (кстати, некоторые вещи без этого сервиса не работают вобще в win32), так что цепляемсся к IPC$, обнуляем ключик реестра, пароль сбрасывается. Дальше объяснять?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

95. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от ssoodd on 26-Фев-04, 13:36 
"...Эта ветка по умолчанию никакими правами не урезается.."
Урезается. Смотри пермишены внимательно.
А применительно к ситуации: радмин - да, а вот IPC# врядли кому в голову придет в мир выставлять...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "К вопросу о DOS атаках через Radmin"  
Сообщение от Maxim Chirkov email on 20-Фев-04, 15:11 
Заключение Famatech LLC по поводу возможной уязвимости Radmin:
  http://www.opennet.ru/opennews/art.shtml?num=3429

В основную ветку новостей помещать не стал, так как не подпадает под тематику opennet.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 21-Фев-04, 09:16 
"Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-((("

Не забывай блокировать консоль сервера просто :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Merlin email on 21-Фев-04, 13:31 
радмином можно не только доступ к экрану получить но и ко всем файлам. так что запароленная консоль на спасает.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

96. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Ilia Demenkov email on 27-Фев-04, 15:44 
>Может кому это будет интересно: решив как-то на днях "зайти к себе
>на работу" используя RAdmin Viever 3.0 BETA (скачав и установив
>на чистую клиентскую машину) - я чуть со стула не упал когда
>БЕЗ всякой авторизации попал на сервер

Значит, Вы смогли подключиться с правами текущего пользователя. Это если на в удалённом Ramdin Server`е была включена NT-авторизация.

Или на удалённой машине был установлен пустой пароль Ramdin Server`а. Это если на в удалённом Ramdin Server`е была включена собственная авторизация.

То, что В ПРИНЦИПЕ пользователю позволено установить пустой пароль - это конечно, неправильно. И Radmin Server 3.0 этого позволять не будет. Но тут важно не доводить заботу о пользователе до абсурда - а то получится как в Windows Server 2003.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 21-Фев-04, 22:25 
В данное время такой флуд-атаке постоянно подвергаются следующие интернет ресурсы: masterhost.ru, peterhost.ru, cracklab.borda.ru, wzor.net,  reversing.net, wasm.ru.
Есть мнение что это дело рук одного человека. Существует некая взаимосвязь между всеми этими атаками и неким молодым человеком из Эстонии.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

26. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от gonza on 21-Фев-04, 22:59 
как и чем, помогает человекам.. хостинг.. на уиндовсе?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

27. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от anest email on 22-Фев-04, 01:47 
Скажите - а на ваших серверах которые счас досят - есть ФОРУМы ?
вопрос важен так как если всё сойдется то я знаю кто устраивает эти атаки.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

29. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от a on 22-Фев-04, 02:03 
Anest, причём здесь форумы, если DDOS'ят, например, peterhost то на нём куча сайтов хостится и почти у каждого свой форум. Мы все догадываемся чьи это проделки, на некоторых форумах он прямо написал что это придумал он, но как его достать?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

36. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от permont email on 22-Фев-04, 06:55 
Gospoda, prostite ne specialista. Kak ya ponyal iz obsujdeniya, ispolzowalsya protokol gruppi IP s nomerom 255. Dlya kakih libo shiroko izwestnih i primenyaemih celei on, na skolko ya mogu sudit, ne primenyaetsya. Pochemu nelzya nastroit filtraciju na routerah dlya podawleniya paketow dannogo protokola?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

37. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 22-Фев-04, 12:56 
>ходил он раньше с адреса эстонского кабельного провайдера (он у них один большой)
что за глупость, их минимум 3, кто занимается кабельным инетом, а тот что самый большой вообще кабельным инетом не занимается.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

38. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от глупый on 22-Фев-04, 17:52 
>что за глупость, их минимум 3, кто занимается кабельным инетом, а тот
>что самый большой вообще кабельным инетом не занимается.

Говорить кому-то что тот глупый - это и есть настоящая глупость ;-)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

41. "это только начало..."  
Сообщение от ЕА on 23-Фев-04, 13:42 
Самое страшное, то что "только начало" в заголовке вполне раально.

Анонимность и безнаказанность - еще долго будут атрибутами интернета.
Даже если появится законодательный базис.

Мне не понятно, предположим, как законодательно воздействовать и доказать виновность преступника из какой нибудь африканской страны, организовавшего атаку через цепочку proxy на завирусенных машинах, причем все эти машиныы и атакуемый объект
в разных странах. Не доросло еще международное право до этого. Еще страшнее, что особой квалификации для подобного скрытия следов не требуется.

