Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2009-12-12 22:37:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Wobbler - Afterglow
Entry tags:ddos

подборка статей про ботнеты
Вот новая пачка ботов, собранная за полдня
позавчера:

http://verbit.ru/LJR/botnet-12-dec-2009.txt

Старая (4-е декабря) тут:

http://verbit.ru/LJR/botnet.txt

Открывается медленно, потому что ддосят.

Немного исследовал список.
Заметил две две вещи.

1. Практически полное отсуствие русских IP
в первом списке. Один на 5275. Из Белоруссии - вчетверо
больше, из Израиля пачками. Во втором списке тоже немного.

2. Вот что говорит nmap -O, выборочно запущенный на
некоторые адреса (в основном компы были выключены, естественно).

Interesting ports on host-48-net-1-160-119.mobilinkinfinity.net.pk (119.160.1.48):
Not shown: 984 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
4444/tcp filtered krb524
5060/tcp open sip
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
8080/tcp open http-proxy
8888/tcp open sun-answerbook
No OS matches for host

Interesting ports on client-190.40.82.37.speedy.net.pe (190.40.82.37):
Not shown: 997 filtered ports
PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
443/tcp open https
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running (JUST GUESSING) : Thomson embedded (89%)
Aggressive OS guesses: Thomson ST 536i ADSL modem (89%)
No exact OS matches for host (test conditions non-ideal).

Interesting ports on adsl2107.4u.com.gh (41.210.2.107):
Not shown: 999 filtered ports
PORT STATE SERVICE
8701/tcp open unknown
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router|WAP|switch|storage-misc|remote management
Running (JUST GUESSING) : Solwise embedded (93%), D-Link embedded (92%), TRENDnet embedded (92%), CastleNet embedded (91%), Huawei embedded (91%), ZTE embedded (91%), Allied Telesyn embedded (89%), IBM embedded (88%)
Aggressive OS guesses: Solwise SAR100 ADSL modem (93%), D-Link DWL-624+ or TRENDnet TEW-432BRP wireless broadband router (92%), Zoom X5 ADSL modem (91%), D-Link DSL-500G ADSL router (91%), Huawei MT882 ADSL modem (91%), ZTE ZXDSL 831 ASDL modem (91%), Allied Telesyn AT-9448Ts/XP switch (89%), IBM BladeCenter management module (firmware BRET85L), IBM System Storage TS3100/TS3200 Express Model tape library, or HP StorageWorks MSL2024 tape library (88%), Linksys BEFSR41 EtherFast router or D-Link DCS-6620G webcam (87%), Nokia N81 mobile phone (Symbian OS) (87%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 16 hops

Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 1.75% done; ETC: 21:53 (0:01:25 remaining)
Interesting ports on 190.87.153.84:
Not shown: 998 filtered ports
PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running (JUST GUESSING) : Thomson embedded (91%)
Aggressive OS guesses: Thomson ST 536i ADSL modem (91%), Thomson SpeedTouch 510/510i/530/580 DSL modem (85%)

Ничего особо интересного, вполне себе
обычный ботнет на миллион зомбированных
виндозных ящиков с кабельным провайдером.
Долбится, конечно, дико агрессивно (от каждого
компа приходит по 5-6 запросов в секунду), но
только и всего, ботнет и ботнет.

Процентов 70-80 всех ботнетов в мире управляются
из России/Украины
, остальные в основном из Китая.

Отсутствие русских IP в списке, кстати, объясняется
весьма легко - почти все такие деятели ходят под гебе,
соответственно, во избежание трений с куратором,
отечественные компы они не трогают. Иначе куратору
придется их отмазывать от русских ментов, а это никому
не нужно, ни ментам, ни куратору. От иностранных
ментов отмазать не проблема же, суверенненько так.

Но, судя по составу второго списка, особо тут
никто не парится. При том, наибольшее количество
зараженных компьютеров по всему миру располагается
в России (вместе с Бразилией и Турцией), что
символизирует.

