URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 3309
[ Назад ]

Исходное сообщение
"OpenNews: DDoS атака на peterhost и masterhost - это только начало."

Отправлено opennews , 20-Фев-04 10:18 
В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.

Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая <a target="_blank" href=http://www.peterhost.ru>http://www.peterhost.ru</a> и <a target="_blank" href=http://masterhost.ru>http://masterhost.ru</a>, продолжается по настоящий момент и растёт по мощности со временем.

Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.

По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:

666.exe

rich.exe

ric1.exe

fich.exe

tcpf.exe

udpf.exe

tzpf.exe

tzpy.exe

Все эти программы уже распознаются антивирусом DrWeb (<a target="_blank" href=http://drweb.ru>http://drweb.ru</a>)как вредоносные.

Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (<a target="_blank" href=http://www.famatech.com>http://www.famatech.com</a>), открытая для доступа извне.

Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме

производителя Remote Administrator:

<a target="_blank" href=http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID...


На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:

200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82

Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.

<h3>Комментарии по оптимизации сетевой подсистемы FreeBSD</h3>

Простейшая  команда  "netstat  -w  1" помогла определить мощность атаки, vmstat  показал  чем  занята  атакуемая  машина и что именно её грузит (системная  область, пользовательская область, прерывания). Оказалось,
что 70% - прерывания при мощности входящего потока до 150kps.


На  атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:


options         DEVICE_POLLING
options         HZ=1000


привело к тому, что загрузка сократилась до 30% на прерывания.
Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).

Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.


URL: http://www.securityfocus.com/archive/1/354305/2004-02-16/200...
Новость: http://www.opennet.me/opennews/art.shtml?num=3424


Содержание

Сообщения в этом обсуждении
"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Swap , 20-Фев-04 10:18 
примерно в это же время (21 января) начали досить еще один популярный сайт, характер флуда и порты совпадает с описанными в статье, что наводит на мысль а массовости атаки.
Была обнаружена одна из хакнутых машин с RA и полным набором флудпрограм, в данный моент пытаемся найти конфиги чтобы узнать какие именно айпи (или диапазоны) досились.

Если у кого-то (или у знакомых) теже проблемы, может объединим усилия?


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено schors , 20-Фев-04 10:33 
Да, скорее всего. У нас имеются материалы, говорящие о том, что в список атакуемых входили и другие сайты. Сейчас идёт активная переписка с http://www.famatech.com . Естественно, проводятся мероприятия по отслеживанию предполагаемого распространителя. Например, есть версия, что обновления троянов происходят автоматически, посредтсвом канала IRC.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено magopennet , 20-Фев-04 10:33 
Ну этого вообщето следовало ожидать, некоторое
время назад пробегала ссылка, на изьян в MS линейке OS.
В ссылке подробно описывалась возможность,
без "root"-вых привилегий оперировать raw-socket'ом.
А уж с помощью чего получили доступ на MS машинку
это вторично.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Swap , 20-Фев-04 10:49 
самое интересное как мне кажется вот что:
ресурсы флудятся случайным образом многими людьми поотдельности или какким-то образов выбрали именно данные сайты... надо найти что-либо общее и отталкиваться от этого.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено deepred , 20-Фев-04 10:59 
Caravan, кстати, не задели случаем?

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено magopennet , 20-Фев-04 11:23 
Пока, бог миловал.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено stricty , 20-Фев-04 11:25 
Да уж... Эти, видимо, вовремя камлание не заказали и обкуривали стойку не теми травами...

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено deepred , 20-Фев-04 11:00 
А то похоже www.linuxnews.ru уже начал заваливаться...

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено deepred , 20-Фев-04 11:01 
Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26

Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 21


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено michelle , 20-Фев-04 12:15 
12:14 Московского времени - сервер www.linuxnews.ru работет

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено deepred , 20-Фев-04 12:46 
Я ведь не с потолка это взял. Вот пример tracert ftp.asplinux.ru с одного из моих серваков.

[skipped]
  3    47 ms    62 ms    47 ms  fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
  4    47 ms    62 ms    63 ms  ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
  5    47 ms    62 ms    47 ms  fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
  6    47 ms    62 ms    47 ms  fe62-core0-sav.vln.telecom.lt [212.59.7.202]
  7    63 ms    78 ms    62 ms  s-b3-pos10-0.telia.net [213.248.101.125]
  8    62 ms    63 ms    78 ms  teliasonera-01842-s-b4.c.telia.net [213.248.78.246]
  9    62 ms    78 ms    78 ms  192.130.130.133
10    93 ms    94 ms    94 ms  193.227.225.162
11    94 ms    94 ms    93 ms  mj-pos12-0.sonera.ru [217.74.128.2]
12    94 ms    93 ms    94 ms  vlan30-ge5-1.m9-3.caravan.ru [217.74.128.126]
13  1437 ms  1485 ms  1468 ms  ftp.asplinux.ru [212.24.38.150]

Это LOR.

[skipped]
  3    47 ms    63 ms    47 ms  fe33-acc0-sav.vln.telecom.lt [212.59.7.217]
  4    47 ms    63 ms    62 ms  ge51-acc0-sav.vln.telecom.lt [212.59.7.158]
  5    47 ms    62 ms    47 ms  fe372-acc0-sav.vln.telecom.lt [212.59.7.189]
  6    47 ms    62 ms    63 ms  212-59-21-149.telecom.lt [212.59.21.149]
  7    78 ms    78 ms    94 ms  sl-gw10-sto-2-3.sprintlink.net [80.77.97.65]
  8    93 ms   110 ms   109 ms  sle-golde6-1-0.sprintlink.net [80.77.97.86]
  9    94 ms   109 ms   109 ms  dr25-jcr-0.moscow.gldn.net [194.67.17.83]
10    94 ms   109 ms   109 ms  81.211.6.246
11   110 ms    93 ms   109 ms  unreachable [217.76.33.169]
12    94 ms   125 ms   125 ms  linuxhacker.ru [217.76.32.60]

А вот что говорит Opera при попытке открыть сайт на титульной странице. Время 11:37 GMT+2 (12:37 GMT+3). Вчера ещё работало. Форум вроде пашет.

Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16

Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26

Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51

Вот так. Хотя может я зря беспокоюсь, может это всё моё больное воображение, а может просто ошибка на серваке.


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено magopennet , 20-Фев-04 13:08 
ftp.asplinux.ru похоже на полке, его
соседи таких задержек не испытывают, но все равно
спасибо, чейчас проанализируем характер их трафика.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено stricty , 20-Фев-04 11:01 
А я предлагаю начать ловить в своих сетях людей с IP 255 и смотреть откуда они эту мерзость взяли. Не вижу, зачем бы обычному человеку использовать IP 255.

Windows must die! (c) ? *:)


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Swap , 20-Фев-04 11:25 
>А я предлагаю начать ловить в своих сетях людей >с IP 255 и смотреть откуда они эту мерзость >взяли. Не вижу, зачем бы обычному человеку >использовать IP 255.

ты думаешь что на обычном айпи отличным от 255 этого гамна быть не может? что-то я сумлеваюсь....


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено stricty , 20-Фев-04 11:39 
Ты не понял. И невнимательно читал саму новость. Имелось ввиду - пакеты IP с кодом протокола 255. Такого нет, код зарезервирован. Судя по описанию - это подпись данной атаки.

Надо понимать, что в этом случае IP:PROTO=255 используется атакующими для гарантированного ответа сервера, когда на нём запрещены входящие ICMP и все порты tcp и udp представляют собой "чёрные дыры". Чтобы не атаковать основным потоком пустоту.


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено magopennet , 20-Фев-04 11:45 
Кстати, а Remote Admin, коллеги, может быть
это не дыра, а последствия того, что человек
который им пользуется подцепил черьвя MyDoom'овской серии с последующей
"кражей" параметров доступа на Remote Admin?

