Anti Botnet ( Conosciute )

[q9c9p 19]

Gente! e' arrivato l'arrotinoooooooooooo!!!

Questa notte voglio condividere con voi questo piccolo loop shell e un paio di siti.

Per qualche tempo sono stato minacciato da una persona che aveva a disposizione due botnet, la zeus e una propria.

Alla ricerca di una soluzione scoprii la lista di spamhaus DROP ( acronimo di Don't Route Or Peer ), una lista di segmenti di rete compromessi o dirottati per fini criminali, qui trovate le informazioni originali DROP and EDROP - Don't Route or Peer lists - The Spamhaus Project mentre qui trovate la lista http://www.spamhaus.org/drop/drop.txt

Cercando ancora meglio scoprii il sito abuse.ch - The Swiss Security Blog dove vengono tracciate 3 botnet, la zeus, la palevo e la spyeye.

Abuse.ch e' anche un bel sito di informazioni sulla sicurezza informatica.

Le liste per le botnet tracciate da abuse.ch sono qui:

https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist

https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist

https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist

Per informazioni piu specifiche su che tipo di botnet siano vi consiglio di chiedere a google.

Io personalmente molto brutalmente scarico le liste e faccio un loop shell che passa attraverso le file list e ruota a nullo tutti quegli ip.

Per entrare nel dettaglio, supponiamo che abbiate scaricato le liste in /root ognuna tipo zeus.list palevo.list drop.list ecc:
 

#!/bin/bash



# per lista in *.list

for i in /root/*.list; do

   echo "Routing traffic from $i to blackhole"

   # per ogni ip di ogni lista

   for blockip in `cat $i`; do

      # prima ripuliamo per non saturare la tabella di routing

      ip route delete $blockip 2>&1 > /dev/null

      # e poi redirigiamo verso il buco nero

     ip route add blackhole $blockip

   done

done

Cosi per lo meno potrete dormire tranquilli sapendo di poter mitigare un minimo attacchi da suddette botnet, ma ripeto, un attacco ddos ( denial of service distribuito ) se fatto in grande stile non e' mitigabile senza una soluzione hardware che puo anche risultare molto costosa.

Spero possa tornare utile a qualcuno, prossimamente pubblichero la lista di blocchi di rete per stati, tipo bloccare tutta o quasi la rete nigeriana e asiatica.
Queste liste vengono da siti di sicurezza informatica, ovviamente pubblichero anche le fonti ufficiali

IIInchiaaaa PAURAAAA!!!

LO ZOO DI 105 - I TAMARRI - Panico paura - YouTube

 

Ⓐ q9c9p Ⓐ

[Swordself 196]

bah, fortunatamente ho il server da ovh.

[q9c9p 19]

OVH la peste nera di internet, il datacenter piu compromesso di europa, quasi peggi di quegli infami di Aruba.

 

Ma ti rendi conto di quello che dici? ma hai letto il tuo /etc/sysctl.conf? Quelli di ovh hanno disabilitato tutte le protezioni di rete configurate ( tipo la sysctl per le syn ) in quel file, per non parlare del loro kernel con una patch vecchia e buggata di grsecurity, non ti forniscono ne la patch ne i sorgenti da cui hanno compilato il kernel ( che va contro la licenza GPL , il sorcio me lo devi dare ) oltretutto che da problemi di performance e non ti permette di usare la priorita' realtime dei processi.

 

Ti assicuro se stai su OVH ti posso buttare giu il server in ogni momento. ;)

 

Tu lo sai vero che i ritardi nella consegna dei server nuovi al nuovo datacenter e' perche' i cinesi gli hanno compromesso tutta la struttura ancora prima di aprirla vero?

 

q^c^p

[Jason 677]

OVH la peste nera di internet, il datacenter piu compromesso di europa, quasi peggi di quegli infami di Aruba.

 

Ma ti rendi conto di quello che dici? ma hai letto il tuo /etc/sysctl.conf? Quelli di ovh hanno disabilitato tutte le protezioni di rete configurate ( tipo la sysctl per le syn ) in quel file, per non parlare del loro kernel con una patch vecchia e buggata di grsecurity, non ti forniscono ne la patch ne i sorgenti da cui hanno compilato il kernel ( che va contro la licenza GPL , il sorcio me lo devi dare ) oltretutto che da problemi di performance e non ti permette di usare la priorita' realtime dei processi.

 

Ti assicuro se stai su OVH ti posso buttare giu il server in ogni momento. ;)

 

Tu lo sai vero che i ritardi nella consegna dei server nuovi al nuovo datacenter e' perche' i cinesi gli hanno compromesso tutta la struttura ancora prima di aprirla vero?

 

q^c^p

Quoto assolutamente, +1 meritato. E' vero quello che hai scritto qui.

Solo una cosa mi manca, quella dei cinesi.. wat?

[MCinemaGamer 102]

Il Sold Out non era a causa del TurnOver ???

[Swordself 196]

si è turnover.

 

Ovh ha protezione ddos inclusa da settembre, il VAC

(si attiva in automatico in caso di attacco)

 

lo sai che anche questo forum, il server di dol, teamspeak ecc ecc è hostato da un server ovh?

[Kaos 1233]

Bella la speranza di bloccare gli attacchi via software, ancora più ridicole le lamentele per l'uso di un kernel nemmeno obbligatorio da usare.

 

si è turnover.

 

Ovh ha protezione ddos inclusa da settembre, il VAC

(si attiva in automatico in caso di attacco)

 

lo sai che anche questo forum, il server di dol, teamspeak ecc ecc è hostato da un server ovh?

 

TeamSpeak no.

[q9c9p 19]

Kaos, stai manzo, non ce bisogno di scaldarsi, se rileggi ho scritto che e' una "soluzione" contro i lamerini non di certo contro grossi attacchi e sopratutto voleva essere l'inizio di una discussione sulle tecniche di hardening di rete, ma mi sbagliavo, questo e' un forum di minecraft e non di informatica, portero la mia discussione altrove, stai tranquillo ;)

 

Non sapevo del VAC di  OVH, un amico che ha appena ricevuto il server ( dopo mese e passa di aspettativa ) mi conferma che siano migliorati con la location nuova e che da vari test risulti ora affidabile.

 

Rimane il fatto che storicamente OVH abbia intrapreso scelte di mercato molto brutte, leggevo su hosting talk di vecchi progetti ritirati dal mercato dopo pochi mesi, si parlava di vps e non di dedicati.

 

Ora vi racconto un altra storiella, degli amici avevano un server kimsufi-ovh con il kernel in questione, installammo il kernel ufficiale ubuntu per svariati motivi che non cito, feci il grande sbaglio di "smanettare" di notte e impostare il boot di grub al singleuser invece che al boot del kernel lts, vabbe chiamiamo ovh e chiediamo sse e' possibile riavviare la macchina e far partire il kernel loro, la risposta:

 

"Non possiamo, l'unica cosa che possiamo fare e' formattare e reinstallare la macchina per 20 euro" ( tutto documentato via mail )

 

Dopo qualche smadonnamento e qualche fax qui e li siamo riusciti a farci avviare la macchina senza formattarla e a aggiustare il danno fatto da me. Nessuno e' perfetto io per primo ma a questo servono i forum no? Per discutere, analizzare e progredire, o serve solo per sentirsi fighi su facebook?

 

E del fatto che disabilitano in default un sacco di settaggi di sysctl che ne dici?

 

Saluti

[Pe46dro 440]

Stai manzo?

[Kaos 1233]

Non sto senz'altro come un cibo, sicuramente una cosa non bella è leggere disinformazioni buttate all'aria. Parlando dei 20 euro non parti dalla considerazione che i server sono unmanaged, questo significa che ogni minimo lavoro che loro facciano ricade in 2 casi:

1) La causa è del cliente, quindi il cliente stesso deve pagare i 20 euro + iva.

2) La causa è loro, il cliente non paga niente.

I dettagli qua: http://www.ovh.it/supporto/dichiarare_incidente.xml

 

Che cambino molto frequentemente i loro prodotti lo presenti come una cosa negativa, invece tendono sempre a sfrecciare verso le novità, basta che l'idea lanciata sia già passata o non competitiva che percorrono un'altra strada. Ovviamente il prodotto "vecchio" acquistato lo lasciano in mano al cliente fino a quando non lo dismette di sua spontanea volontà. (spinto anche dalle nuove offerte)

Il fatto che giochiate con la serie kimsufi dice tutto. (giocattolini anti professionali solo per test, per i quali hanno finalmente spostato il supporto su forum e non più via ticket lasciando spazio a chi lavora)

[q9c9p 19]

ehhehehe immaginavo che te la prendevi per la battuta sulla carne.

