Информационная безопасность → Github сообщили о DDoS атаке
Всю неделю пользователи Github сообщали о проблемах в работе сервиса.
Github, в свою очередь, говорили что работают над проблемой и не сказали о том что их DDoS'ят.
Я эти перебои в работе тоже ощутил на себе.
И вот, несколько минут назад, они разместили сообщение в своем блоге,
в котором рассказывают о причине всех этих перебоев.
Как вы уже поняли, причиной перебоев стала DDoS- атака, которая началась еще в субботу.
За всю неделю атак они пробыли в отключке примерно 1 час.
После совместных с хостинг провайдером(для тех кто не помнит — хостятся в Rackspace) работ, они стали чувствовать себя стабильнее и заявили примерно следующее:
«Мы защищены от DDoS атак лучше, чем когда-либо раньше, и планируем что следующая неделя выйдет лучше.»
Статус работоспособности сервиса можно смотреть в реальном времени на этой страничке.
Судя по постам на хабре, эта неделя была не сладкой не только для Github — DDoS'или многих…
Блог компании ESET NOD32 → Carberp, Facebook и ddos.plug
Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:
Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:
Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:
Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:
Информационная безопасность → Anonymous начали мстить за Megaupload
Спустя несколько минут после того, как на сайте Министерства юстиции США опубликовали отчёт об аресте основателей Megaupload, была объявлена операция возмездия Anonymous. На данную минуту в результате DDoS-атаки лежат сайты Министерства юстиции, RIAA, MPAA, Universal Music и U.S. Copyright Office.
Сегодняшняя атака стала самой крупной в истории Anonymous: 5635 человек подтвердили использование LOIC (программа для стресс-тестирования сайтов, есть клиентская и серверная версии).
Напомним, что по делу Megaupload арестовано 4 человека, выдвинуто обвинения ещё против троих (список под катом) и 20 человек из восьми стран объявлены в розыск (их имена не называются). Арестованы три дата-центра Megaupload, конфисковано имущества на $50 млн.
Сегодняшняя атака стала самой крупной в истории Anonymous: 5635 человек подтвердили использование LOIC (программа для стресс-тестирования сайтов, есть клиентская и серверная версии).
Напомним, что по делу Megaupload арестовано 4 человека, выдвинуто обвинения ещё против троих (список под катом) и 20 человек из восьми стран объявлены в розыск (их имена не называются). Арестованы три дата-центра Megaupload, конфисковано имущества на $50 млн.
Искусственный интеллект → Нейронная сеть против DDoS'а
Предисловие
Некоторые из вас наверняка недавно проходили Stanford'ские курсы, в частности ai-class и ml-class. Однако, одно дело просмотреть несколько видео-лекций, поотвечать на вопросики quiz'ов и написать десяток программ в
Matlab/Octave, другое дело начать применять полученные знания на практике. Дабы знания полученые от Andrew Ng не угодили в тот же тёмный угол моего мозга, где заблудились dft, Специальная теория относительности и Уравнение Эйлера Лагранжа, я решил не повторять институтских ошибок и, пока знания ещё свежи в памяти, практиковаться как можно больше.И тут как раз на наш сайтик приехал DDoS. Отбиваться от которого можно было админско-программерскими (
grep / awk / etc) способами или же прибегнуть к использованию технологий машинного обучения.Далее пойдёт рассказ о создании нейронной сети на Python 2.7 / PyBrain и её применении для защиты от DDoS'а.
Информационная безопасность → DDOS-бот на PHP гуляет по серверам
Сегодня, около двух часов ночи, когда я хотел отойти ко сну, ко мне в скайп написал один из знакомых. В прошлом году я помогал ему администрировать несколько его серверов. В столь позднее время он писал о том, что сетевой интерфейс одного из его серверов полностью забит, судя по графику mrtg. Я посмотрел, действительно, я даже не смог достучаться до ssh, сервер перезагрузили и начался анализ ситуации…
Блог компании «Лаборатория Касперского» → К DDoS-атаке – готовы!
Добрый день, хабровчане! Сегодня мы поделимся c вами нашими соображениями по самостоятельной подготовке к защите в случае DDoS-атаки. Тема наболевшая, и не только среди пользователей ЖЖ и других атакуемых сайтов, но и наших специалистов проекта Kaspersky DDoS Prevention.
Особенность DDoS-атак в России
Особенность DDoS-атак в России
Информационная безопасность → Наносим удар по ddos ботнету своими силами
Доброго времени суток уважаемое хабрасообщество, по просьбам хабровчан решил поделится некоторыми своими наработками борьбы с ддосом на основании личного практического опыта отражения атак.
