Блог о технологиях, технократии и методиках борьбы с граблями
Случилось страшное и почему то стал залипать компьютер. Причем наглухо, т.е работаешь в браузере, в какой то момент виснет бродилка, какое то время переключаются остальные окна системы, а потом видимо зависает и explorer, т.к всюду крутится кружочек ожидания и ничего не происходит.
Утро началось со звонка первого шефа у которого IP почтового сервера постоянно попадает во всевозможные спам листы. Причем после очистки и удаления IP из листов, сервер снова оказывается там по прошествии небольшого отрезка времени.
Хакеры уже достаточно давно подбираются к серверным структурам веб-серверов, т.к. они гораздо более стабильны, по сравнению с персональными компьютерами и сидят на более широких и стабильных интернет каналах.
Но если до этого веб-сервера чаще всего попадали под атаки направленные на редирект трафика, seo-продвижение пирогами (ломанные сайты с высоким значением PR), заливка shell и заражение клиентов сайта, то буквально на той неделе, специалисты Яндекса опубликовали доклад о новом зловреде Mayhem (первые упоминания в конце 2013 года), атакующего вебсервера и запускаемого из под ограниченных прав. Запуск зловреда вводит *nix сервер в многофункциональный ботнет, практически как и любую виндовую машину.
С сарафанной почтой, по высокоскоростным сетям передачи данных, пришла новость о новом вирусе, проникающем в систему и сканирующим файловую структуру и сетевые диски на наличие определенных файлов по маске расширений, т.е выискивает документы Microsoft Office, pdf, изображения и прочие, важные для конечного пользователя файлы.
После того, как документы найдены, зловред шифрует их, с использованием алгоритма ассимитричного шифрования RSA-1024 (Rivest-Shamir-Adleman), и выдает страницу, на которой это все описывается и предлагается занести денег на домики талантливым программистам. Конечная сумма варьируется в зависимости от количеств зашифрованных файлов.
Новопоставленый DirectAdmin практически сразу стал заваливать меня письмами с воплями о попытках брута, что меня естественно обеспокоило, т.к. на своих имеющихся серверах я об этом как то даже и не думал.
Тем более что на части хостингов у меня стоит платный WHM у которого есть собственная банилка для брутфорсеров и там только периодически приходится добавлять себя в белые списки.
Возникла тут необходимость поднять прокси сервер SOCKS5 для ботофермы одной онлайн игрухи. Поднимал я есессно на моем проверенном 3proxy, хотя как поговаривают бывалые ботоводы, по сравнению с Dante ( о котором буду живописать позже), продукт от ЗАРАЗы шибко прожорливый.
Обнаружил, что оказывается уже месяца 2-3 как появилась 0.7 версия легкого прокси-сервера 3proxy, об установке 6 версии которого я уже писал года полтора назад.