Проекты по введению сигнатуры личности отправителя в каждый пакет, вообще нелепость, такую сигнатуру подделать проще обычного IP.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

42. "это только начало..."  
Сообщение от anest email on 23-Фев-04, 16:35 
Возможно что-то решится к лучшему с переходом (не за горами уже) на протокол TCP/IP v6. Думается что в нём учли ошибки/недочеты протоколов прошлого века.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

44. "это только начало..."  
Сообщение от stricty email on 23-Фев-04, 16:46 
Почитай спецификацию - увидишь... :(


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

102. "это только начало..."  
Сообщение от anest email on 28-Фев-04, 16:36 
Ну v6 вроде еще в стадии "тестирования" так что думаю рано еще выводы делать.. хотя..
вот что счас подумал - все только охают и ахают. а делать никто ничего не хочет. а кто нам мешает организовать открытый проект по устранению этих недочетов в протоколах например? ;) всё ведь в исходниках... повесить на сайт список недочетов (и желаемых фич) с возможностью добавления любым желающим пунктов в список. и подтянуть народ (а я думаю заинтерисованных найдется немало. в том числе и талантливых). и начать работать над этим списком. а когда будет результат - наверняка его уже не смогут проигнорировать те кто принимает решения наверху. ведь все будут только в выигрыше. и возможно что получится переход запланированный в будущем не на v.6 а сразу на "улучшенный 6.2" ;-) как вам идея?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

115. "это только начало..."  
Сообщение от Gregory on 13-Мрт-04, 14:38 
To anest:

v6 - dostatochno zrelii protocol s izvetnimi implementaciyami. S drugoi storoni sama architectura ineta (i IP protocola) predpolagaet raspredelennoe dvizheniye paketov. Esli vi pereidete k kontroliruemomu dvizheniyu paketov togda vsuy mirovuyu struktury seti pridetsya menyat' - zadacha myagko govorya slozhnaya.

Na samom dele, ryad filtrov mozhet stoyat' na 'network access points' krupnih provider-ov obespechivayushih marshrutizaciyu setei. Krome togo, bolee bezopasniye OS-i s avtomaticheskoi proverkoi celostnosti, itd, sil'no umen'shat vozmozhnost' virusnogo zarazheniya.

I, konec'no, zakonodatelno - sazhat' nado, chtobi nepovadno bilo.

A vot protocol menyat' - I'm a pessimist.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

90. "Часть треда удалена."  
Сообщение от Maxim Chirkov email on 24-Фев-04, 10:45 
Господа, прошу вести линию обсуждения более цивилизованно и достойно.
Не стоит отпускаться до призывов к самосуду, угроз, оскорблений и провоцирования продолжения DDoS атак.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

91. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от avial email on 24-Фев-04, 13:16 
Хм. А если без намеков - можно сказать, кто это?
Или ссылку дать на форумы, где он "высказывался".
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

93. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от fREE on 25-Фев-04, 13:45 
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID=5805&MID=707
Практически открытый шанаж/угроза в адрес www.famatech.com.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

92. "DDoS атака на peterhost и masterhost - это только начало..."  
Сообщение от kOSts email on 24-Фев-04, 20:06 
Subj конца замечательной программы Remote Administrator.
Хотел я было поставить её, но теперь уж поставил Symantec. Я не агитирую, я призываю к осторожности.
Надеюсь все поступят по совести...
Можно конечно и хостинги поменять, но пока, тьфу тьфу трафик дышит.

Наверно скоро к пассивной защите собственных ресурсов добавится и активная защита - извещение админов систем и/или полу-автоматический удалённый доступ с принудитеным отключением-лечением-форматированием.
Кто за? Все!?
Дело за малым - написать "лечащий" вирус...
и сбросить в Spam сеть

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

94. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Евгений email on 25-Фев-04, 19:21 
Все конечно грустно... но наш проект все же уйдет от петерхоста...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

97. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Артур Бойко email on 27-Фев-04, 18:31 
Здравствуйте !

Хочу сообщить Вам всем что RAdmin одна из наиболее защищенных програм. В смысле попыток ее сломать. Аргументы : равботнички из фирм Касперского и Данилова уже 4 день не могут понять принцеп ее работы - и эти люди кричат на каждом углу о том что они вас зщищают. ПОЗОР !!!!!!!

Подробности можно прочитать на forum.ru-board.com в разделе варез не покупайте их программы - они такие же лживые как и они !!!!!!!!!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

99. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 27-Фев-04, 22:48 
Артур Бойко
Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

100. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от helper email on 27-Фев-04, 23:00 
уже всё везде почистили :-)

>Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
>


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

101. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Артур Бойко email on 28-Фев-04, 12:18 
В разделе варезник где про ВЗОР написано. Там есть ссылка на тему про этот разговор.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

104. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 28-Фев-04, 23:33 
Famatech Support по поводу откуда организованы DDoS-атаки на различные Российские сервера и сайты!
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID=6391

Гость ip130.cab20.ltln.starman.ee Создано 22.02.2004 08:23:06
А еще, я нашел в инете r_server с другой иконкой (львом) на сайте с ироглифами.
И прокси сервер(40к) для RAdmina.
как насчет этого?  

Famatech Support

К вашему сведению, именно из этой подсети были вызломаны все компьютеры, которые сейчас ведут DDoS-атаки. О чём как раз и написано на OpenNet.ru. Этот человек не остановится перед прямым враньём, только бы дискредетировать Радмин.

Спараведливости ради отмечу, что r_sever.exe с другой иконкой - вещь более чем реализуемая. Любой человек, умеющий обращаться с программой Restorator, может заменить ресурсы (в т.ч. иконки) любой программы.

