В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая <a target="_blank" href=http://www.peterhost.ru>http://www.peterhost.ru</a> и <a target="_blank" href=http://masterhost.ru>http://masterhost.ru</a>, продолжается по настоящий момент и растёт по мощности со временем.
Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.
По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:
666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe
Все эти программы уже распознаются антивирусом DrWeb (<a target="_blank" href=http://drweb.ru>http://drweb.ru</a>)как вредоносные.
Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (<a target="_blank" href=http://www.famatech.com>http://www.famatech.com</a>), открытая для доступа извне.
Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме
производителя Remote Administrator:
<a target="_blank" href=http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID...
На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82
Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.
<h3>Комментарии по оптимизации сетевой подсистемы FreeBSD</h3>
Простейшая команда "netstat -w 1" помогла определить мощность атаки, vmstat показал чем занята атакуемая машина и что именно её грузит (системная область, пользовательская область, прерывания). Оказалось,
что 70% - прерывания при мощности входящего потока до 150kps.
На атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:
options DEVICE_POLLING
options HZ=1000
привело к тому, что загрузка сократилась до 30% на прерывания.
Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.
URL: http://www.securityfocus.com/archive/1/354305/2004-02-16/200...
Новость: http://www.opennet.me/opennews/art.shtml?num=3424
примерно в это же время (21 января) начали досить еще один популярный сайт, характер флуда и порты совпадает с описанными в статье, что наводит на мысль а массовости атаки.
Была обнаружена одна из хакнутых машин с RA и полным набором флудпрограм, в данный моент пытаемся найти конфиги чтобы узнать какие именно айпи (или диапазоны) досились.Если у кого-то (или у знакомых) теже проблемы, может объединим усилия?
Да, скорее всего. У нас имеются материалы, говорящие о том, что в список атакуемых входили и другие сайты. Сейчас идёт активная переписка с http://www.famatech.com . Естественно, проводятся мероприятия по отслеживанию предполагаемого распространителя. Например, есть версия, что обновления троянов происходят автоматически, посредтсвом канала IRC.
Ну этого вообщето следовало ожидать, некоторое
время назад пробегала ссылка, на изьян в MS линейке OS.
В ссылке подробно описывалась возможность,
без "root"-вых привилегий оперировать raw-socket'ом.
А уж с помощью чего получили доступ на MS машинку
это вторично.
самое интересное как мне кажется вот что:
ресурсы флудятся случайным образом многими людьми поотдельности или какким-то образов выбрали именно данные сайты... надо найти что-либо общее и отталкиваться от этого.
Caravan, кстати, не задели случаем?
Пока, бог миловал.
Да уж... Эти, видимо, вовремя камлание не заказали и обкуривали стойку не теми травами...
А то похоже www.linuxnews.ru уже начал заваливаться...
Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26
Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51
Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 21
12:14 Московского времени - сервер www.linuxnews.ru работет
Я ведь не с потолка это взял. Вот пример tracert ftp.asplinux.ru с одного из моих серваков.[skipped]
3 47 ms 62 ms 47 ms fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
4 47 ms 62 ms 63 ms ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
5 47 ms 62 ms 47 ms fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
6 47 ms 62 ms 47 ms fe62-core0-sav.vln.telecom.lt [212.59.7.202]
7 63 ms 78 ms 62 ms s-b3-pos10-0.telia.net [213.248.101.125]
8 62 ms 63 ms 78 ms teliasonera-01842-s-b4.c.telia.net [213.248.78.246]
9 62 ms 78 ms 78 ms 192.130.130.133
10 93 ms 94 ms 94 ms 193.227.225.162
11 94 ms 94 ms 93 ms mj-pos12-0.sonera.ru [217.74.128.2]
12 94 ms 93 ms 94 ms vlan30-ge5-1.m9-3.caravan.ru [217.74.128.126]
13 1437 ms 1485 ms 1468 ms ftp.asplinux.ru [212.24.38.150]Это LOR.