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено schors , 20-Фев-04 12:10 
Может быть. Если бы не тот факт, что на некоторых машинах и firewall стоял, и антивирус Касперского и даже Нортоновский антивирус. Хотя, тоже не факт. Но уж очень характерно ОБЯЗАТЕЛЬНОЕ нахождение radmin'а.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено magopennet , 20-Фев-04 12:14 
Может просто научиличь "pwl"-ку от RA клиента декриптовать?
Я почему вспомнил о подобном трюке, у нас так
несколько виртуальщиков начали спам рассылать - свиснули
у них сохраненные на машине пароли (или с клавы соснифирили),
выложи скриптик, списки и давай спамить.
Блого вовремя заметили, перед тем как начать рубить шашкой
клиентов.

"rAdmin"
Отправлено fREE , 20-Фев-04 12:39 
Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-(((

"rAdmin"
Отправлено errr , 24-Фев-04 04:17 
если устанвлена nt-аутентификация, то радмин сначала пытается отправить текущие логин и пароль, и если они совпадают с теми что на сервере, то больше вопросов и не задается ж)

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено stricty , 20-Фев-04 12:55 
Понеслась тема!! *:)

http://www.famatech.com/support/forum/read.php?FID=11&TID=5828


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Nick Scherbina , 20-Фев-04 13:58 
Кстати, об Radmin... Пароль храниться в ветке HKLM\SYSTEM\RAdmin\v2.0\server\parametrs\parametr

Эта ветка по умолчанию никакими правами не урезается, сервис Remote Registry по умолчанию работает (кстати, некоторые вещи без этого сервиса не работают вобще в win32), так что цепляемсся к IPC$, обнуляем ключик реестра, пароль сбрасывается. Дальше объяснять?


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено ssoodd , 26-Фев-04 13:36 
"...Эта ветка по умолчанию никакими правами не урезается.."
Урезается. Смотри пермишены внимательно.
А применительно к ситуации: радмин - да, а вот IPC# врядли кому в голову придет в мир выставлять...

"К вопросу о DOS атаках через Radmin"
Отправлено Maxim Chirkov , 20-Фев-04 15:11 
Заключение Famatech LLC по поводу возможной уязвимости Radmin:
  http://www.opennet.me/opennews/art.shtml?num=3429

В основную ветку новостей помещать не стал, так как не подпадает под тематику opennet.


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 21-Фев-04 09:16 
"Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
Это единичный случай - от которого я еще не отошел :-((("

Не забывай блокировать консоль сервера просто :)


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Merlin , 21-Фев-04 13:31 
радмином можно не только доступ к экрану получить но и ко всем файлам. так что запароленная консоль на спасает.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Ilia Demenkov , 27-Фев-04 15:44 
>Может кому это будет интересно: решив как-то на днях "зайти к себе
>на работу" используя RAdmin Viever 3.0 BETA (скачав и установив
>на чистую клиентскую машину) - я чуть со стула не упал когда
>БЕЗ всякой авторизации попал на сервер

Значит, Вы смогли подключиться с правами текущего пользователя. Это если на в удалённом Ramdin Server`е была включена NT-авторизация.

Или на удалённой машине был установлен пустой пароль Ramdin Server`а. Это если на в удалённом Ramdin Server`е была включена собственная авторизация.

То, что В ПРИНЦИПЕ пользователю позволено установить пустой пароль - это конечно, неправильно. И Radmin Server 3.0 этого позволять не будет. Но тут важно не доводить заботу о пользователе до абсурда - а то получится как в Windows Server 2003.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 21-Фев-04 22:25 
В данное время такой флуд-атаке постоянно подвергаются следующие интернет ресурсы: masterhost.ru, peterhost.ru, cracklab.borda.ru, wzor.net,  reversing.net, wasm.ru.
Есть мнение что это дело рук одного человека. Существует некая взаимосвязь между всеми этими атаками и неким молодым человеком из Эстонии.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено gonza , 21-Фев-04 22:59 
как и чем, помогает человекам.. хостинг.. на уиндовсе?

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено anest , 22-Фев-04 01:47 
Скажите - а на ваших серверах которые счас досят - есть ФОРУМы ?
вопрос важен так как если всё сойдется то я знаю кто устраивает эти атаки.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено a , 22-Фев-04 02:03 
Anest, причём здесь форумы, если DDOS'ят, например, peterhost то на нём куча сайтов хостится и почти у каждого свой форум. Мы все догадываемся чьи это проделки, на некоторых форумах он прямо написал что это придумал он, но как его достать?