С уважением,
Илья Деменков, служба технической поддержки Famatech.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

105. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от Аноним email on 01-Мрт-04, 14:44 
Я не знаю как здесь вы смотрите на новые дыры и експолиты но пользователи моей сети уже довольно давно експлоят ремоут админ. Что самое интересно это второе что они ищут после мсбласта
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

106. "DDoS атака на peterhost и masterhost - это только начало."  
Сообщение от anonymous on 01-Мрт-04, 15:25 
"эксплойтят" каким образом ?? примеры атак пожалуйста, от простых слов уже все устали.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

107. "можно почитать форум на securitylab.ru"  
Сообщение от Solo email on 01-Мрт-04, 16:28 
можно почитать форум на securitylab.ru

ps. anest, глянь свой ПМ на ру-борде.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

108. "уставшим от пустых слов:"  
Сообщение от Solo email on 01-Мрт-04, 17:29 
на securitylab.ru раньше видел сообщение о том, что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

А перегрузить машину можно этим:
http://www.securitylab.ru/42787.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

109. "уставшим от пустых слов:"  
Сообщение от anonymous_from_reversing.net on 02-Мрт-04, 02:03 
Нуу, давайте по порядку:
Во-первых, Solo, ты предлагаешь использовать уязвимость win для перезагрузки машины. Обьясню кое-что... "Такие" уязвимости(которые приводят к таким последствиям как перезагрузка, "выгрузка" отдельного модуля ОС и т.п.) называют серьезными "критическими" уязвимостями, в большинстве случаев под них можно написать эксплойт для получения командной строки c правами уязвимого приложения, обычно "высокие" права - system и т.п., не суть важно.. (по аналогии с unix - remote/local root shell). Тогда встречный вопрос: зачем имея уже доступ к машине пытаться атаковать какое-то другое приложение, запущенное на ней, для получения еще одного "шелла" ? Неэффективно, даже не разумно, знаете как-то получается..
Во-вторых.. а не кажется ли Вам уважаемые, что так называемый "баг" РАдмина(разумеется если он вообще имеет место, сам не проверял) - "что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin" - есть баг самой винды, которая, завершая свою работу "некорректно" завершает работу сетевых приложений?? Могу привести пример столетней давности. AUX баг. Когда "непропатченная" от него винда вешала либо себя, либо приложение(explorer.exe, IE, MIrc, различные FTP сервера и т.д.) которое пыталось(само\либо с чьей-то помощью) получить доступ к файлу \\aux ??
Жду критики в свой адрес и конструктивных предложений по делу. Давайте просто не будем флеймить и ругаться. Проблема на самом деле серьезная.

P.S.: ник не называю по этическим соображениям.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

110. "уставшим от пустых слов:"  
Сообщение от Solo email on 02-Мрт-04, 11:08 
Дело в том, что наш "герой", по-моему, не в состоянии затачивать эксплойты под свои задачи. А взять готовый, перегружающий машину - дело несложное. Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
И я никогда не говорил, что доступ к радмину во времы перезагрузки - это баг радмина. Если он существует, то тут вина MS гораздо большая. Но в радмине это можно было бы подправить, чтоб баг винды на нем не сказывался...
Вообще - все это предположения. Я никогда не видел/не юзал радмина, и не видел логов атакованых машин...
А не флеймить - скучно :)
Но можно и молчать, делая вид, что ничего не происходит :) ...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

113. "уставшим от пустых слов:"  
Сообщение от eof email on 06-Мрт-04, 18:27 
Sorry for my translit..

Solo wrote:
---
Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
---

`root shell` pod win - eto "cmd.exe" s visokimi pravami(dopustim, posle uspeshnogo exploit'inga kakogo-nibud' uyazvimogo servisa s visokimi pravami(admin priv, SYSTEM priv...etc)), zabindenniy na opredelenniy port(naprimer, 12345). Na kotoriy mi mojem pri'telnetitsya i poluchit' polniy control nad masninoy:

telnet xxx.xxx.xxx.xxx 12345
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\>

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

111. "уставшим от пустых слов:"  
Сообщение от Ilia Demenkov email on 05-Мрт-04, 12:33 
>на securitylab.ru раньше видел сообщение о том, что во время
>перезагрузки компа можно получить беспарольный доступ к
>установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

Проверили. Пока что ни разу не подтвердилось. Во время shutdown`а удалённого сервера установленный на нём Радмин по-прежнему спрашивает login/password/domain, при вводе неправильных - говорит "User does not have rights for this connection mode" (если до того, как юзер разлогонен) либо "Bad password" (если после того, как юзер разлогонен). Хотелось бы более подробного описания методики обхода авторизации на адрес support@famatech.com. Кому-нибудь удавалось добиться воспроизведения ошибки?

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

112. "уставшим от пустых слов:"  
Сообщение от Solo on 05-Мрт-04, 23:05 
насколько я помню, там еще НТауторити должна быть включена в настройках радмина...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

114. "уставшим от пустых слов:"  
Сообщение от Ilia Demenkov email on 07-Мрт-04, 19:54 
Разумеется, она была включена.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру