Выборы, выборы - ддосят сайты... 3.

Previous Entry Поделиться Пожаловаться Next Entry
16 декабря, 2011
e_kaspersky
Всем привет!

Спасибо New Times за логи! Частично разобрались.

Результат: я подтверждаю DDoS-атаку, мощность которой в разы превосходила нагрузку от обычных пользователей. Т.е. активность населения в горячий политический момент заметно возросла, но главной причиной проблем действительно была DDoS-атака, которая в основном велась из следующих стран: Иран, Пакистан, Индия, Египет, ЮАР, Вьетнам, Англия, Афганистан(!), Индонезия. DDoS-а с территории России мы не увидели... (и это очень странно).

Судя по симптомам - некоторые другие ресурсы стали жертвами той же самой или очень похожей атаки (Слон, например).

Технические детали реализации атаки нам тоже пока не до конца понятны. Мы не исключаем того, что для атаки использовались не обычные бот-сети, а другие механизмы. Разбираемся... нам тоже очень интересно докопаться до сути происходящих явлений.

// Попрошу в комментах воздержаться от политических комментариев. Что-то мне подсказывает, что ни оппозиционные ресурсы, ни Кремль-Лубянка в таких атаках НЕ заинтересованы (оппозиции нужны работающие ресурсы - а власти невыгодно привлекать дополнительное внимание к оппозиции). Кто именно стоял за этими акатами - наверное, узнаем нескоро или никогда...

Пока всё.
Метки:
Previous Entry Поделиться Пожаловаться Next Entry
Евгений, что мешает вам самим заказать ддос на подставные ресурсы и детально, без лишней мешающей информации проанализировать логи со всеми вытекающими :) Расценки сейчас божеские, доступны даже студентам. Страшно подумать, что будет творится в дальнейшем. Антивирусные компании разрабатывают все новые продукты, новые алгоритмы защиты внедряют - только рзультата на кот наплакал :(

Мой региональный ресурс также подвергся атаке. Проанализировав всю статистику до того момента, как сервер ушёл в отказ, также пришёл к выводу, что не было ботов из РФ... На обращение по ранее выложеной ссылке в Лабораторию ответа так и не получил. Успехов, в связи с этим, в дальнейшем развитии :)

Евгений, а что говорят лингвинисты?
Похоже на бот-сеть, сформированную с использованием сайтов на арабском языке?

PS Хоть один ip из Беларуси был? Если был - не тяни, скинь его мне на личку.

А смысл? Найдете либо на PC троянца, либо за компом - молодого имидж-бордового засранца =)

А что, то, что тело троянца представляет определенный интерес, понять особенно трудно?

Выборы, выборы - ддосят сайты... 3.

pingback_bot

2011-12-16 11:51 (UTC)

User bogdan_63 referenced to your post from Выборы, выборы - ддосят сайты... 3. saying: [...] Оригинал взят у в Выборы, выборы - ддосят сайты... 3. [...]

Власти все-таки намного более невыгодны эти атаки, по-моему.

1. значит, вы все-таки ошибались в том, что DDoS - атак не было.
2. то, что Кремль не заинтересован — в идеале, конечно, так и есть, но в реальности Кремль делает много глупостей, которые ему же менее всего выгодны. Соотв. вполне возможно, что это все же и был Кремль, потому, что других заинтересованных игроков в таком массовом ДДосе пока не видно.

А может все-таки совпадение? В нужный время, в нужный час - на Навального заказ.

А как бы вы (не вы лично, а Касперский лабс) где-нибудь в одном месте публиковали технические подробности разного рода таких расследований. Блог бы что ли завели как Arbor Security to the core или что-нибудь в этом духе. Это же не первый раз, когда вы публично расследуете.

Извините за вопрос, но что мне делать?
Антивирус 2012 обнаружил вирус, но вылечить не может.

Обратитесь на официальный форум - там легче будет вам помочь
(скорее всего у вас иногда встречающийся глюк, когда из списка угроз не удаляется уже вылеченная малварь)

Для начала попробуйте этот совет

1. Отключите самозащиту антивируса (Настройка - Самозащита - уберите галочку напротив "Включить самозащиту).
2. Выгрузите антивирус
Зайдите в папку:
- в XP: %ALLUSERSPROFILE%\Application Data\Kaspersky Lab\AVP<номер версии>\Report
- в Vista/7: %ALLUSERSPROFILE%\Kaspersky Lab\AVP<номер версии>\Report
Удалите файл detected.rpt из папки Report.
4. Загрузите антивирус
5. включите самозащиту.

(Удалённый комментарий)
Как мне кажется зачастую простые решения вредят больше, чем могут принести пользы. И такое мы видим постоянно вокруг, на уровне правительства, компании или семьи.
Вы не до конца продумали последствия и выбросили сообщения в сеть.

Последствия внедрения после запуска такого блокирования будут: Кто-то организует DDOS атаку из одного или нескольких операторов, их блокируют другие операторы, потом переносим запуск атаки из следующих операторов, и в течении ну очень короткого времени, практически весь мировой инет заблокирован и не работает.
Вы это предлагаете?

Это конечно все замечательно в теории, но учитывая движение в сторону FBS (full browser stack) и низкоскоростных атак с максимальной мимикрией под обычного пользователя, подобного рода схемы оказываются тотально не эффективны. Это раз.
Два: CBP. Если господа операторы сподобятся-таки не выкалывать друг-другу глаза пальцами, а включили-бы RPF LM, хотя-бы на своем access layer, хотя хотелось-бы SM и на borders ;), то жизнь уже будет здорово лучше.

нам тоже очень интересно докопаться до сути происходя

kukmor

2011-12-17 15:32 (UTC)

будем ждать результатов
:-)

?

Log in

No account? Create an account