Skocz do zawartości

Polecane posty

Po tym co Hetzner w sprawie Insane pisze i ogólnie nasunęło mi się takie pytanie:

 

1. Po co w ogóle atakować? BrutalForce, aby złamać hasło i przejąć kontrole nad serwerem, aby potem wykorzystać go jako kolejny punkt ataku i do rozsyłania spamu? Opłaca im się to w ogóle?

 

2. Co z tego, że hetzner wytnie IP, czy coś, skoro takie sprawy nie są chyba nigdzie zgłaszane i ścigane... .

To tak jakby pogrozić małemu dziecku "nie rób tak więcej", dziecko przytakuje, odwraca się i znowu coś niszczy, czy coś w tym stylu... .

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zapomniałeś dodać szeroko pojętą kwestię "konkurencji" pod każdym względem...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrick

1. Czemu popełniane są przestępstwa ?

Nie spam i ddos głównie wychodzi z sieci botnet, a te są oparte na setkach komputerów z zainfekowanym Windowsem.

2. Muszą w jakiś sposób "ogarnąć" atak z reguły powinni wyciąć go na routerach by zachować stabilność sieci. Po ewentualnym wycięciu ataku można dopiero zebrać logi i zgłosić. W sumie, rzadko z tego co wiem zgłaszane są takie ataki, ale to zależy od celu i wielkości.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Po ewentualnym wycięciu ataku można dopiero zebrać logi i zgłosić. W sumie, rzadko z tego co wiem zgłaszane są takie ataki, ale to zależy od celu i wielkości.

 

Tak, jak mecza sie z atakiem troche dlugo to moze im sie nie chciec juz tego robic. Po prostu maja juz dosc :)

 

Tak na marginesie, kazdy atak powinno sie zglaszac moim zdaniem. Tylko przy DDOS jednoznacznie okreslenia atakujacego nie jest proste, w takim ataku najczesniej bierze udzial duza ilosc serwerow, ktore moga byc zainfekowane, a nie musza byc koniecznie serwerem atakujacego. Tacy atakujacy potrafia sie niestety dobrze zabezpieczyc :/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z botnetami da się walczyć raczej tylko od tej drugiej strony - analizując trojany na komputerach zainfekowanych. Następnie trzeba przeanalizować ścieżki napływu poleceń bądź sposób infekcji. Jest to jednak bardzo utrudnione bo każda próba choćby zapukania do serwerów rozsyłających polecenia kończy się atakiem DDoS na komputer "pukający". Ponadto te ścieżki również są wielopoziomowe - zaatakowany komputer oceniany jest pod względem przydatności - te bardziej wydajne i stabilne (głownie serwery a nie komputery domowe) stają się "przekaźnikami" rozkazów. Jednak nawet one za zwyczaj nie dostają rozkazów bezpośrednio z jednego źródła - najczęściej jest to spora pula komputerów o zmiennym adresie IP (używa się najczęściej stałej nazwy DNS) w różnych krajach. Właśnie DNS, swoją drogą, jest w tej chwili najskuteczniejszym sposobem walczenia z botnetami. Istnieje na świecie kilka projektów (w tym jeden znany mi w Polsce), które zajmują się tak zawanym DNS-blackholing. Polega to na analizie zachowań botnetów i wycinaniu odpowiednich domen na serwerach DNS uniemożliwiając w ten sposób komunikację z serwerami wydającymi polecenia oraz pobieranie aktualizacji. Niestety z takich rozwiązań korzysta tylko niewielka część średniej wielkości ISP więc na globalną skalę nic to nie zmienia.

 

Co do pytań BlueMan:

1. Opłaca się i to cholernie bardzo! Zarabia się na rozsyłaniu SPAM-u, na wykonywaniu DDoS na zlecenie, na sprzedaży wykradzionych numerów kart kredytowych itd. Musisz jednak zauważyć, że DDoS i łamanie haseł przez bruteforce to dwie zupełnie inne sprawy. Ten drugi jest sposobem na powiększenie botnetu by móc (między innymi) lepiej wykonywać ten pierwszy.

 

2. Hetzner płaci za ruch wykonywany przez komputery w jego serwerowni. Jeśli ktoś jest atakowany to ruch jest spory a to generuje koszty dla serwerowni (szczególne, że akurat Hetzner nie może za to obciążyć klienta bo masz nielimitowaną ilość ruchu). Wyłączenie serwera to najprostszy i najtańszy sposób na pozbycie się tego ruchu. Jeśli wycieli by go na routerach brzegowych to i tak ten ruch by do nich docierał a więc generowałby koszta.