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено permont , 22-Фев-04 06:55 
Gospoda, prostite ne specialista. Kak ya ponyal iz obsujdeniya, ispolzowalsya protokol gruppi IP s nomerom 255. Dlya kakih libo shiroko izwestnih i primenyaemih celei on, na skolko ya mogu sudit, ne primenyaetsya. Pochemu nelzya nastroit filtraciju na routerah dlya podawleniya paketow dannogo protokola?

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 22-Фев-04 12:56 
>ходил он раньше с адреса эстонского кабельного провайдера (он у них один большой)
что за глупость, их минимум 3, кто занимается кабельным инетом, а тот что самый большой вообще кабельным инетом не занимается.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено глупый , 22-Фев-04 17:52 
>что за глупость, их минимум 3, кто занимается кабельным инетом, а тот
>что самый большой вообще кабельным инетом не занимается.

Говорить кому-то что тот глупый - это и есть настоящая глупость ;-)


"это только начало..."
Отправлено ЕА , 23-Фев-04 13:42 
Самое страшное, то что "только начало" в заголовке вполне раально.

Анонимность и безнаказанность - еще долго будут атрибутами интернета.
Даже если появится законодательный базис.

Мне не понятно, предположим, как законодательно воздействовать и доказать виновность преступника из какой нибудь африканской страны, организовавшего атаку через цепочку proxy на завирусенных машинах, причем все эти машиныы и атакуемый объект
в разных странах. Не доросло еще международное право до этого. Еще страшнее, что особой квалификации для подобного скрытия следов не требуется.

Проекты по введению сигнатуры личности отправителя в каждый пакет, вообще нелепость, такую сигнатуру подделать проще обычного IP.



"это только начало..."
Отправлено anest , 23-Фев-04 16:35 
Возможно что-то решится к лучшему с переходом (не за горами уже) на протокол TCP/IP v6. Думается что в нём учли ошибки/недочеты протоколов прошлого века.


"это только начало..."
Отправлено stricty , 23-Фев-04 16:46 
Почитай спецификацию - увидишь... :(



"это только начало..."
Отправлено anest , 28-Фев-04 16:36 
Ну v6 вроде еще в стадии "тестирования" так что думаю рано еще выводы делать.. хотя..
вот что счас подумал - все только охают и ахают. а делать никто ничего не хочет. а кто нам мешает организовать открытый проект по устранению этих недочетов в протоколах например? ;) всё ведь в исходниках... повесить на сайт список недочетов (и желаемых фич) с возможностью добавления любым желающим пунктов в список. и подтянуть народ (а я думаю заинтерисованных найдется немало. в том числе и талантливых). и начать работать над этим списком. а когда будет результат - наверняка его уже не смогут проигнорировать те кто принимает решения наверху. ведь все будут только в выигрыше. и возможно что получится переход запланированный в будущем не на v.6 а сразу на "улучшенный 6.2" ;-) как вам идея?



"это только начало..."
Отправлено Gregory , 13-Мрт-04 14:38 
To anest:

v6 - dostatochno zrelii protocol s izvetnimi implementaciyami. S drugoi storoni sama architectura ineta (i IP protocola) predpolagaet raspredelennoe dvizheniye paketov. Esli vi pereidete k kontroliruemomu dvizheniyu paketov togda vsuy mirovuyu struktury seti pridetsya menyat' - zadacha myagko govorya slozhnaya.

Na samom dele, ryad filtrov mozhet stoyat' na 'network access points' krupnih provider-ov obespechivayushih marshrutizaciyu setei. Krome togo, bolee bezopasniye OS-i s avtomaticheskoi proverkoi celostnosti, itd, sil'no umen'shat vozmozhnost' virusnogo zarazheniya.

I, konec'no, zakonodatelno - sazhat' nado, chtobi nepovadno bilo.

A vot protocol menyat' - I'm a pessimist.