 

"il fatto che giochiate", semmai il fatto che altri giochino, io prendo hosts solo in germania e islanda, si sono costosi ma insomma spesso le cose che valgono hanno un bel prezzo...o sbaglio?

 

Io sono sempre stato scettico su chi intraprende queste stratgie di mercato che confondono la clientela, ma e' una opinione personale non dico che tu debba essere daccordo, non mi permetterei mai. Lo vedo come una cosa negativa perche' appunto non sono coerenti. Proporre sempre roba nuova e lasciare marcire la roba vecchia...

 

Guarda le review di hosting talk...non lo dico mica solo io...

 

Poi si avresti anche ragione a dire che se in 10 ti dicono di buttarti da un ponte sei liberissimo di non farlo e che spesso le masse percepiscono i cambiamenti in maniera completamente erroronea.

 

Pero, boh, imho ovh non era professionale, poi se la storia sia cambiata magari grazie a un cambio di locazione e quindi ( spero ) anche di staff e' un altro paio di maniche.

[Warnik 370]

Più che altro con OVH non capisco come possono confondere un processore i3 con un processore E3, esperienza personale... Il mio primo dedicato doveva avere un E3 1245 invece mi sono ritrovato un i3 2100, dopo vari smadonnamenti sono riuscito ad ottenere quello che volevo. Solo dopo due e dico due mesi. Pagati.


Sent from my iPhone using Tapatalk - now Free

[q9c9p 19]

Dimenticavo,

 

il topic era sulle botnet conosciute e sui vari siti di sicurezza che le tracciano, torniamo in topic e discutiamo della loro attuale efficacia please?

 

E mi scuso per i termini rudi. Ma credevo che i forum servissero a questo, scambiare idee e informazioni, confrontarsi e crescere.

 

grazie

[Swordself 196]

Dimenticavo,

 

il topic era sulle botnet conosciute e sui vari siti di sicurezza che le tracciano, torniamo in topic e discutiamo della loro attuale efficacia please?

 

E mi scuso per i termini rudi. Ma credevo che i forum servissero a questo, scambiare idee e informazioni, confrontarsi e crescere.

 

grazie

Beh l'ot è partito da te...ma comunque.

 

Come posso testare quello script se non ho nessuno che mi attacca e ho la protezione automatica integrata?

Non me ne intendo molto di sta roba..

[q9c9p 19]

Spero di non andare contro alcuna regola pubblicando questo pdf, e' una analisi-spiegazione di uno della internationals journals of engieneering and sciences

 

http://www.ijens.org/vol_12_i_03/1210803-7474-ijet-ijens.pdf

 

Nel pdf dimostrano le tecnice base di attacco e difesa utilizzando hping per gli attacchi e iptables per la difesa, prendilo come una guida di riferimento per testare e stressare la tua rete o il tuo server. Comunque ci sono anche nuove tecniche quindi non prenderlo come oro colato ma come una guida di riferimento/ispirazione.

 

Ciao!

 

ERRATA CORRIGE: si parla di botnet e segmenti di rete compromessi, se vuoi testare se funziona devi affittare da qualche criminale una serie di ip della Zeus o altre elencate sopra

[Swordself 196]

Spero di non andare contro alcuna regola pubblicando questo pdf, e' una analisi-spiegazione di uno della internationals journals of engieneering and sciences

 

http://www.ijens.org/vol_12_i_03/1210803-7474-ijet-ijens.pdf

 

Nel pdf dimostrano le tecnice base di attacco e difesa utilizzando hping per gli attacchi e iptables per la difesa, prendilo come una guida di riferimento per testare e stressare la tua rete o il tuo server. Comunque ci sono anche nuove tecniche quindi non prenderlo come oro colato ma come una guida di riferimento/ispirazione.

 

Ciao!

 

ERRATA CORRIGE: si parla di botnet e segmenti di rete compromessi, se vuoi testare se funziona devi affittare da qualche criminale una serie di ip della Zeus o altre elencate sopra

e un dossatore con un server con più di 200mbit di banda non va bene?

 

tu quanto puoi dossar?

[q9c9p 19]

Zio please rileggi, quel loop semplicemente "banna" gli ip e i segmenti di rete compromessi dalla zeus, dalla palevo e dalla spyeye.

 

Fine.

 

Ti protegge da attacchi o compromissioni DA QUEI SEGMENTI e basta...tipo dalla gente che paga altri per usare quelle reti per attaccarti.

 

Capito?

 

Ciao!