 

I jeszcze komentarz do tego co napisał michalt:

W DDoS określenie atakującego NIGDY nie jest proste bo ZAWSZE bierze w tym udział duża liczba serwerów, które NIGDY nie należą do atakującego (wynika to z definicji DDoS). Zgłaszanie czegoś takiego jest IMO zupełnie bez sensu - to walka z wiatrakami. Co innego jeśli chodzi o sam atak DoS (ale nie Distributed).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
I jeszcze komentarz do tego co napisał michalt:

W DDoS określenie atakującego NIGDY nie jest proste bo ZAWSZE bierze w tym udział duża liczba serwerów, które NIGDY nie należą do atakującego (wynika to z definicji DDoS). Zgłaszanie czegoś takiego jest IMO zupełnie bez sensu - to walka z wiatrakami. Co innego jeśli chodzi o sam atak DoS (ale nie Distributed).

 

Czyli mowiac w skrocie, rzecz prawie nie wykonalna - taka, ktorej nikt sie nie podejmie. Pewnie kiedys beda takie systemy zarzadzania czy wykrywania i prostego wyszukiwania atakujacych w prosty i szybki sposob - sie rozmarzylem... :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W gruncie rzeczy jakby zgłaszać nawet małe ataki DDoS, to z czem powstała by niezła pula adresów IP, które są serwerami atakującymi... pewnie większość z nich się powtarza, więc można było by je dodać do czarnej listy, i tak w kołko - walka z wiatrakami.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
W gruncie rzeczy jakby zgłaszać nawet małe ataki DDoS, to z czem powstała by niezła pula adresów IP, które są serwerami atakującymi... pewnie większość z nich się powtarza, więc można było by je dodać do czarnej listy, i tak w kołko - walka z wiatrakami.

 

Wiesz co, chyba cos o tym czytalem na forum webhostingtalk.com, ze padl pomysl i jest wlasnie jakas taka lista. Trzeba przyznac pomysl ciekawy, ale tych serwerow jest za duzo - i zadko kiedy sie powtarzaja... Ale idea jak najbardziej OK :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Info-cal & michalt : w pierwszej chwili pomyślałem, że sam do siebie gadasz.. dopiero później zauważyłem, że Was jest dwóch - zmyliły mnie identyczne avatary :D

 

Co do listy takich adresów, na dłuższą metę to nie ma sensu.. Bo przecież z czasem adresy ip się zmienią - ktoś zmieni serwer, stary pójdzie do kogoś innego itd...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jest z tym wiele problemów. Przede wszystkim DDoS-y lecą ze zwykłych komputerów w domach, które bardzo często mają zmienny adres IP. Cyrkulacja wśród tych komputerów jest również ogromna (dziś ktoś ma trojana a jutro przeinstaluje system lub zainstaluje antywirusa..). Kolejnym problemem jest to, że przeważnie podczas DDoS nie da się odróżnić tych "złych" komputerów od zwykłych użytkowników (pomijając to że jest możliwe iż to właśnie najważniejsi klienci (bez swojej wiedzy) atakują nasz serwer. Jedyne co można zrobić po stronie DC to przeczekanie ataku.

Dużo więcej można natomiast zrobić po stronie ISP dostarczających połączenie do domów. Znam takie sieci w których wykrywa się iż dany komputer jest zainfekowany (to nie jest takie trudne i da się zautomatyzować) i odcina mu się dostęp do Internetu przekierowując wszystkie (lub część) zapytania WWW na stronę z informacją jak pozbyć się trojana, z linkami do stron z antywirusem online i poprawkami do Windows (które oczywiście są odblokowane) czy gotowe do ściągnięcia programy usuwające trojany. Co ważne, zyskuje na tym klient (nie ma co prawda dostępu do Internetu przez chwilę ale za to np jego dane nie zostaną wykradzione) oraz sam ISP (oszczędza na ruchu jaki generują zainfekowane komputery). Moim zdaniem wprowadzenie zabezpieczeń po tej stronie jest dużo bardziej realne i skuteczne (choć wymaga trochę pracy).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Info-cal & michalt : w pierwszej chwili pomyślałem, że sam do siebie gadasz.. dopiero później zauważyłem, że Was jest dwóch - zmyliły mnie identyczne avatary :D

 

Musimy poprawcowac nad avatarami, bo rzeczywiscie sa takie same :)

 

 

Tak, jasnym i dobrym wyjsciem moga byc wieksze zabezpieczenia po stronach dostawcow uslug dostepu do internetu, wieksze filtrowanie pakietow itp, jak rowniez bardziej surowe przepisy karne...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaostrzyć przepisy karne? Hmm.. tego to jakoś nie widzę... co masz konkretnie na myśli? Kogo karać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moze nie chodzi mi konkretnie o ataki DDOS bo jak juz powiedzielismy wczesniej, w chwili obecnej jest wrecz rzecza niemozliwa wykrycie sprawcy ataku. Mam bardziej namysli przepisy karne dla innych przestepstw internetowych, a glownie spamowania - idealnym dla wielu bylby dozywotni zakaz dostepu do klawiatury dla takich ludzi :D

