Атака на Интернет

Но, вообще-то, с кулхацерами надо что-то делать. Пока я сидел на радиоканале - там тоже был роутер, тоже под редхатом. Не закрыли проксю, кулхацеры это обнаружили и начали ее пользовать. Зачем - совершенно непонятно, бе гонять трафик туда и обратно через радиоканал - вешь в скорости совершенно ничего на дающая. Но лазали и накачали что-то в районе 5 гиг. Там начальство было богатое и на эту штуку просто махнуло рукой - интернет был нужен больше. Ну, выговор влепили сисадмину, и простили

Вот нашел данные по адресам. Далее, надо сконтактировать с этими ребятами в вежливой форме по-англицки. Попросить рассмотреть ситуацию и прислать логи. С корйцами я работал - откликаются нормально, тем более это университет. А с китайцами дела не имел. Похоже это dial-up. Если нужна помощь, то могу посодействовать.

General Information
Hostname
Cannot be resolved
IP
155.230.106.121
Preferable MX
knu.ac.kr



Network Information
Name
KPNU-NET
Owner
OrgName: Kyungpook National University
Location
OrgID: KNU
Contact Information
ZK29-ARIN, TechName: Kyungpook National University Computer Center, TechPhone: 0082-53-950-6661, TechEmail: staffbh.knu.ac.kr



Domain Information
Name
knu.ac.kr
Location
702010, 1370 Sankyuk-dong Puk-gu Taegu, KOREA
Contact Information
Kim Hyun Jik, staffbh.knu.ac.kr
Name Servers
ns.kyungpook.ac.kr, ns.kornet.net
Created
1999. 02. 24.
Updated
2002. 10. 03.


OrgName: Kyungpook National University
OrgID: KNU

NetRange: 155.230.0.0 - 155.230.255.255
CIDR: 155.230.0.0/16
NetName: KPNU-NET
NetHandle: NET-155-230-0-0-1
Parent: NET-155-0-0-0-0
NetType: Direct Assignment
NameServer: BH.KYUNGPOOK.AC.KR
NameServer: KNUHEP.KYUNGPOOK.AC.KR
NameServer: NS.KREONET.RE.KR
Comment:
RegDate: 1991-11-27
Updated: 2000-12-05

TechHandle: ZK29-ARIN
TechName: Kyungpook National University Computer Center
TechPhone: 0082-53-950-6661
TechEmail: staffbh.knu.ac.kr

---

Query the APNIC Whois DatabaseNeed help?
General search help
Help tracking spam and hacking
% [whois.apnic.net node-1]
% How to use this server http://www.apnic.net/db/
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.1.0.0 - 218.1.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-SH
changed: hostmasterns.chinanet.cn.net 20010412
status: ALLOCATED PORTABLE
source: APNIC

person: Chinanet Hostmaster
address: No.31 ,jingrong street,beijing
address: 100032
country: CN
phone: +86-10-66027112
fax-no: +86-10-66027334
e-mail: hostmasterns.chinanet.cn.net
e-mail: anti-spamns.chinanet.cn.net
nic-hdl: CH93-AP
mnt-by: MAINT-CHINANET
changed: hostmasterns.chinanet.cn.net 20021016
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ip-adminmail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-adminmail.online.sh.cn 20010510
source: APNIC

Ща проверил - уффф. Мой апач как прокся не работает

hcube>Но, вообще-то, с кулхацерами надо что-то делать. Пока я сидел на радиоканале - там тоже был роутер, тоже под редхатом.

Надо. Но патчить тоже надо. Я на CERT хожу и подписан на листы
The SANS Institute [sans@sans.org]
To: Mikhail Evstiounin (SD458805)
From: Alan for the SANS NewsBites service
Re: October 23 SANS NewsBites

---

BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

***********************************************************************
SANS NewsBites October 23, 2002 Vol. 4, Num. 43
***********************************************************************

TOP OF THE NEWS
22 October 2002 DDoS Attack Targets The Core of The Internet
17 & 18 October 2002 Cybersecurity Funding Bill Passes Senate

THE REST OF THE WEEK'S NEWS
21 October 2002 Chicago Housing Authority Employs Biometrics
21 October 2002 Cytron Trojan
18 & 21 October 2002 Navy Computers Missing
18 October 2002 Cisco Catalyst LAN Switch Vulnerability
18 October 2002 Skeptic Files Defensive Patent Aimed at Preventing
Palladium from Enforcing Software Licensing
....
To change your subscription, address, or other information, visit
and enter your SD number (from the
headers.) You will receive your personal URL via email.


