Zombie, botnet itp

[y00r]

Witam serdecznie!

zacznę od tego wątku

http://www.bezpieczenstwosystemow.pl/index.php?topic=2900.0

nawiasem mówiąc bardzo przydatny i info naprawdę konkretne.

Właśnie o botnecie rozprawiać będę

Przypadki komputerów zombie pojawiły się w sieci, które prawdopodobnie generują ataki DDoS co powoduje oczywiście, że cała sieć "wypina się" na użytkowników i zarządzających

Pytanie moje takie czy ktoś może praktykował metody zawarte w w/w materiale do zwalczania zombiaków? Czyli Nepenthesa, sanboxy itp lub ktoś wie coś ciekawego na ten temat.

Botnety to dość duża upierdliwość dla sieci może warto o tym podyskutować.

Dodam że zaczęło się kilka miesięcy temu od confickera, który został wytępiony jednak prawdopodobnie nie do końce bo to chyba dość awykonalne. Potem kilka miesięcy spokoju i na dniach znów sytuacja się zdarzyła taka, że zacisło całą sieć. Co prawda pakiety nie były analizowane bo nie było czasu i środków :P tylko wypinanie z sieci portów które wykazywały na routerze overload. Potem ustało. Wiem wiem, że to prymitywna metoda dlatego też następnym razem będziemy gotowi :P

Pozdrawiam!

[karolkuich]

Z tego, co donoszą analizy firm zajmujących się bezpieczeństwem to Conficker ma się całkiem dobrze :
http://www.bezpieczenstwosystemow.pl/index.php?topic=6368.0
http://www.bezpieczenstwosystemow.pl/index.php?topic=6308.0

Ja nie jestem administratorem żadnej sieci , więc do powiedzenia w tej sprawie mam niewiele. 

[y00r]

Witam!

Nie ma na forum informacji na temat botnet`u więc postaram się napisać mały przewodnik na ten temat bo mam "przyjemność" czasem użerać się z tym więc i testować metody przeciwdziałania. Mam nadzieję, że ktoś skorzysta i będzie to fajną ciekawostką.

1. Korzystając ze sprzętowych routerów warto ustawić storm control -> odcina porty ze statusem 'overload' od sieci -> można wyczaić w którym segmencie sieci krzyczą zombiaki i zdeaktywować.

2. Na litość boską nie zostawiać na routerach loginu i hasła domyślnego, ani test czy test123 itp itd, np z tej przyczyny (stary art. ale wciąż aktualny). Jak czasem widzę w niektórych postach "Nie zmieniłem hasła z domyślnego bo nie umiem" lub "i tak nikt mi nie wejdzie na router" -> wnioskuję o definitywne odcięcie od sieci

3. Botnet najczęściej działa na portach 445, 135, 139, 22 zachęcam do zamykania tych portów na linuksie iptables na windzie z użyciem Windows worm doors cleaner

4. Monitoring ruchu w sieci np ngrep

Instalka i obsługa ngrep:

Pobierz

Do funkcjonowania wymagana jest biblioteka libpcap na przykładzie (CentOS) dostępna w menadżerze pakietów do instalki lub TU

po pobraniu ngrep roztarowujemy tar xzf (nazwa_paczki)

wchodzimy ro rozpakowanego katalogu i wykonujemy ./configure
następnie make
oraz make install <- musi być jako root

Użycie:

wpisanie ngrep w konsoli wywali wszystkie pakiety jakie tylko przechodzą przez kartę czyli dużo bałaganu

trochę filtracji:
chcemy podejrzeć aktywność portu 80 ngrep port 80
dane wysłane np z wp.pl ngrep wp <- w pakietach znajdzie fraze "wp"
znaczki "#" to dane odfiltrowane te które nie spełniają kryteriów wyszukiwania.

można łączyć słowa kluczowe potokiem "|", wrzucać do pliku dodając -W (opcja) > log.txt
opcje -W to np normal, byline, none <- porządkowanie danych w pliku

więcej o ngrep:

tu
oraz tu
i man ngrep

cdn... pozdrawiam