В данной статье не будет очередного нового способа, как защититься от ддоса своими силами, информации по этому предостаточно. Мы зайдем немного с другой стороны.
Как говорится лучшая защита — нападение. Вот мы и будем с вами наносить удар по самому больному месту ддосеров — по ботам. Дополнительным приятным бонусом для нас будет то, что мы сделаем доброе дело и освободим хоть какую-то часть зараженных машин из плена злых ботнетчиков.
Понятно, что ботнет нам не убить, однако нанести порой вполне существенный удар можно, особенно если основную часть ботнета составляют дедики с руткитами, которые порой создают основную проблему при отражении атаки. Ну и кулхацкеру васе с его сотней кровью и потом добытых ботов тоже можно очень неплохо напакостить. Ибо боты, особенно на хороших каналах и из хороших регионов, стоят денег и порой немалых. Если они начнут дохнуть от посыпавшихся абуз, ддосерам может быть накладно продолжать ддосить вас и они могут повысить цену для заказчика или вообще приостановить атаку. Намного проще ддосить того, от кого не будет лишнего шума.
Информационная безопасность → Практический эпизод борьбы с DDoS
Один юноша очень любил ругаться на тематическом ресурсе. И за это его регулярно банили. А один раз взяли, да и не разбанили.
Обиделся юноша, и решил отомстить. Поднакопил денег, взял да и заказал DDoS ресурса. Благо это в РФ не уголовно, к сожалению, наказуемое деяние.
DDoS, на который юноше удалось накопить, заключался в отсылке армией ботов одинаковых HTTP-запросов.
Как водится, для придирчивых админов не нашлось удовлетворительно выглядящих решений, которые бы просто читали HTTP-лог и выдавали наружу те адреса, которые надо банить.
Поэтому пришлось построить свой лунапарк, с этим самым и этими самыми. Камрад metakey справился написать собственно логику отнесения айпи в бан, а ваш покорный слуга — настроить всю оставшуюся обвязку.
Тем, кто (предпо)читает Хемингуэя в подлиннике, можно сразу отправляться сюда. Там и код тоже можно найти.
Обиделся юноша, и решил отомстить. Поднакопил денег, взял да и заказал DDoS ресурса. Благо это в РФ не уголовно, к сожалению, наказуемое деяние.
DDoS, на который юноше удалось накопить, заключался в отсылке армией ботов одинаковых HTTP-запросов.
Как водится, для придирчивых админов не нашлось удовлетворительно выглядящих решений, которые бы просто читали HTTP-лог и выдавали наружу те адреса, которые надо банить.
Поэтому пришлось построить свой лунапарк, с этим самым и этими самыми. Камрад metakey справился написать собственно логику отнесения айпи в бан, а ваш покорный слуга — настроить всю оставшуюся обвязку.
Тем, кто (предпо)читает Хемингуэя в подлиннике, можно сразу отправляться сюда. Там и код тоже можно найти.
Информационная безопасность → DDoSить можно отныне!?
Уголовный кодекс изменен в пользу хакеров
01 декабря, 2011
Совет Федерации принял третий пакет президентских поправок в Уголовный кодекс, в котором существенно отредактированы статьи главы 28 «Преступления в сфере компьютерной информации».
Как заявляют эксперты, старая редакция, принятая в 1996 году, давно устарела. Благодаря внесенным поправкам можно будет определять составы преступлений, без которых некоторые виды киберприступности раньше невозможно было преследовать.
С другой стороны, у новой редакции есть значительный изъян в пользу хакеров и кибермошенников. К примеру, в статье «Неправомерный доступ к компьютерной информации» такая информация определяется как «сведения […] представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Однако в данной ситуации возникает неопределенность, поскольку компьютерные сети также используют оптоволокно, в которых данные передаются с помощью света, а не электрических сигналов.
Кроме этого, из Уголовного кодекса было убрано понятие «причинение вреда ЭВМ и сети ЭВМ», под которое раньше подпадали DDoS-атаки. Судить за такие атаки по статье «Создание, использование и распространение вредоносных компьютерных программ» не всегда можно, поскольку часто киберпреступники не создают, а выкупают или арендуют уже действующие ботнеты для проведения атак.
