Разработка, появившегося с год назад, приложения BotHunter было спонсировано исследовательским центром армии США и стало результатом исследований, в области информационной безопасности, организации SRI International. Как становится понятно уже из названия приложение предназначено для поиска ботов и вредоносных программ ставящих под угрозу компьютерную безопасность. Приложение BotHunter разработано для прослушивания сетевого диалога между внутренними и внешними сегментами сетей. BotHunter состоит из коррелирующего движка написанного на базе Snort 2, который отслеживает подозрительную сетевую активность: сканирование портов, использование эксплоитов, подготовки атак, p2p трафик. Коррелятор BotHunter сопоставляет информацию о входящих алертах и исходящей активности, на основе чего делает заключение о зараженности хоста. Если уровень вероятности заражения хоста, с точки зрения сетевого диалога BotHunter, приближается к критической точке, то программа начинает прослушивать и регистрировать все подобные события вычисляя их значение в процессе заражения.
Приложение доступно для FreeBSD (тестировано для 7.2 версии), Linux (тестировано для RHEL, SuSe, Debian и Fedore), Windows XP/Vista/2003,а также для Mac OS X (10.4 и 10.5).
Всю прошедшую неделю, вместо положенного отпуска, воевал с клиентской железякой Sofaware 500W. Удобный по управлению и настройке безопасности агрегат, для небольших сетей. Все в одном: фаервол с глубокой проверкой пакетов SPI, средство предотвращения вторжений IPS SmartDefense, антиспам и антивирусные фильтры реального времени, web фильтеринг для блокировки доступа к “плохим” сайтам, несколько видов антиспама (контентный, блок листинг и на основе IP репутации отправителя), регулировка нагрузки, порт DMZ, поддержка NAT, VPN-сервер- как на собственном движке посредством клиента от чекпоинт Secure Client, так и возможность поднять L2TP сервер, а также возможность VPN туннелирования, организация Wi-Fi сети и гостевой сети для VPN клиентов.
Такое вот прекрасное устройство, причем вместе с подпиской на год и безлимитное число пользователей, оно выходит чуть больше штуки грина. Все очень просто настраивается через веб морду по http или https. Но есть одно маленькое НО- коробка идет со стандартной прошивкой 7.х которая после того как подцепляешь подписку, без вопроса грейдится на самую последнюю 8.0.42 после чего начинается свистопляска. Все входящие DNS пакеты на внутренний сервер, который натится из сетки, начинаются дропаться по дефолтному правилу, не смотря на указанную политику о том чтобы их пропускать. Помимо этого, напрочь отрубается внешний доступ к веб морде, а при попытке поднять wi-fi в бридж моде, для того чтобы иметь доступ из wi-fi сети к сетевым ресурсам, вешается внутрисетевой трафик, т.ч. простейшие операции вроде отправки почтового сообщения вешаются наглухо. В общем пришел к тому что нужно откатываться на старую версию прошивки, но как это сделать чтобы устройство не обновилось снова, не могу понять, в этой связи открыл тикет на офф.сайте. Пока суть да дело, с разборкой логов и настроек, мне упало еженедельное письмо от sofaware со статистикой по неделе работы устройства, где также была анонсирована эта самая многострадальная прошивка 8.0.42 откуда я с радостью узнал, что дроп пакетов на 53 порт UDP оказывается “не бага, а фича”, т.к. это трактуется как domain атака, также прикрывается атака на порт 51376 и 54498.
Приятный и удобный сервис, но будем ждать разрешения проблемы, когда все заработает наконец то в полном объеме.
Столкнулся с пакостным вирусом который сидит в двух файлах %SysWin%System32/sfcfiles.dll и %SysWin%System32/drivers/sfc.sys, причем оба видятся NOD32 который кричит что их надо удалить и точка, после чего машина перегружается и NOD видит их снова. Сам он в логах трактует их как троян программы Win32/Asent.PHC и Win32/Patched FR, по dr.web’овской классификации это Trojan.Siggen.1342 и Trojan.WinSpy.184 соответственно.
Вечер вторника ознаменовался битвой: подобно борьбе Геракла с Лернейской гидрой, мне пришлось воевать со старым знакомым спам-ботом, кторого не видит ни один из антивирусов и утилит о которых я писал хвалебную статейку ранее. Антивири видели всякую пакость под 10-15 наименований, пытались вылечить, но после перезагрузки всне начиналось сначала, включая попытки спам- рассылки. (more…)
Эффективность, производительность, доходность- вот несколько факторов которые находятся под ударом такого явления как спам. Ежедневная расчистка авгиевых конюшен почтового ящика, в поиске единиц необходимых сообщений в неиссякаемом потоке мусорных писем сжигает время и силы работников. Потоки спама забивают каналы передачи данных и расходуют средства на счетах провайдеров, падает производительность почтовых серверов, в связи с ежесекундной необходимостью обрабатывать огромные потоки информации для того чтобы вычленить из них крупица здравого смысла. (more…)
Натолкнулся сегодня на новую напасть- пакость выводит в системтрее красную иконку, которая постоянно высвечивает надпись: Your computer is infected, и далее дескать жмите скорее на иконку чтобы установить нормальный антивирус. Причем антивирь постоянно орет о наличии вирусов и троянов в системе, пытается их грохнуть, но ничего не получается. Запуск большинства утилит, которые я так красочно описывал в тревожном чемоданчике не запускаются, т.к. видимо запуск так же заблокирован трояном.
Возился часа три, пытаясь грохнуть, но так как HackJack не запускался, а одного Starter видемо было недостаточно, то каждая перезагрузка все равно приводила к одну результату, те. никак. В итоге после долгого поиска в инете выискал панацею: SmitfraudFix. Создатели обещали, что эта тулза грохает иконку и лечит пакости.
Скачиваем, перегружаемся в Защиту от сбоев через F8 в начале загрузки, после чего запускаем тулзу. Она чекает систему, выносит трояна, но как оказалось- трей не убивает, зато разблокирует все утилитки, т.ч. после запускаем нашего друга Jacka и AVZ которыми вычищаем все и радуемся тому, что не пришлось переставлять винюк.
Со скуки решил проявить не свойственный мне альтруизм и написать немножко о живых деньгах, точнее средствах их зарабатывания. Не секрет, что большинство левака у мало мальского одмина, приходится на криворуких, но любопытных, как суслики, пользователей. И основная часть всех вопросов сводится к фразе- я что то поймал в интернете, мне что то прислали по почте, я прошел по ссылке в аське, я на что то нажал в интернете, а теперь у меня ничего не грузится, вообщем OMFG!!!1 я поймал
вирус !
Итак вирусы: если бы их не было, их стоило бы придумать именно для того, что бы админы могли зарабатывать на домики для юных эникейщиков. Естественно, когда ты сидишь в своем офисе, вытравливая эту заразу второй день подряд, ты четко понимаешь, что попадись тебе тот упырь, что наваял сие творение программистской мысли- придушил бы гада, собственными руками. Но когда ты чинишь домашний комп очаровательной секретарше, на которую давно пускал пузыристые слюни, то осознаешь, что только благодаря ему родимому, ты смог пробраться в святая святых. Хмм.. мне кажется я немного отвлекся- ну вообщем это было вступление. (more…)