[skipped]
3 47 ms 63 ms 47 ms fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
4 47 ms 63 ms 62 ms ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
5 47 ms 62 ms 47 ms fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
6 47 ms 62 ms 63 ms 212-59-21-149.telecom.lt [212.59.21.149]
7 78 ms 78 ms 94 ms sl-gw10-sto-2-3.sprintlink.net [80.77.97.65]
8 93 ms 110 ms 109 ms sle-golde6-1-0.sprintlink.net [80.77.97.86]
9 94 ms 109 ms 109 ms dr25-jcr-0.moscow.gldn.net [194.67.17.83]
10 94 ms 109 ms 109 ms 81.211.6.246
11 110 ms 93 ms 109 ms unreachable [217.76.33.169]
12 94 ms 125 ms 125 ms linuxhacker.ru [217.76.32.60]А вот что говорит Opera при попытке открыть сайт на титульной странице. Время 11:37 GMT+2 (12:37 GMT+3). Вчера ещё работало. Форум вроде пашет.
Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16
Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26
Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51
Вот так. Хотя может я зря беспокоюсь, может это всё моё больное воображение, а может просто ошибка на серваке.
ftp.asplinux.ru похоже на полке, его
соседи таких задержек не испытывают, но все равно
спасибо, чейчас проанализируем характер их трафика.
А я предлагаю начать ловить в своих сетях людей с IP 255 и смотреть откуда они эту мерзость взяли. Не вижу, зачем бы обычному человеку использовать IP 255.Windows must die! (c) ? *:)
>А я предлагаю начать ловить в своих сетях людей >с IP 255 и смотреть откуда они эту мерзость >взяли. Не вижу, зачем бы обычному человеку >использовать IP 255.ты думаешь что на обычном айпи отличным от 255 этого гамна быть не может? что-то я сумлеваюсь....
Ты не понял. И невнимательно читал саму новость. Имелось ввиду - пакеты IP с кодом протокола 255. Такого нет, код зарезервирован. Судя по описанию - это подпись данной атаки.Надо понимать, что в этом случае IP:PROTO=255 используется атакующими для гарантированного ответа сервера, когда на нём запрещены входящие ICMP и все порты tcp и udp представляют собой "чёрные дыры". Чтобы не атаковать основным потоком пустоту.
Кстати, а Remote Admin, коллеги, может быть
это не дыра, а последствия того, что человек
который им пользуется подцепил черьвя MyDoom'овской серии с последующей
"кражей" параметров доступа на Remote Admin?
Может быть. Если бы не тот факт, что на некоторых машинах и firewall стоял, и антивирус Касперского и даже Нортоновский антивирус. Хотя, тоже не факт. Но уж очень характерно ОБЯЗАТЕЛЬНОЕ нахождение radmin'а.
Может просто научиличь "pwl"-ку от RA клиента декриптовать?
Я почему вспомнил о подобном трюке, у нас так
несколько виртуальщиков начали спам рассылать - свиснули
у них сохраненные на машине пароли (или с клавы соснифирили),
выложи скриптик, списки и давай спамить.
Блого вовремя заметили, перед тем как начать рубить шашкой
клиентов.
Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-(((
если устанвлена nt-аутентификация, то радмин сначала пытается отправить текущие логин и пароль, и если они совпадают с теми что на сервере, то больше вопросов и не задается ж)
Понеслась тема!! *:)http://www.famatech.com/support/forum/read.php?FID=11&TID=5828
Кстати, об Radmin... Пароль храниться в ветке HKLM\SYSTEM\RAdmin\v2.0\server\parametrs\parametrЭта ветка по умолчанию никакими правами не урезается, сервис Remote Registry по умолчанию работает (кстати, некоторые вещи без этого сервиса не работают вобще в win32), так что цепляемсся к IPC$, обнуляем ключик реестра, пароль сбрасывается. Дальше объяснять?
"...Эта ветка по умолчанию никакими правами не урезается.."
Урезается. Смотри пермишены внимательно.