В дальнейшем планируется внести поправки в главу 28 Уголовного кодекса для устранения всех недоработок.
www.securitylab.ru/news/410686.php
01 декабря, 2011
Совет Федерации принял третий пакет президентских поправок в Уголовный кодекс, в котором существенно отредактированы статьи главы 28 «Преступления в сфере компьютерной информации».
Как заявляют эксперты, старая редакция, принятая в 1996 году, давно устарела. Благодаря внесенным поправкам можно будет определять составы преступлений, без которых некоторые виды киберприступности раньше невозможно было преследовать.
С другой стороны, у новой редакции есть значительный изъян в пользу хакеров и кибермошенников. К примеру, в статье «Неправомерный доступ к компьютерной информации» такая информация определяется как «сведения […] представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Однако в данной ситуации возникает неопределенность, поскольку компьютерные сети также используют оптоволокно, в которых данные передаются с помощью света, а не электрических сигналов.
Кроме этого, из Уголовного кодекса было убрано понятие «причинение вреда ЭВМ и сети ЭВМ», под которое раньше подпадали DDoS-атаки. Судить за такие атаки по статье «Создание, использование и распространение вредоносных компьютерных программ» не всегда можно, поскольку часто киберпреступники не создают, а выкупают или арендуют уже действующие ботнеты для проведения атак.
В дальнейшем планируется внести поправки в главу 28 Уголовного кодекса для устранения всех недоработок.
www.securitylab.ru/news/410686.php
Информационная безопасность → Не все DDoS-защиты одинаково полезны
В преддверии выборов и в день голосования появились сообщения об атаках на сайты СМИ и политических партий. Речь идет о «DDoS-атаках», целью которых является нарушение функционирования сайтов через генерацию большого числа паразитных подключений и, как следствие, исчерпание ресурсов оборудования и каналов связи.
Мой проект — интернет-СМИ, становился объектом подобных атак неоднократно. Последний раз сервер был атакован за две недели до выборов. И хотя в день голосования нас не тронули, актуальность темы сомнению не подлежит: кибервойны превратились в инструмент политической борьбы, говорится в посвященном хакерским атакам накануне выборов докладе Межрегиональной ассоциации правозащитных организаций АГОРА.
По данным ассоциации, в день выборов в Государственную Думу нападению подверглись 25 интернет-ресурсов, включая крупнейший в России сервис блогов Живой Журнал и сразу несколько сайтов независимых СМИ — Коммерсанта, Большого города, радиостанции Эхо Москвы, The New Times и Slon.ru. К вечеру воскресенья большинство сайтов возобновили работу, однако сайт Коммерсанта оставался недоступен. Ранее DDoS-атакам подвергались сайты Новой газеты, Ведомостей и ФИНАМ FM.
В этой связи возникает несколько вопросов: кто? зачем? как бороться?
На вопросы об исполнителях и заказчиках должны отвечать правоохранительные органы. Цели и задачи таких атак, кажется, лежат на поверхности. Поэтому сейчас мы остановимся на теме противодействия. В этом нам поможет давший мне интервью Константин Ефимович Тимашков — руководитель компании, специализирующейся на защите от DDoS-атак, абонентская служба которой расположена в Брянске.
Мой проект — интернет-СМИ, становился объектом подобных атак неоднократно. Последний раз сервер был атакован за две недели до выборов. И хотя в день голосования нас не тронули, актуальность темы сомнению не подлежит: кибервойны превратились в инструмент политической борьбы, говорится в посвященном хакерским атакам накануне выборов докладе Межрегиональной ассоциации правозащитных организаций АГОРА.
По данным ассоциации, в день выборов в Государственную Думу нападению подверглись 25 интернет-ресурсов, включая крупнейший в России сервис блогов Живой Журнал и сразу несколько сайтов независимых СМИ — Коммерсанта, Большого города, радиостанции Эхо Москвы, The New Times и Slon.ru. К вечеру воскресенья большинство сайтов возобновили работу, однако сайт Коммерсанта оставался недоступен. Ранее DDoS-атакам подвергались сайты Новой газеты, Ведомостей и ФИНАМ FM.
В этой связи возникает несколько вопросов: кто? зачем? как бороться?
На вопросы об исполнителях и заказчиках должны отвечать правоохранительные органы. Цели и задачи таких атак, кажется, лежат на поверхности. Поэтому сейчас мы остановимся на теме противодействия. В этом нам поможет давший мне интервью Константин Ефимович Тимашков — руководитель компании, специализирующейся на защите от DDoS-атак, абонентская служба которой расположена в Брянске.