и

---

To: Mikhail Evstiounin (SD458805)
Re: Your personalized newsletter

— Security Alert Consensus --
Number 041 (02.41)
Thursday, October 17, 2002
Created for you by
Network Computing and the SANS Institute
Powered by Neohapsis

---

BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

TABLE OF CONTENTS:

{02.41.016} Win - MS02-058: Outlook Express S/MIME parsing buffer
overflow
{02.41.021} Win - MondoSearch CGI file viewing
{02.41.025} Win - PowerFTP large data stream overflow
{02.41.026} Win - SurfControl SuperScout admin server vulnerabilities
{02.41.028} Win - Daniel Arenz' Mini Server Web root escaping
{02.41.001} Linux - Update {02.40.029}: Bugzilla multiple
vulnerabilities
{02.41.002} Linux - Update {02.39.006}: Fetchmail multiple
vulnerabilities

...

If you would like to unsubscribe from this newsletter, grab your SD
number (next to your name at the top of this message) and visit the
URL below. You will be sent a personal URL via E-mail, from which
you can unsubscribe.

---

Советую подписать. Еще постоянное посещение Bagtraq и Insecure.Org - Nmap Free Security Scanner, Tools & Hacking resources

hcube> Не закрыли проксю, кулхацеры это обнаружили и начали ее пользовать. Зачем - совершенно непонятно, бе гонять трафик туда и обратно через радиоканал - вешь в скорости совершенно ничего на дающая. Но лазали и накачали что-то в районе 5 гиг. Там

А когда ломают чего-то, то все каналы используют - надо до 15-20 хопов, чтобы тебя не нашли - скоординировать работу 20 провайдеров - не один месяц надо. А многие провайдеры хранят логи ограниченное время - в районе месяца - чтоб можно было пересчитать деньги. А сейчас и того меньше - не данных - нет проблем в суде.

hcube>начальство было богатое и на эту штуку просто махнуло рукой - интернет был нужен больше. Ну, выговор влепили сисадмину, и простили

Повезло.

Так у нас же прокся не анонимная была! Какой сммысл использовать проксю, если через нее вся цепочка IP просвечивает?!

hcube>Так у нас же прокся не анонимная была! Какой сммысл использовать проксю, если через нее вся цепочка IP просвечивает?!

Сколько эту цепочку вы будете хранить? Через вас залезли в Корею, через них в Америку. Американы многие хранят две недели. Нашли вас - несколько дней - поговорили, переписались, разница во времени, не знание языков - заняло 3 дня. Начали писать в Корею. еще три дня. Начали писать в Америку - опять три дня - нашли лог. А теперь пришли в черех 10 хопов - пока дошли до Америки - логи потерли и цепочка оборвалась. И ваши логи не помогли. Для того и заводятся accounts по всему миру и маршрут выбирается так, чтобы максимально усложнить коммуникацию. Начальный уровень серъезного взломщика - cracker-a. Хакеры - это другое - ИМХО.

Mishka>по опыту провадерства в Кишиневе, большому провадеру за трафик не выставляют.

Большому - да. Но сам большой - выставляет.

Mishka>А Zebra - это opensource routing.

Это я в курсе. Хотя с ней не возился - она появилась уже после того, как я последний раз с роутерами возился

Mishka>А распечатки странички не сохранилось? А то закон обратного действия не имеет.

Увы, нет.

=KRoN=>>Да нет, 10Гб с лишним это набежало до смены адреса. После смены был только входящий и относительно небольшой (~сотня килобайт в секунду.)
Mishka>А как они считали? Если по адресу, то надо смотреть как со временем.

Остаточный траффик я считал. Смотрел по ifconfig, как растёт RX Выдёргиваешь шнурок - перестаёт. По tcpdump выпадает что-то страшное, ~250 килобайт мусора одной строкой.

=KRoN=>>Я сейчас запросил у них детализацию траффика. Представляю, что ЭТО за лог будет Впрочем, их проблемы...
Mishka>И еще надо узнать откуда детализация взята - как статистику считали.