А применительно к ситуации: радмин - да, а вот IPC# врядли кому в голову придет в мир выставлять...
Заключение Famatech LLC по поводу возможной уязвимости Radmin:
http://www.opennet.me/opennews/art.shtml?num=3429В основную ветку новостей помещать не стал, так как не подпадает под тематику opennet.
"Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-((("Не забывай блокировать консоль сервера просто :)
радмином можно не только доступ к экрану получить но и ко всем файлам. так что запароленная консоль на спасает.
>Может кому это будет интересно: решив как-то на днях "зайти к себе
>на работу" используя RAdmin Viever 3.0 BETA (скачав и установив
>на чистую клиентскую машину) - я чуть со стула не упал когда
>БЕЗ всякой авторизации попал на серверЗначит, Вы смогли подключиться с правами текущего пользователя. Это если на в удалённом Ramdin Server`е была включена NT-авторизация.
Или на удалённой машине был установлен пустой пароль Ramdin Server`а. Это если на в удалённом Ramdin Server`е была включена собственная авторизация.
То, что В ПРИНЦИПЕ пользователю позволено установить пустой пароль - это конечно, неправильно. И Radmin Server 3.0 этого позволять не будет. Но тут важно не доводить заботу о пользователе до абсурда - а то получится как в Windows Server 2003.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
В данное время такой флуд-атаке постоянно подвергаются следующие интернет ресурсы: masterhost.ru, peterhost.ru, cracklab.borda.ru, wzor.net, reversing.net, wasm.ru.
Есть мнение что это дело рук одного человека. Существует некая взаимосвязь между всеми этими атаками и неким молодым человеком из Эстонии.
как и чем, помогает человекам.. хостинг.. на уиндовсе?
Скажите - а на ваших серверах которые счас досят - есть ФОРУМы ?
вопрос важен так как если всё сойдется то я знаю кто устраивает эти атаки.
Anest, причём здесь форумы, если DDOS'ят, например, peterhost то на нём куча сайтов хостится и почти у каждого свой форум. Мы все догадываемся чьи это проделки, на некоторых форумах он прямо написал что это придумал он, но как его достать?
Gospoda, prostite ne specialista. Kak ya ponyal iz obsujdeniya, ispolzowalsya protokol gruppi IP s nomerom 255. Dlya kakih libo shiroko izwestnih i primenyaemih celei on, na skolko ya mogu sudit, ne primenyaetsya. Pochemu nelzya nastroit filtraciju na routerah dlya podawleniya paketow dannogo protokola?
>ходил он раньше с адреса эстонского кабельного провайдера (он у них один большой)
что за глупость, их минимум 3, кто занимается кабельным инетом, а тот что самый большой вообще кабельным инетом не занимается.
>что за глупость, их минимум 3, кто занимается кабельным инетом, а тот
>что самый большой вообще кабельным инетом не занимается.Говорить кому-то что тот глупый - это и есть настоящая глупость ;-)
Самое страшное, то что "только начало" в заголовке вполне раально.Анонимность и безнаказанность - еще долго будут атрибутами интернета.
Даже если появится законодательный базис.Мне не понятно, предположим, как законодательно воздействовать и доказать виновность преступника из какой нибудь африканской страны, организовавшего атаку через цепочку proxy на завирусенных машинах, причем все эти машиныы и атакуемый объект
в разных странах. Не доросло еще международное право до этого. Еще страшнее, что особой квалификации для подобного скрытия следов не требуется.Проекты по введению сигнатуры личности отправителя в каждый пакет, вообще нелепость, такую сигнатуру подделать проще обычного IP.
Возможно что-то решится к лучшему с переходом (не за горами уже) на протокол TCP/IP v6. Думается что в нём учли ошибки/недочеты протоколов прошлого века.
Почитай спецификацию - увидишь... :(
Ну v6 вроде еще в стадии "тестирования" так что думаю рано еще выводы делать.. хотя..
