Kalifornia után ezúttal Észtországban állították le a Srizbi botnet vezérlőszervereit

 ( trey | 2008. november 28., péntek - 17:56 )

Nemrég volt szó arról, hogy a Washington Post Security Fix rovatának oknyomozása folytán az egyik, talán a legnagyobb spamforrást sikerült ideiglenesen eltávolítani (illetve inkább az "átmenetileg működésképtelenné tenni" a jó kifejezés) az internetről. A Srizbi névre hallgató botnet vezérlőszerverei - amelyeket a McColo hostolt - nagy űrt hagytak maguk után. Egy időre.

Biztonsági szakemberek szerint a McColo felfüggesztése után nagy mennyiségű fertőzött számítógép kereste a kapcsolatot a vezérlő gépekkel. A FireEye biztonsági cég szerint körülbelül 450 000 fertőzött host próbált rátalálni a Srizbi command & control központra.

A McColo felfüggesztése után nem sokáig tartott a trauma, mert kedden délután már vissza is tért a masszív botnet és ontotta a spam-et. A fertőzött gépek kapcsolódni tudtak a központi gépekhez, amelyek ezúttal Észtországban bukkantak fel.

Néhány órája azonban arról jönnek a hírek, hogy az észt internet szolgáltató, amely erre a rövid időre hostolta a vezérlő szervereket, leállította azokat.

Hogy hogyan sikerült ezt elérni, arról bővebben itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Valaki mondja már meg nekem, hogy egy "fertőzött gép" hogy viselkedik? Mik a jelek? Stb...


-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

Például onnan szoktam tudni, amikor egy cég felkeres, hogy segítsek, mert sehova sem tudnak levelet küldeni. Nézem a spamhaus-on, blacklist-en vannak, nézem a barracurda networks-ben, ott is. Ilyenkor majdnem 100%, hogy a hálózatukon egy vagy több gép benyelt valamit és az ontja a spam-ot. Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva. A gépen magán sok mindent nem veszel észre. De nem kéne sehol megvárni, hogy blacklist-re kerüljenek.

A héten például az egyik nagyobb, ismert magyar kereskedelmi vállalat járt így.

--
trey @ gépház

gUHU: kapcsolódó irodalom: http://hup.hu/node/63746

Idézet:
Ilyen esetben természetesen legtöbbször NAT-olt háló van és a kimenő 25-os port sincs tiltva.

A UPC/Chello pár hónapja letiltotta a 25-ös porton való forgalmat, kivéve persze a saját SMTP szerverét. A 465-ös port nyitva van, tehát akinek saját levelező szervere van, egyszerűen át kell konfigolni, hogy az SMTPS porton fogadjon levelet.

A lépés után szerintem a Chello hálózatából kifelé nulla spam megy ki...
--
http://wiki.javaforum.hu/confluence-2.8.2/display/FREEBSD

Személyre szabottan visszakapcsolható az admin oldalon (kezeles.chello.hu?).

Igen. A Fibernet is letiltotta már vagy egy éve. Kifelé nem lehet küldeni a 25-ös porton levelet küldeni csak az ő SMTP szerverükön keresztül.

És nem tudok róla, hogy egyénileg vissza lehet kapcsolni.

Mellesleg a cég kérje az arra szakosodott hoszting szolgáltatót a levelek hosztolására...

--
qmi - Linux/FreeBSD SysAdm
www.miklos.info

Pl.: a frissen telepitett szerveren, ahol a buta modon egyszeru default jelszoval rendelkezo egyik user home-jarol a quota mar tobb MB adatot jelent, ott erdemes belenezni a .bash_historykba :)

/ ofkoz epp tegnapelott jartam igy /

Köszi a válaszokat!


-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

Jellemzoen vagy csendben van (ekkor viszonylag nehez elkapni), vagy spamet kuld, vagy terjedni probal. Ez utobbi ket tevekenysegenek eleg jellegzetes karakterisztikaja van a halozati forgalomban (sok egyideju kapcsolat sok kulonfele IP-re, ugyanarra a portra, es a kapcsolatok nagy resze nem jut tovabb a SYN-nel, vagy valamilyen icmp hibauzenettel visszajon - sok icmp-admin-prohibited pl. kulonosen gyanus). Ezt pl. egy jol belott netflow elemzovel eleg konnyu kiszurni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A tanszeken az volt egyszer furcsa, hogy mi az sok ARP request, Virusra gyanakodtam es tenyleg :) (helyi halozaton probalt terjedni, bar sikertelenul), sikerult gepet is beazonositani.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Naigen, ennek advankaltabb verzioja, ha belosz egy gepet, hogy ha senki sem valaszol az adott arp req-re, akkor tegye o meg, es tolja ra a kapcsolatokat egy honeypotra, vagy tarpit-elje.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Sok botnet lehet még ezen kívül, mert a nagyobb szolgáltatók smtp szerverei olyan szépen timeoutolnak, hogy öröm nézni...

kötöjelkötöjel
Pedig ez nem az!

Persze nem igazan vagyok otthon botnetek belso mukodesi dolgaiban, de nem lehetne vmi olyan sw-t fejlesztani (mondjuk windows-ra elsosorban ha az a fo celpont), ami hallgatozik a gepen es figyeli mit hova kuld, es ezek alapjan kuldene report-ot vmi felgyuleteti szervnek, hogy hol lehet/lehetnek ilyen controll dolgok? Vagy ez nem ilyen egyszeru, es sokszintes a rendszer?

Ezt úgy híjják, hogy tűzfal és fel van találva, de az user egy laza mozdulattal küldi a sarokba, ha a tűzfal a pornóoldal és a user közé állna...
--
http://wiki.javaforum.hu/confluence-2.8.2/display/FREEBSD