[Swordself 196]

Zio please rileggi, quel loop semplicemente "banna" gli ip e i segmenti di rete compromessi dalla zeus, dalla palevo e dalla spyeye.

 

Fine.

 

Ti protegge da attacchi o compromissioni DA QUEI SEGMENTI e basta...tipo dalla gente che paga altri per usare quelle reti per attaccarti.

 

Capito?

 

Ciao!

Zio scusa, non sono un informatico.

 

Beh, comunque a me non serve dato che c'è il vac.

 

Ad altri potrebbe servire, ma di solito i "lamerini" non fanno attacchi talmente potenti da mandare offline un server, spesso il server assorbe tutto.

[Kaos 1233]

Un attacco preposto per la saturazione di un server è evitabile in due modi:

1) Avere più banda dell'attaccante.

2) Utilizzare un firewall fisico.

Il documento che hai riportato protegge dagli attacchi più insulsi, più leggo iptables e più rido. Sono i bambini che si illudono di "vincere" un problema così grosso con le guide copia-incolla.

[q9c9p 19]

Scusa ma non capisco tutta la rabbia che hai contro di me...

 

Ho creato questo topic parlando delle botnet attive e dei siti che le tracciano, poi vabbe ho fatto io il rude e ho subito, bona.

 

Il papello in questione sopra e' solo a scopo didattico, e si e' vero sono attacchi insulsi, ma sono le basi storiche...non capisco perche' tu te la debba prendere con me cosi usando toni cupi, il tizio mi ha chiesto come testare la rete del proprio server e gli ho dato un papello storico per avere della documentazione in mano da cui cominciare...

 

Sto seguendo svariati forum per svariati motivi e causa febbre sto andando un po insieme.

 

Tu dici hardware, ma l'hardware in quanto maneggia traffico digitale e' sempre software, che poi sia veloce perche dedicato solo a quelle operazioni allora ok.

 

Tu dici avere piu banda dell'attaccante, RIPETO IN CAPS COSI MAGARI LEGGI PERCHE PARE CHE NON LEGGI TUTTO

ma appunto come dicevo se ce un attacco distribuito che supera la tua banda e ti satura non ce niente da fare come confermi anche tu o hai una soluzione hardware o nada.

 

Ma tu nella tua omiscente comprensione mi sai dire perche ruotare a nullo tutte queste botnet non serve a nulla al posto che cercare di bullizzarmi in pubblico?

 

Non vedo guide copia e incolla, era una discussione SULLE BOTNET ESISTENTI E SUI SITI CHE LE TRACCIANO.

 

Stai cercando di bullizzarmi per qualche frustrazione personale? kaos possiamo portare questo screzio fra me e te in privato e tornare a parlare del topic in se stesso?

 

grazie

[Warnik 370]

Scusa ma non capisco tutta la rabbia che hai contro di me...

Ho creato questo topic parlando delle botnet attive e dei siti che le tracciano, poi vabbe ho fatto io il rude e ho subito, bona.

Il papello in questione sopra e' solo a scopo didattico, e si e' vero sono attacchi insulsi, ma sono le basi storiche...non capisco perche' tu te la debba prendere con me cosi usando toni cupi, il tizio mi ha chiesto come testare la rete del proprio server e gli ho dato un papello storico per avere della documentazione in mano da cui cominciare...

Sto seguendo svariati forum per svariati motivi e causa febbre sto andando un po insieme.

Tu dici hardware, ma l'hardware in quanto maneggia traffico digitale e' sempre software, che poi sia veloce perche dedicato solo a quelle operazioni allora ok.

Tu dici avere piu banda dell'attaccante, RIPETO IN CAPS COSI MAGARI LEGGI PERCHE PARE CHE NON LEGGI TUTTO
ma appunto come dicevo se ce un attacco distribuito che supera la tua banda e ti satura non ce niente da fare come confermi anche tu o hai una soluzione hardware o nada.

Ma tu nella tua omiscente comprensione mi sai dire perche ruotare a nullo tutte queste botnet non serve a nulla al posto che cercare di bullizzarmi in pubblico?

Non vedo guide copia e incolla, era una discussione SULLE BOTNET ESISTENTI E SUI SITI CHE LE TRACCIANO.

Stai cercando di bullizzarmi per qualche frustrazione personale? kaos possiamo portare questo screzio fra me e te in privato e tornare a parlare del topic in se stesso?

grazie

Non è che ti sta bullizzando, tu hai aperto una discussione e Kaos sta semplicemente rispondendo dando la sua opinione, si chiama dibattito, non è niente di così strano.