вот что счас подумал - все только охают и ахают. а делать никто ничего не хочет. а кто нам мешает организовать открытый проект по устранению этих недочетов в протоколах например? ;) всё ведь в исходниках... повесить на сайт список недочетов (и желаемых фич) с возможностью добавления любым желающим пунктов в список. и подтянуть народ (а я думаю заинтерисованных найдется немало. в том числе и талантливых). и начать работать над этим списком. а когда будет результат - наверняка его уже не смогут проигнорировать те кто принимает решения наверху. ведь все будут только в выигрыше. и возможно что получится переход запланированный в будущем не на v.6 а сразу на "улучшенный 6.2" ;-) как вам идея?
To anest:v6 - dostatochno zrelii protocol s izvetnimi implementaciyami. S drugoi storoni sama architectura ineta (i IP protocola) predpolagaet raspredelennoe dvizheniye paketov. Esli vi pereidete k kontroliruemomu dvizheniyu paketov togda vsuy mirovuyu struktury seti pridetsya menyat' - zadacha myagko govorya slozhnaya.
Na samom dele, ryad filtrov mozhet stoyat' na 'network access points' krupnih provider-ov obespechivayushih marshrutizaciyu setei. Krome togo, bolee bezopasniye OS-i s avtomaticheskoi proverkoi celostnosti, itd, sil'no umen'shat vozmozhnost' virusnogo zarazheniya.
I, konec'no, zakonodatelno - sazhat' nado, chtobi nepovadno bilo.
A vot protocol menyat' - I'm a pessimist.
Господа, прошу вести линию обсуждения более цивилизованно и достойно.
Не стоит отпускаться до призывов к самосуду, угроз, оскорблений и провоцирования продолжения DDoS атак.
Хм. А если без намеков - можно сказать, кто это?
Или ссылку дать на форумы, где он "высказывался".
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID...
Практически открытый шанаж/угроза в адрес www.famatech.com.
Subj конца замечательной программы Remote Administrator.
Хотел я было поставить её, но теперь уж поставил Symantec. Я не агитирую, я призываю к осторожности.
Надеюсь все поступят по совести...
Можно конечно и хостинги поменять, но пока, тьфу тьфу трафик дышит.Наверно скоро к пассивной защите собственных ресурсов добавится и активная защита - извещение админов систем и/или полу-автоматический удалённый доступ с принудитеным отключением-лечением-форматированием.
Кто за? Все!?
Дело за малым - написать "лечащий" вирус...
и сбросить в Spam сеть
Все конечно грустно... но наш проект все же уйдет от петерхоста...
Здравствуйте !Хочу сообщить Вам всем что RAdmin одна из наиболее защищенных програм. В смысле попыток ее сломать. Аргументы : равботнички из фирм Касперского и Данилова уже 4 день не могут понять принцеп ее работы - и эти люди кричат на каждом углу о том что они вас зщищают. ПОЗОР !!!!!!!
Подробности можно прочитать на forum.ru-board.com в разделе варез не покупайте их программы - они такие же лживые как и они !!!!!!!!!
Артур Бойко
Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
уже всё везде почистили :-)>Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
>
В разделе варезник где про ВЗОР написано. Там есть ссылка на тему про этот разговор.
Famatech Support по поводу откуда организованы DDoS-атаки на различные Российские сервера и сайты!
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID...Гость ip130.cab20.ltln.starman.ee Создано 22.02.2004 08:23:06
А еще, я нашел в инете r_server с другой иконкой (львом) на сайте с ироглифами.
И прокси сервер(40к) для RAdmina.
как насчет этого?Famatech Support
К вашему сведению, именно из этой подсети были вызломаны все компьютеры, которые сейчас ведут DDoS-атаки. О чём как раз и написано на OpenNet.ru. Этот человек не остановится перед прямым враньём, только бы дискредетировать Радмин.
Спараведливости ради отмечу, что r_sever.exe с другой иконкой - вещь более чем реализуемая. Любой человек, умеющий обращаться с программой Restorator, может заменить ресурсы (в т.ч. иконки) любой программы.
