Чистим сервер после взлома

Thursday, 09 Apr 2015

Арендую VPS KVM на штатовском хостинге AmeriNOC уже года три- все было прекрасно и замечательно. За все время работы, когда я уже усиленно долбился с бурстом и писал матерные тикеты в саппорт; было всего пара проблем, которые очень и весьма оперативно решались.

И тут как гром среди ясного неба- утром вижу в почте “привет семье, сервак засуспендили за Malicious Activity”. Все бы ничего, но до этого не было никаких писем о том, что идет какая то активность. И главное что саппорт ушел в глобальный мороз, т.к какую то вменяемую инфу по проблеме дали часов через 12, а сервер вернули в положение ONLINE еще через 3-4 часа.

(more…)

VN:F [1.9.21_1169]
Rating: 4.1/10 (44 votes cast)
VN:F [1.9.21_1169]
Rating: -2 (from 6 votes)

DDoS сервис от новоявленных звезд киберпреступности

Tuesday, 13 Jan 2015

Веселые ребята из команды Lizard Squad, положившие на рождество игровые сети Sony and Microsoft, запустили онлайн стресс сервис, проводящий атаки на ресурсы с помощью инфраструктуры из взломанных домашних рутеров, куда входят десятки тысяч хостов.

Естественно, как и любой стресс-сервис, их мощности способны положить слабозащищенный ресурс, т.ч трактовать запуск данного сервиса можно двояко. Тем более, что для достижения результата используется фактически бот-нет из взломанных рутеров, доступ к которым получен через telnet с помощью дефолтных заводских логинов.

(more…)

VN:F [1.9.21_1169]
Rating: 3.3/10 (30 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 9 votes)

Горячие финские парни нагнули Sony & Microsoft

Wednesday, 31 Dec 2014

Хакеры из команды Lizard Squad, положившие на католическое рождество игровые сети Microsoft Xbox Live и Sony PlayStation Network не смогли сохранить инкогнито, т.к очень уж захотелось парням публичности.

Поэтому они активно раздавали интервью различным СМИ и радиоканалам, рассказывая о своей атаке. Она однозначно заслуживает внимание, т.к на пике создавала флуд мощность порядка 1.2Тб/с, которые хакеры смогли достичь за счет того, что зарутили магистральные рутеры, используемые для трансантлантических подводных каналов передачи данных.

(more…)

VN:F [1.9.21_1169]
Rating: 3.8/10 (21 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 5 votes)

Обновители 1С как всадники апокалипсиса

Tuesday, 16 Feb 2010

Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.

В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.

VN:F [1.9.21_1169]
Rating: 4.1/10 (37 votes cast)
VN:F [1.9.21_1169]
Rating: +7 (from 13 votes)

Словил bot-агента для DDos

Tuesday, 09 Feb 2010

Не ловил никаких пакостей уже года 4 наверное. А тут возникла необходимость найти себе найтивного копирайтера на несколько своих английских проектов, поэтому все выходные лазил по различным копирайтерским сообществам, ну и каюсь- также прошерстил какое то количество порноведческих форумов, поскольку там эти нужные люди чаще всего и обитают.

В результате этих изысканий, других явных причин я не вижу, хотя точно и не могу понять когда именно произошло заражение (и как, учитывая приблуды вроде NoScript и прочие), бродилка Mozilla Firefox стала себя странно вести: компьютер загружается и все прекрасно, пока я не поднимаю Firefox. После этого в логе фаервола генерится порядка 200+ пакетов длиной в 63 байта на 80 порт десятка различных IP адресов, из тех что успел поймать были www.yandex.ru, www.google.ru, www.eset.com (естественно, что пакеты генерятся от антивируса, поскольку он перехватывает их отправку и не видя ничего подозрительного передает фаерволу). Если Firefox закрыть, процессы, по выполнению, завершаются и их количество стремится к нулю. Если бродилку не закрывать, то делать она ничего не может, на часть сайтов не ходит, тупит и не хочет ничего скачивать, поскольку я сперва было решил её просто тупо переставить.

По ходу дела я словил какую то пакость загнавшую меня в bot-сеть использующуюся для DDoS различных, в том числе и вышеназванных, сайтов по алгоритму HTTP flood, т.е из основных это могут быть либо BlackEnergy DDoS Bot либо Dream System DDoS Bot либо еще кто нить о ком я не имею ни малейшего представления. Самое пакостное, что антивири никого мне не смогли найти, а только грохнули Agava Spam-Filter для Bat, благодаря чему я теперь не могу даже получать почту, поскольку скачать из дома новую версию у меня естественно не вышло. Прогнав всеми имеющимися антивирями, антимальварями и антитроянами я пришел к тому, что у меня почти идеально чистая система, но поскольку проблема не исчезает, то вероятнее всего вирь крепко зашифрован, то есть как вариант было бы снести все файлы к которым система не может получить доступ.

Так что сегодня вечером, видимо, битва продолжится, и как говорил герой Никулина “Будем искать”.

VN:F [1.9.21_1169]
Rating: 3.8/10 (25 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 4 votes)

Китайская поделка для сканирования сайтов

Monday, 18 Jan 2010

На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.

Недавно появившийся продукт- сайт iiScan предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.

Вот небольшой список уязвимостей на предмет которых проводится сканирование:

  • SQL injection
  • Cross Site Scripting (XSS)
  • File Upload Vulnerability
  • Information Leakage
  • Insecure Direct Object References
  • Buffer overflow

Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd  является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.

И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.

VN:F [1.9.21_1169]
Rating: 4.3/10 (23 votes cast)
VN:F [1.9.21_1169]
Rating: -6 (from 6 votes)

Google уходит из китая

Thursday, 14 Jan 2010

Как было заявлено 11 января на офф. блоге, компания Google рассматривает вариант своего  ухода с китайского рынка, на который они вышли в январе 2006 года, и на данный момент предоставляют свой сервис порядка 350 миллионам китайских пользователей. Для того чтобы попасть на китайский рынок, гугль даже пошел на уступки в отношении введения цензуры на информацию, доступную для китайских пользователей на китайском зеркале Google.cn.

Такое решение было вызвано последней атакой, выявленной в середине декабря прошлого года и представлявшей собой софистическую и целевую атаку на инфраструктуру компании Google, исходившую из Китая. Помимо этого были выявлены атаки, как минимум, на 12 крупнейших компаний из различных сфер бизнеса от финансов до промышленных секторов.

(more…)

VN:F [1.9.21_1169]
Rating: 2.9/10 (18 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)