Sent from my iPhone using Tapatalk - now Free

[Pe46dro 440]

Non è che ti sta bullizzando, tu hai aperto una discussione e Kaos sta semplicemente rispondendo dando la sua opinione, si chiama dibattito, non è niente di così strano.


Sent from my iPhone using Tapatalk - now Free

Si chiama nonnismo ora warnerò kaos...

 

Comeque Warnik ha ragione...se volevi che nesssuno rispondesse potevi aprirti un sito su altervista e scrivere questa cosa...allroa la gente leggeva e andava via...se invece vai in un forum c'è un dibattito su come migliorare/capire il tutto...

[Kaos 1233]

Non sto bullizzando nessuna persona in particolare, ho solo voluto ribaltare un'opinione che tira in ballo botnet di grande portata, siti lustri come spamhaus, termini scollegati come il kernel fornito da ovh e cinesi che compromettono tutto... dinnanzi ad un codice bash "miracoloso" che di soluzioni proprio non ne porta e rivelazioni per le quali ovh non c'entra niente.

Equivale a parlare di un computer mostruoso con un alimentatore da 400W, quello che intendo dire io è: attenti, non illudetevi, l'alimentatore da 400W non farà mai accendere il pc!

Non sono sicuramente onnisciente e di cose ne devo imparare anch'io: il mondo di internet è fortunatamente enorme.

Per la domanda che mi hai posto: creare un filtro blackhole per bloccare una zeus (che ha fatto tanto scalpore per i pc infetti quando scoperta) sul server stesso vittima non serve a niente, il nullrouting evita un nuovo instradamento dei pacchetti non la sparizione nel nulla di tali pacchetti, ecco perchè va fatto su un nodo che non dev'essere il server stesso ma un apparato, router, apposito.

[Jason 677]

Più che altro con OVH non capisco come possono confondere un processore i3 con un processore E3, esperienza personale... Il mio primo dedicato doveva avere un E3 1245 invece mi sono ritrovato un i3 2100, dopo vari smadonnamenti sono riuscito ad ottenere quello che volevo. Solo dopo due e dico due mesi. Pagati.


Sent from my iPhone using Tapatalk - now Free

Solo a me danno robe migliori a prezzi minori? trolololol

 

Non sto senz'altro come un cibo

Questa vince

 

 

Comunque il vac di ovh è un "filtro" disposto a livelli

[Triad2006 99]

Io penso che il problema sia a monte: se OVH protegge o no la sua rete è la questione, non tanto che server ci mette dentro.

Immagino che OVH abbia un bello stanzone pieno di server, tutti con la loro connessione ma penso anche che ci sia un qualche livello di protezione di base come una serie di firewall ( perché ovviamente non avranno una singola linea ) e controller di rete adeguati.

 

Se delle botnet più o meno estese attaccano un server prima o poi saturano la banda, solitamente diecimila-ventimila pc di casa insieme hanno complessivamente più banda di un singolo server, specialmente se sfruttano programmi appositi ( vedi LOIC e simili ).

Tuttavia esistono un'infinità di protezioni che costano realmente poco se paragonate al costo orario di un attacco con una botnet, quindi che convenienza avrebbe OVH, o chi per loro, a non proteggersi ?

 

Scelte di mercato errate possono accadere ma se OVH è ancora li e vende significa che regge, anche perché non tutti usano OVH solo per server di Minecraft ma molti fanno girare applicativi per lavoro, che quindi rendono soldi e non possono mettere a rischio i dati degli utenti come niente fosse.

Quindi basta pensare che esistono milioni di vulnerabilità e non tutte possono ne vengono coperte in tempi brevi ma bisogna distinguere da un tipo di attacco LOIC-like, un ddos a molti punti fatto per ottenere un disservizio, cosa che può anche costare molti soldi, da un bambino incazzato che spende 10-20 euro per rompere le palle al server che lo ha bannato, ammesso che gli bastino così pochi soldi XD

 

Se OVH è gestita da professionisti, e lo è per certo dato che vende e resta aperta, probabilmente ha subito un adeguamento di costi fatto male che li ha portati a dover rifare il lavoro da capo, inserendo le benedette protezioni hardware più adeguate al caso.

Probabilmente OVH, non avendo fornito una buona protezione prima, si sarà affidata a qualche azienda esterna che si occupa solo della sicurezza, ecco il perché dei casini.