"Часть треда удалена."
Отправлено Maxim Chirkov , 24-Фев-04 10:45 
Господа, прошу вести линию обсуждения более цивилизованно и достойно.
Не стоит отпускаться до призывов к самосуду, угроз, оскорблений и провоцирования продолжения DDoS атак.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено avial , 24-Фев-04 13:16 
Хм. А если без намеков - можно сказать, кто это?
Или ссылку дать на форумы, где он "высказывался".

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено fREE , 25-Фев-04 13:45 
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID...
Практически открытый шанаж/угроза в адрес www.famatech.com.

"DDoS атака на peterhost и masterhost - это только начало..."
Отправлено kOSts , 24-Фев-04 20:06 
Subj конца замечательной программы Remote Administrator.
Хотел я было поставить её, но теперь уж поставил Symantec. Я не агитирую, я призываю к осторожности.
Надеюсь все поступят по совести...
Можно конечно и хостинги поменять, но пока, тьфу тьфу трафик дышит.

Наверно скоро к пассивной защите собственных ресурсов добавится и активная защита - извещение админов систем и/или полу-автоматический удалённый доступ с принудитеным отключением-лечением-форматированием.
Кто за? Все!?
Дело за малым - написать "лечащий" вирус...
и сбросить в Spam сеть


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Евгений , 25-Фев-04 19:21 
Все конечно грустно... но наш проект все же уйдет от петерхоста...

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Артур Бойко , 27-Фев-04 18:31 
Здравствуйте !

Хочу сообщить Вам всем что RAdmin одна из наиболее защищенных програм. В смысле попыток ее сломать. Аргументы : равботнички из фирм Касперского и Данилова уже 4 день не могут понять принцеп ее работы - и эти люди кричат на каждом углу о том что они вас зщищают. ПОЗОР !!!!!!!

Подробности можно прочитать на forum.ru-board.com в разделе варез не покупайте их программы - они такие же лживые как и они !!!!!!!!!


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 27-Фев-04 22:48 
Артур Бойко
Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено helper , 27-Фев-04 23:00 
уже всё везде почистили :-)

>Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
>



"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Артур Бойко , 28-Фев-04 12:18 
В разделе варезник где про ВЗОР написано. Там есть ссылка на тему про этот разговор.

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 28-Фев-04 23:33 
Famatech Support по поводу откуда организованы DDoS-атаки на различные Российские сервера и сайты!
http://www.famatech.com/ru/support/forum/read.php?FID=13&TID...

Гость ip130.cab20.ltln.starman.ee Создано 22.02.2004 08:23:06
А еще, я нашел в инете r_server с другой иконкой (львом) на сайте с ироглифами.
И прокси сервер(40к) для RAdmina.
как насчет этого?  

Famatech Support

К вашему сведению, именно из этой подсети были вызломаны все компьютеры, которые сейчас ведут DDoS-атаки. О чём как раз и написано на OpenNet.ru. Этот человек не остановится перед прямым враньём, только бы дискредетировать Радмин.

Спараведливости ради отмечу, что r_sever.exe с другой иконкой - вещь более чем реализуемая. Любой человек, умеющий обращаться с программой Restorator, может заменить ресурсы (в т.ч. иконки) любой программы.

С уважением,
Илья Деменков, служба технической поддержки Famatech.


"DDoS атака на peterhost и masterhost - это только начало."
Отправлено Аноним , 01-Мрт-04 14:44 
Я не знаю как здесь вы смотрите на новые дыры и експолиты но пользователи моей сети уже довольно давно експлоят ремоут админ. Что самое интересно это второе что они ищут после мсбласта

"DDoS атака на peterhost и masterhost - это только начало."
Отправлено anonymous , 01-Мрт-04 15:25 
"эксплойтят" каким образом ?? примеры атак пожалуйста, от простых слов уже все устали.

"можно почитать форум на securitylab.ru"
Отправлено Solo , 01-Мрт-04 16:28 
можно почитать форум на securitylab.ru

ps. anest, глянь свой ПМ на ру-борде.


