Kalifornia után ezúttal Észtországban állították le a Srizbi botnet vezérlőszervereit

Spam

Nemrég volt szó arról, hogy a Washington Post Security Fix rovatának oknyomozása folytán az egyik, talán a legnagyobb spamforrást sikerült ideiglenesen eltávolítani (illetve inkább az "átmenetileg működésképtelenné tenni" a jó kifejezés) az internetről. A Srizbi névre hallgató botnet vezérlőszerverei - amelyeket a McColo hostolt - nagy űrt hagytak maguk után. Egy időre.

Biztonsági szakemberek szerint a McColo felfüggesztése után nagy mennyiségű fertőzött számítógép kereste a kapcsolatot a vezérlő gépekkel. A FireEye biztonsági cég szerint körülbelül 450 000 fertőzött host próbált rátalálni a Srizbi command & control központra.

A McColo felfüggesztése után nem sokáig tartott a trauma, mert kedden délután már vissza is tért a masszív botnet és ontotta a spam-et. A fertőzött gépek kapcsolódni tudtak a központi gépekhez, amelyek ezúttal Észtországban bukkantak fel.

Néhány órája azonban arról jönnek a hírek, hogy az észt internet szolgáltató, amely erre a rövid időre hostolta a vezérlő szervereket, leállította azokat.

Hogy hogyan sikerült ezt elérni, arról bővebben itt.

( gUHU | 2008. 11. 28., p – 17:05 )

Valaki mondja már meg nekem, hogy egy "fertőzött gép" hogy viselkedik? Mik a jelek? Stb...

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

Például onnan szoktam tudni, amikor egy cég felkeres, hogy segítsek, mert sehova sem tudnak levelet küldeni. Nézem a spamhaus-on, blacklist-en vannak, nézem a barracurda networks-ben, ott is. Ilyenkor majdnem 100%, hogy a hálózatukon egy vagy több gép benyelt valamit és az ontja a spam-ot. Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva. A gépen magán sok mindent nem veszel észre. De nem kéne sehol megvárni, hogy blacklist-re kerüljenek.

A héten például az egyik nagyobb, ismert magyar kereskedelmi vállalat járt így.

--
trey @ gépház

Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva.

A UPC/Chello pár hónapja letiltotta a 25-ös porton való forgalmat, kivéve persze a saját SMTP szerverét. A 465-ös port nyitva van, tehát akinek saját levelező szervere van, egyszerűen át kell konfigolni, hogy az SMTPS porton fogadjon levelet.

A lépés után szerintem a Chello hálózatából kifelé nulla spam megy ki...
--
http://wiki.javaforum.hu/confluence-2.8.2/display/FREEBSD

Igen. A Fibernet is letiltotta már vagy egy éve. Kifelé nem lehet küldeni a 25-ös porton levelet küldeni csak az ő SMTP szerverükön keresztül.

És nem tudok róla, hogy egyénileg vissza lehet kapcsolni.

Mellesleg a cég kérje az arra szakosodott hoszting szolgáltatót a levelek hosztolására...

--
qmi - Linux/FreeBSD SysAdm
www.miklos.info

Jellemzoen vagy csendben van (ekkor viszonylag nehez elkapni), vagy spamet kuld, vagy terjedni probal. Ez utobbi ket tevekenysegenek eleg jellegzetes karakterisztikaja van a halozati forgalomban (sok egyideju kapcsolat sok kulonfele IP-re, ugyanarra a portra, es a kapcsolatok nagy resze nem jut tovabb a SYN-nel, vagy valamilyen icmp hibauzenettel visszajon - sok icmp-admin-prohibited pl. kulonosen gyanus). Ezt pl. egy jol belott netflow elemzovel eleg konnyu kiszurni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( wladek1 | 2008. 11. 29., szo – 21:05 )

Sok botnet lehet még ezen kívül, mert a nagyobb szolgáltatók smtp szerverei olyan szépen timeoutolnak, hogy öröm nézni...

kötöjelkötöjel
Pedig ez nem az!

( lgb | 2008. 12. 02., k – 10:15 )

Persze nem igazan vagyok otthon botnetek belso mukodesi dolgaiban, de nem lehetne vmi olyan sw-t fejlesztani (mondjuk windows-ra elsosorban ha az a fo celpont), ami hallgatozik a gepen es figyeli mit hova kuld, es ezek alapjan kuldene report-ot vmi felgyuleteti szervnek, hogy hol lehet/lehetnek ilyen controll dolgok? Vagy ez nem ilyen egyszeru, es sokszintes a rendszer?