 

Nie chce schodzic z tematu DDOS, bo na niego nie mam pomyslu jezeli chodzi o kwestie prawne - ale na pewno kiedys sie takowy pojawi :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Duża część ataków DDoS teraz jest robiona przez dziurawe stare galerie, fora etc. Ot - remote-include jest robiony i napieprzają. Najgorsze jest to ze allow_url_fopen w php.ini domyslnie jest on i pozwala na takie akcje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja miałem atak DDOS i mam serwer w Hetnzner oczywiście mi go zablokowali/odłączyli od sieci. Musiałem zlecić administratorowi zabezpieczenie serwera i teraz juz wszystko dziala dobrze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Zaostrzyć przepisy karne? Hmm.. tego to jakoś nie widzę... co masz konkretnie na myśli? Kogo karać?
byly projekty niestety sluch po nich zagina...

http://spam.jogger.pl/2006/10/02/projekt-n...a-walka-ze-spa/

 

ja sie nie moge doczekac az studia skoncze (prawo)

wtedy kazdy bruteforce z polski (a mialem nawet z sieci iplusa xD) bedzie sie konczyl w sadzie

tak samo kazda niezamowiona oferta handlowa (i inny spam z polski) na mailu

 

mozecie sadzic ze nienawisc czy cos tam przezemnie przemawia ale ja uwazam ze glupote trzeba tepic mlotkiem zeby zdusic ja w zarodku

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Trzeba zacząć czyścić własne podwórko potem patrzyć na Rosję czy Ukrainę Ja na przykład niedawno dostałem spam od klienta Cal.pl (http://info2008.cal.pl/) wiec daleko nie ma co szukać.

 

Tak, wiemy o tym i dlatego napisalem swojego posta na ten temat. Uzytkownik ten raz na 2/3 miesiace sie rejestruje w paru firmach hostingowych na test ( wiem, ze w paru bo dostalep spam rowniez o tej samej tresci z innego serwera ). Klient podaje rozne dane, na szczescie ma stale ip ( zostalo juz zablokowane ) oraz w mailach podaje prawidlowe dane firmy. Dzwonilem tam i wiem, co i jak.

 

Zrobilismy backup jego konta, zebralismy i wydrukowalismy logi. Teraz tylko czekamy na opinie e-prawnika co dokladnie powinnismy napisac w wniosku na policje. Sprawa zostanie zalatwiona, prosze sie nie martwic - kwestia czasu :D

 

Uzytkownik jest juz zablokowany, wprowadzilismy takze pewne ograniczenia w poczcie na serwerze z kontami testowymi.

 

Mam nadzieje, ze ta wypowiedz uspokoji Cie troche Tomi, prawda? :)

 

PS. Jak macie jakies sugestie, pisma jakie mozemy wystosowac na policje to chetnie je poczytam. Po prostu nie chce napisac czegos, po czym po tygodniach bede musial dowozic jakies dokumenty czy uzupelnienia.

 

Pzdr,

Michał

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@michalt proponuje pierw ustawić odpowiednie kodowanie w meta tagach strony blokowej (jak na info2008.cal.pl) gdyż takowego nie ma i widać krzaczki :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
@michalt proponuje pierw ustawić odpowiednie kodowanie w meta tagach strony blokowej (jak na info2008.cal.pl) gdyż takowego nie ma i widać krzaczki :)

 

Powiem Ci szczerze, ze widze polskie znaczki :D

Posprawdzam to, aczkolwiek to nie jest najwazniejsze w tej sprawie- mamy problem z userem i musimy podjac dzialania. Wazne, zeby przestal zabawiac sie w spamowanie - nie tylko z naszych serwerow tylko wogole.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ja miałem atak DDOS i mam serwer w Hetnzner oczywiście mi go zablokowali/odłączyli od sieci. Musiałem zlecić administratorowi zabezpieczenie serwera i teraz juz wszystko dziala dobrze.

 

Co mają zabezpieczenia serwera (po jego stronie) z atakami DDOS?

http://pl.wikipedia.org/wiki/DDoS

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zawsze cos maja, mozna automatycznie blokowac polaczenia jak ich nie jest duzo na tyle, ze na serwer nie mozna sie zalogowac. Narzedzie DDOSDeflate m.in. do tego sluzy - tak jak powiedzialem dla takich "malych", "symbolicznych" ataczkow. Dla prawdziwego DDOSa to trzeba wiecej rzeczy robic i na pewno takze dzialania poza serwerem.

 

Pzdr,

Michał

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×