"уставшим от пустых слов:"
Отправлено Solo , 01-Мрт-04 17:29 
на securitylab.ru раньше видел сообщение о том, что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

А перегрузить машину можно этим:
http://www.securitylab.ru/42787.html


"уставшим от пустых слов:"
Отправлено anonymous_from_reversing.net , 02-Мрт-04 02:03 
Нуу, давайте по порядку:
Во-первых, Solo, ты предлагаешь использовать уязвимость win для перезагрузки машины. Обьясню кое-что... "Такие" уязвимости(которые приводят к таким последствиям как перезагрузка, "выгрузка" отдельного модуля ОС и т.п.) называют серьезными "критическими" уязвимостями, в большинстве случаев под них можно написать эксплойт для получения командной строки c правами уязвимого приложения, обычно "высокие" права - system и т.п., не суть важно.. (по аналогии с unix - remote/local root shell). Тогда встречный вопрос: зачем имея уже доступ к машине пытаться атаковать какое-то другое приложение, запущенное на ней, для получения еще одного "шелла" ? Неэффективно, даже не разумно, знаете как-то получается..
Во-вторых.. а не кажется ли Вам уважаемые, что так называемый "баг" РАдмина(разумеется если он вообще имеет место, сам не проверял) - "что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin" - есть баг самой винды, которая, завершая свою работу "некорректно" завершает работу сетевых приложений?? Могу привести пример столетней давности. AUX баг. Когда "непропатченная" от него винда вешала либо себя, либо приложение(explorer.exe, IE, MIrc, различные FTP сервера и т.д.) которое пыталось(само\либо с чьей-то помощью) получить доступ к файлу \\aux ??
Жду критики в свой адрес и конструктивных предложений по делу. Давайте просто не будем флеймить и ругаться. Проблема на самом деле серьезная.

P.S.: ник не называю по этическим соображениям.


"уставшим от пустых слов:"
Отправлено Solo , 02-Мрт-04 11:08 
Дело в том, что наш "герой", по-моему, не в состоянии затачивать эксплойты под свои задачи. А взять готовый, перегружающий машину - дело несложное. Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
И я никогда не говорил, что доступ к радмину во времы перезагрузки - это баг радмина. Если он существует, то тут вина MS гораздо большая. Но в радмине это можно было бы подправить, чтоб баг винды на нем не сказывался...
Вообще - все это предположения. Я никогда не видел/не юзал радмина, и не видел логов атакованых машин...
А не флеймить - скучно :)
Но можно и молчать, делая вид, что ничего не происходит :) ...

"уставшим от пустых слов:"
Отправлено eof , 06-Мрт-04 18:27 
Sorry for my translit..

Solo wrote:
---
Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
---

`root shell` pod win - eto "cmd.exe" s visokimi pravami(dopustim, posle uspeshnogo exploit'inga kakogo-nibud' uyazvimogo servisa s visokimi pravami(admin priv, SYSTEM priv...etc)), zabindenniy na opredelenniy port(naprimer, 12345). Na kotoriy mi mojem pri'telnetitsya i poluchit' polniy control nad masninoy:

telnet xxx.xxx.xxx.xxx 12345
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\>


"уставшим от пустых слов:"
Отправлено Ilia Demenkov , 05-Мрт-04 12:33 
>на securitylab.ru раньше видел сообщение о том, что во время
>перезагрузки компа можно получить беспарольный доступ к
>установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

Проверили. Пока что ни разу не подтвердилось. Во время shutdown`а удалённого сервера установленный на нём Радмин по-прежнему спрашивает login/password/domain, при вводе неправильных - говорит "User does not have rights for this connection mode" (если до того, как юзер разлогонен) либо "Bad password" (если после того, как юзер разлогонен). Хотелось бы более подробного описания методики обхода авторизации на адрес support@famatech.com. Кому-нибудь удавалось добиться воспроизведения ошибки?

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).


"уставшим от пустых слов:"
Отправлено Solo , 05-Мрт-04 23:05 
насколько я помню, там еще НТауторити должна быть включена в настройках радмина...

"уставшим от пустых слов:"
Отправлено Ilia Demenkov , 07-Мрт-04 19:54 
Разумеется, она была включена.