С уважением,
Илья Деменков, служба технической поддержки Famatech.
Я не знаю как здесь вы смотрите на новые дыры и експолиты но пользователи моей сети уже довольно давно експлоят ремоут админ. Что самое интересно это второе что они ищут после мсбласта
"эксплойтят" каким образом ?? примеры атак пожалуйста, от простых слов уже все устали.
можно почитать форум на securitylab.rups. anest, глянь свой ПМ на ру-борде.
на securitylab.ru раньше видел сообщение о том, что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)А перегрузить машину можно этим:
http://www.securitylab.ru/42787.html
Нуу, давайте по порядку:
Во-первых, Solo, ты предлагаешь использовать уязвимость win для перезагрузки машины. Обьясню кое-что... "Такие" уязвимости(которые приводят к таким последствиям как перезагрузка, "выгрузка" отдельного модуля ОС и т.п.) называют серьезными "критическими" уязвимостями, в большинстве случаев под них можно написать эксплойт для получения командной строки c правами уязвимого приложения, обычно "высокие" права - system и т.п., не суть важно.. (по аналогии с unix - remote/local root shell). Тогда встречный вопрос: зачем имея уже доступ к машине пытаться атаковать какое-то другое приложение, запущенное на ней, для получения еще одного "шелла" ? Неэффективно, даже не разумно, знаете как-то получается..
Во-вторых.. а не кажется ли Вам уважаемые, что так называемый "баг" РАдмина(разумеется если он вообще имеет место, сам не проверял) - "что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin" - есть баг самой винды, которая, завершая свою работу "некорректно" завершает работу сетевых приложений?? Могу привести пример столетней давности. AUX баг. Когда "непропатченная" от него винда вешала либо себя, либо приложение(explorer.exe, IE, MIrc, различные FTP сервера и т.д.) которое пыталось(само\либо с чьей-то помощью) получить доступ к файлу \\aux ??
Жду критики в свой адрес и конструктивных предложений по делу. Давайте просто не будем флеймить и ругаться. Проблема на самом деле серьезная.P.S.: ник не называю по этическим соображениям.
Дело в том, что наш "герой", по-моему, не в состоянии затачивать эксплойты под свои задачи. А взять готовый, перегружающий машину - дело несложное. Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
И я никогда не говорил, что доступ к радмину во времы перезагрузки - это баг радмина. Если он существует, то тут вина MS гораздо большая. Но в радмине это можно было бы подправить, чтоб баг винды на нем не сказывался...
Вообще - все это предположения. Я никогда не видел/не юзал радмина, и не видел логов атакованых машин...
А не флеймить - скучно :)
Но можно и молчать, делая вид, что ничего не происходит :) ...
Sorry for my translit..Solo wrote:
---
Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
---`root shell` pod win - eto "cmd.exe" s visokimi pravami(dopustim, posle uspeshnogo exploit'inga kakogo-nibud' uyazvimogo servisa s visokimi pravami(admin priv, SYSTEM priv...etc)), zabindenniy na opredelenniy port(naprimer, 12345). Na kotoriy mi mojem pri'telnetitsya i poluchit' polniy control nad masninoy:
telnet xxx.xxx.xxx.xxx 12345
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\>
>на securitylab.ru раньше видел сообщение о том, что во время
>перезагрузки компа можно получить беспарольный доступ к
>установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)Проверили. Пока что ни разу не подтвердилось. Во время shutdown`а удалённого сервера установленный на нём Радмин по-прежнему спрашивает login/password/domain, при вводе неправильных - говорит "User does not have rights for this connection mode" (если до того, как юзер разлогонен) либо "Bad password" (если после того, как юзер разлогонен). Хотелось бы более подробного описания методики обхода авторизации на адрес support@famatech.com. Кому-нибудь удавалось добиться воспроизведения ошибки?
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
насколько я помню, там еще НТауторити должна быть включена в настройках радмина...
Разумеется, она была включена.