Вот небольшая подборка статей про ботнеты
http://news.cnet.com/8301-10789_3-10086352-57.html
http://www.theregister.co.uk/2009/03/16/bbc_botnet_bought/
http://news.cnet.com/8301-10789_3-10040669-57.html
http://www.theregister.co.uk/2008/08/04/dutch_botnet_herders_arrested/
http://www.theregister.co.uk/2009/07/02/3fn_takedown/
http://news.cnet.com/8301-1009_3-10246721-83.html
1 | 2

Привет



(Читать комментарии) - (Добавить комментарий)


(Анонимно)
2009-12-13 13:54 (ссылка)
"контрольная закупка".

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]xaliavschik
2009-12-13 15:05 (ссылка)
Если уж только совсем тупые попадутся.
Меня бы точно не поймали.
Мог бы автоматически провести через yandex-деньги,
потом через Paypal и т.п.
Чепуха, в общем.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2009-12-13 15:19 (ссылка)
>Если уж только совсем тупые попадутся.

Мы рассматривали очень гипотетическую ситуацию, когда и вебмани и все вебмани нальщики подконтрольны гебе, а другие способы, в том числе и всяческие цепочки, не рассматриваются. (Врочем Миша бы наверняка не постеснялся бы пропостулировать что все остальные конвертеры и нальщики (в яндекс деньги и так далее) тоже под гебе... )

Чтобы поймать ботнетовода в такой гипотетической ситуации, нужно купить ботнета, и проследить когда кошелёк (или другой кошелёк у которого тот же пользователь, и куда сброшены деньги ) будет налится. Узнав это нужно предупредить куратора по нальщику (которому ботнетовод перевёл деньги) чтобы ловил ботнетовода при получении бабла.

Алсо армейский ботнет это мега бред. Если уж кто и делает ботнет, то это спецслужбисты. Они гораздо более высокоорганизованы чем армия.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]xaliavschik
2009-12-13 15:34 (ссылка)
Они гораздо более высокоорганизованы чем армия.

Это спецслужбисты о себе такие байки распространяют.
На самом деле - бестолковая алкашня, знающая
несколько стандартных разводок, и всё.
Даже современная прогнившая армия всё-таки
поддерживает функционирование достаточно сложных
технических систем. Кроме того я лично
по роду деятельности знаю несколько полувоенных
предприятий у нас, где до сих пор всё очень "на уровне".
То есть они там не только "пилят бюджет",
но кое-что и делают, и специалистам бабло доходит.

Хотя армию я ненавижу конечно сильнее чем гэбню.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2009-12-13 16:03 (ссылка)
>Даже современная прогнившая армия всё-таки
поддерживает функционирование достаточно сложных
технических систем.

Ага, и торсионные двигатели в космос запускают http://www.lenta.ru/articles/2009/04/15/again/ за счёт налогоплатильщиков.

Сложные технические системы в гражданских НИИ разрабатываются. Военные же ими пользуются по типу админчиков: прочитал манул - жми на кнопки, сломалось - замени такую то запчасть. Никакой особой организации для этого не надо.

Если уж кто из военных и мог бы занимается этим, то это ГРУ ВС РФ, но это совсем не их профиль работать "населением"...

>Кроме того я лично
по роду деятельности знаю несколько полувоенных
предприятий у нас, где до сих пор всё очень "на уровне".

Да не, смешно. Ничего там не на уровне если с западом сравнивать...

Типичный бывший почтовый ящик, это неповоротливая, неспособная на инновации организация, в которой рулят не ушедшие в бизнес (в 90ые когда не платили) старпёры, в отрыве от современной технической реальности методов и практик. Работают там в основном выпускники профильных вызов, с соответствующим "качеством" образования.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]xaliavschik
2009-12-14 09:50 (ссылка)
Типичный бывший почтовый ящик, это неповоротливая, неспособная на инновации организация, в которой рулят не ушедшие в бизнес (в 90ые когда не платили) старпёры, в отрыве от современной технической реальности методов и практик.

Это те учреждения, которые фактически попали под сокращение, и от которых не требуется реальных результатов. Не все такие. Где надо, там работа ведется и специалисты оплачиваются. Я же из своей практики говорю.

(Ответить) (Уровень выше)


(Анонимно)
2009-12-13 15:26 (ссылка)
Хотя с другой стороны хуй их знает этих которые в CВР и ГРУ. Проблема имхо в том, что заниматься диссидентами это не по их профилю, а по ФСБшному как раз.

(Ответить) (Уровень выше)


(Читать комментарии) -