Сами они статистику не считают, пользуются статистикой, что им с M9 дают.

hcube>Интереса ради у 'моего' провайдера себестоимость гига трафика у конечного пользователя составляет $20 примерно при большом объеме.

Эти - говорят, что платят по 5 центов за мегабайт доминирующего траффика. С конечных пользователей берут по 10 центов.

Mishka>Если нужна помощь, то могу посодействовать.

Желательно. Т.к. я в переговорном английском ни бум-бум.
Впрочем, это бесполезно - только на дыру указать. В данной ситуации нам-то они ничем не помогут.

Кстати, особо продвинутый и ответственный народ занялся тем, что в эту вирусную P2P-сеть посылает "вакцины", которые подтыкают эти дыры на компах-жертвах.

=KRoN=>Большому - да. Но сам большой - выставляет.

Потому и надо по цепочке топать. Может удасться договорится с М9.

=KRoN=>Это я в курсе. Хотя с ней не возился - она появилась уже после того, как я последний раз с роутерами возился

А с какими - не секрет?


=KRoN=>Остаточный траффик я считал. Смотрел по ifconfig, как растёт RX Выдёргиваешь шнурок - перестаёт. По tcpdump выпадает что-то страшное, ~250 килобайт мусора одной строкой.

Странно, поле длины в IP пакете 16 бит и храниться длина всей дэйтаграммы в байтах, т.е. максимальная длина 64КБ. Если бы разбор пакета стоял, то понятно, а так - одной строкой, даже с учетом того, что HEX надо перевести ASCII - не 128КБ.

=KRoN=>Сами они статистику не считают, пользуются статистикой, что им с M9 дают.

А эту статистике пересылают раз в день?

а что за провайдер? В смысле веб сайт бы посмотреть. И что такое М9?

=KRoN=>Желательно. Т.к. я в переговорном английском ни бум-бум.
=KRoN=>Впрочем, это бесполезно - только на дыру указать. В данной ситуации нам-то они ничем не помогут.

Домой попаду - займусь.

=KRoN=>Кстати, особо продвинутый и ответственный народ занялся тем, что в эту вирусную P2P-сеть посылает "вакцины", которые подтыкают эти дыры на компах-жертвах.

Интересно. Правда, я бы свой состряпал, чтобы лазал и патчил до того как. Но чтобы умел ходить и по вирусной сети тоже.

Уф. Всё. Кажется, война закончена (после убийства червя комп подвергся DoS-атаке с адресов 155.230.106.121 и 218.1.36.226.

Нагенерили ещё более 50Мб траффика. Итого эта "война" мне обошласть в 700Мб входящего траффика на $70

По-моему, надо сворачивать Базу. Сохранить логи и домен, Базу сворачивать, от провайдера уходить. Нет таких денег. Нет и не будет. Извините, ребята.

Непонятно, правда, как с подписанной бумагой.

А с Базой потом разберёмся.

avmich>По-моему, надо сворачивать Базу. Сохранить логи и домен, Базу сворачивать, от провайдера уходить. Нет таких денег. Нет и не будет. Извините, ребята.

Э... В третий раз повторяю - с Авиабазой ничего не произошло, это история с моей домашней машиной.

avmich>Непонятно, правда, как с подписанной бумагой.
avmich>А с Базой потом разберёмся.

Проблема с Базой только в том, что я теперь не смогу от себя добавить не хватающих денег.

=KRoN=>Нет, ну нельзя же так! Блин! Чуть инфаркт не хватил. Заглядываю случайно в /tmp и вижу там .cinik! Сразу в руках безумная реакция и попытка лихорадочно набрать ifdown eth0... И только спустя долгую-долгую долю секунды соображаю, что ещё утром, после убийства оригинала, засунул туда одноимённый файл нулевой длины, дав ему права 000. Уф!

А владельца и группу сменил? А то все остальное по барабану. Т.к. владелец имеет право на переустановку флагов. Или он создавался как рутовский? А впрочем, если червяк захватывает рутовские полномочия, то это опять никакой роли не играет. А для temp надо еще s=bit выставлять. Кстати, даже, если ты не владелец файла и в него нельзя писать (все 000), а директория открыта, то этот файл можно удалить, а потом создать новый с тем же именем.

