Címlap

Kalifornia után ezúttal Észtországban állították le a Srizbi botnet vezérlőszervereit

 ( trey | 2008. november 28., péntek - 17:56 )

Nemrég volt szó arról, hogy a Washington Post Security Fix rovatának oknyomozása folytán az egyik, talán a legnagyobb spamforrást sikerült ideiglenesen eltávolítani (illetve inkább az "átmenetileg működésképtelenné tenni" a jó kifejezés) az internetről. A Srizbi névre hallgató botnet vezérlőszerverei - amelyeket a McColo hostolt - nagy űrt hagytak maguk után. Egy időre.

Biztonsági szakemberek szerint a McColo felfüggesztése után nagy mennyiségű fertőzött számítógép kereste a kapcsolatot a vezérlő gépekkel. A FireEye biztonsági cég szerint körülbelül 450 000 fertőzött host próbált rátalálni a Srizbi command & control központra.

A McColo felfüggesztése után nem sokáig tartott a trauma, mert kedden délután már vissza is tért a masszív botnet és ontotta a spam-et. A fertőzött gépek kapcsolódni tudtak a központi gépekhez, amelyek ezúttal Észtországban bukkantak fel.

Néhány órája azonban arról jönnek a hírek, hogy az észt internet szolgáltató, amely erre a rövid időre hostolta a vezérlő szervereket, leállította azokat.

Hogy hogyan sikerült ezt elérni, arról bővebben itt.

 »
  • A hozzászóláshoz belépés szükséges
  • 2404 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( gUHU | 2008. november 28., péntek - 18:05 )

Valaki mondja már meg nekem, hogy egy "fertőzött gép" hogy viselkedik? Mik a jelek? Stb...

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

 ( trey | 2008. november 28., péntek - 18:14 )

Például onnan szoktam tudni, amikor egy cég felkeres, hogy segítsek, mert sehova sem tudnak levelet küldeni. Nézem a spamhaus-on, blacklist-en vannak, nézem a barracurda networks-ben, ott is. Ilyenkor majdnem 100%, hogy a hálózatukon egy vagy több gép benyelt valamit és az ontja a spam-ot. Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva. A gépen magán sok mindent nem veszel észre. De nem kéne sehol megvárni, hogy blacklist-re kerüljenek.

A héten például az egyik nagyobb, ismert magyar kereskedelmi vállalat járt így.

--
trey @ gépház

 ( styg | 2008. november 28., péntek - 18:49 )

gUHU: kapcsolódó irodalom: http://hup.hu/node/63746

 ( _Franko_ | 2008. november 28., péntek - 20:26 )

Idézet:
Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva.

A UPC/Chello pár hónapja letiltotta a 25-ös porton való forgalmat, kivéve persze a saját SMTP szerverét. A 465-ös port nyitva van, tehát akinek saját levelező szervere van, egyszerűen át kell konfigolni, hogy az SMTPS porton fogadjon levelet.

A lépés után szerintem a Chello hálózatából kifelé nulla spam megy ki...
--
http://wiki.javaforum.hu/confluence-2.8.2/display/FREEBSD

 ( axt | 2008. november 29., szombat - 1:51 )

Személyre szabottan visszakapcsolható az admin oldalon (kezeles.chello.hu?).

 ( qmi | 2008. december 2., kedd - 15:07 )

Igen. A Fibernet is letiltotta már vagy egy éve. Kifelé nem lehet küldeni a 25-ös porton levelet küldeni csak az ő SMTP szerverükön keresztül.

És nem tudok róla, hogy egyénileg vissza lehet kapcsolni.

Mellesleg a cég kérje az arra szakosodott hoszting szolgáltatót a levelek hosztolására...

--
qmi - Linux/FreeBSD SysAdm
www.miklos.info

 ( kmARC | 2008. november 28., péntek - 18:44 )

Pl.: a frissen telepitett szerveren, ahol a buta modon egyszeru default jelszoval rendelkezo egyik user home-jarol a quota mar tobb MB adatot jelent, ott erdemes belenezni a .bash_historykba :)

/ ofkoz epp tegnapelott jartam igy /

 ( gUHU | 2008. november 28., péntek - 20:21 )

Köszi a válaszokat!

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

 ( eax | 2008. november 28., péntek - 22:12 )

Jellemzoen vagy csendben van (ekkor viszonylag nehez elkapni), vagy spamet kuld, vagy terjedni probal. Ez utobbi ket tevekenysegenek eleg jellegzetes karakterisztikaja van a halozati forgalomban (sok egyideju kapcsolat sok kulonfele IP-re, ugyanarra a portra, es a kapcsolatok nagy resze nem jut tovabb a SYN-nel, vagy valamilyen icmp hibauzenettel visszajon - sok icmp-admin-prohibited pl. kulonosen gyanus). Ezt pl. egy jol belott netflow elemzovel eleg konnyu kiszurni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( turul16 | 2008. november 29., szombat - 11:05 )

A tanszeken az volt egyszer furcsa, hogy mi az sok ARP request, Virusra gyanakodtam es tenyleg :) (helyi halozaton probalt terjedni, bar sikertelenul), sikerult gepet is beazonositani.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

 ( eax | 2008. november 29., szombat - 16:32 )

Naigen, ennek advankaltabb verzioja, ha belosz egy gepet, hogy ha senki sem valaszol az adott arp req-re, akkor tegye o meg, es tolja ra a kapcsolatokat egy honeypotra, vagy tarpit-elje.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( wladek1 | 2008. november 29., szombat - 22:05 )

Sok botnet lehet még ezen kívül, mert a nagyobb szolgáltatók smtp szerverei olyan szépen timeoutolnak, hogy öröm nézni...

kötöjelkötöjel
Pedig ez nem az!

 ( lgb | 2008. december 2., kedd - 11:15 )

Persze nem igazan vagyok otthon botnetek belso mukodesi dolgaiban, de nem lehetne vmi olyan sw-t fejlesztani (mondjuk windows-ra elsosorban ha az a fo celpont), ami hallgatozik a gepen es figyeli mit hova kuld, es ezek alapjan kuldene report-ot vmi felgyuleteti szervnek, hogy hol lehet/lehetnek ilyen controll dolgok? Vagy ez nem ilyen egyszeru, es sokszintes a rendszer?

 ( _Franko_ | 2008. december 2., kedd - 14:17 )

Ezt úgy híjják, hogy tűzfal és fel van találva, de az user egy laza mozdulattal küldi a sarokba, ha a tűzfal a pornóoldal és a user közé állna...
--
http://wiki.javaforum.hu/confluence-2.8.2/display/FREEBSD