Добрался до дому, начну писать. Потом выставлю на интернет.

Mishka>Или он создавался как рутовский?

Угу.

Mishka>А впрочем, если червяк захватывает рутовские полномочия, то это опять никакой роли не играет.

Нет, слава Богу, Апач у меня от httpd работает, так что от httpd и червь работал.

Mishka>А для temp надо еще s=bit выставлять. Кстати, даже, если ты не владелец файла и в него нельзя писать (все 000), а директория открыта, то этот файл можно удалить, а потом создать новый с тем же именем.

Гм. Не знал. Проверю.

Крон, я понял уже. Извини. Эта теме ещё и в Главном обсуждается, не очень удобно получилось. Там и моё мнение - конечноые пользователи не должны быть ответственны за захват их компьютеров. Или у тебя специальный случай?

=KRoN=>Тут всё ещё хуже - я сегодня подписал у них бумажку, что обязуюсь выплатить означенную сумму.
Действия были произведены в состоянии аффекта.

Mishka>Потому и надо по цепочке топать. Может удасться договорится с М9.

Ну, я пока послал письмо своему провайдеру с запросом возможности выхода на их M9-провайдера.

Mishka>А с какими - не секрет?

Гы. Да обычный встроенный дефолтом в Linux Ещё во времена ~RH5.9. у нас в общаге интранет на 3 корпуса роутили.

Mishka>Странно, поле длины в IP пакете 16 бит и храниться длина всей дэйтаграммы в байтах, т.е. максимальная длина 64КБ. Если бы разбор пакета стоял, то понятно, а так - одной строкой, даже с учетом того, что HEX надо перевести ASCII - не 128КБ.

Хех. Я сейчас глянул последний tcpdump... Это надо видеть.
http://airbase.ru/kron/files/dump.rar

Только осторожно - там 52Мб и почти всё в одной строке

=KRoN=>>Сами они статистику не считают, пользуются статистикой, что им с M9 дают.
Mishka>А эту статистике пересылают раз в день?

Возможно и чаще. Но не реже раза в день, т.к. она у них есть "за сегодня".

Mishka>а что за провайдер? В смысле веб сайт бы посмотреть.

NETBYNET | У будущего свой Интернет-Провайдер! Услуги широкополосного доступа в Интернет, цифрового телевидения и телефонии в Москве и Московской области.

Mishka>И что такое М9?

Это московская опорная сеть.

Нет, ну нельзя же так! Блин! Чуть инфаркт не хватил. Заглядываю случайно в /tmp и вижу там .cinik! Сразу в руках безумная реакция и попытка лихорадочно набрать ifdown eth0... И только спустя долгую-долгую долю секунды соображаю, что ещё утром, после убийства оригинала, засунул туда одноимённый файл нулевой длины, дав ему права 000. Уф!

Проверь почту, Володь!

a_valery>Ты можешь простыми словами объяснить грозит ли эта беда абсолютно всем или же только продвинутым юзерам?

Ну, попробую, как я сам всё это представляю, в исходнике вируса не ковырялся, лениво...

Поражаются пока только Linux-компьютеры (есть версия, вламывающаяся и на FreeBSD, но она малораспространена).

Через какую-либо из дыр в машине (обычно дыра в OpenSSL, но есть версии, рассчитанные и на переполнение буфера) червь вламывается на машину (получает управление), протаскивает за собой исходник (около 70кБ весьма грамотного Си-кода), компилирует его, и запускает полученный бинарник. Тот, в свою очередь сканирует Интернет в поисках других поражабельных компьютеров и попутно включается в распределённую вирусную сеть. По команде "из центра" компьютеры сети могут начать атаку любого заданного компьютера, в т.ч., понятно, что и не Linux'овые. Обычно - DDOS-атака.

a_valery>Достаточно ли для защиты банального файрвола с тотальной блокировкой входящего и исходящего трафика или нужно хирургическое вмешательство.

Блокировка спасёт от заражения, но не спасёт от DDOS-атаки и генерации большого количества входящего и даже исходящего траффика.

a_valery>Видна ли атака на компе? Как выглядит?

Гм. Если комп хорошо прикрыт и на быстром канале, то никак. Если канал узкий или атака интенсивная - накрывается Интернет. Если комп слабый или плохо защищён - вешается.