 Ботнеты, участвующие в «медленном брутфорсе», стали умнее |
Привіт Гість ( Вхід | Реєстрація )
| Rilian |
  Dec 24 2008, 17:35
Пост
#1
|
 interstellar  Група: Team member Повідомлень: 17 161 З нами з: 22-February 06 З: Торонто Користувач №: 184 Стать: НеСкажу Free-DC_CPID Парк машин: ноут и кусок сервера  |
Примерно в начале ноября специалисты по безопасности заметили необычное поведение ботнетов. Они начали координированную работу по медленному перебору логинов и паролей к самым разным хостам. Специалисты называют это «медленным брутфорсом», потому что скорость перебора паролей крайне мала (нужно перебрать все комбинации паролей для всех возможных логинов по словарю) — этот процесс займёт несколько лет. Но за счёт огромного числа машин, участвующих в «атаке», дело всё-таки постепенно продвигается — каждый день злоумышленники получают какой-то «улов». Запросы идут с разных IP (см. логи). Атака явно координируется из общего центра (у ботов есть общий словарь для перебора вариантов).
К настоящему моменту ботнеты перебрали уже больше половины словаря и дошли до буквы ”o”. Чем это закончится и кто стоит за странной активностью — пока не совсем понятно. Также неясно, почему злоумышленники не трогают машины под OpenBSD. Ясно только одно: в последнее время активность ботнетов претерпела изменения. Уменьшилось количество попыток подбора пароля для каждого логина с 10-15 до 1-4. Специалисты считают, что причиной этого может стать перераспределение ресурсов в ботнете. Боты динамически переключаются с более сложных целей на более простые и перераспределяют ресурсы. Поиск в интернете информации о медленном брутфорсе показывает, что первые признаки были замечены ещё в мае 2008 года. Проанализировать неизвестного противника можно только если объединить логи от разных сервисов, на которых присутствует активность этих ботов. -------------------- |
   |
 
|
|
  |
Відповідей(1 - 2)
| vano |
Jan 11 2009, 19:27
Пост
#2
|
 Один из пионеров РЦ Група: Trusted Members Повідомлень: 33 З нами з: 8-December 03 Користувач №: 31 Стать: Чол |
(Rilian @ Dec 24 2008, 17:35)  Примерно в начале ноября специалисты по безопасности заметили .... Хтось ще задається питанням, чому вірусів так багато? Правильна відповідь: бо з ними борються отакі собі горе-"спеціалісти"... За моїма спостереженнями, сервери систематично почали скануватися щодо перебору паролів до користувачів root/mysql/ftpuser/nobody/www/daemon/smmsp тощо приблизно в 2005 році. До цього - пооднокі випадки були лише. Останні 3 роки - постійно протоколи sshd завалені невдалими спробами логіну... Спостереження веду за декількома серверами приблизно з 2001 року. PS: а може це "суперспеціалісти" встановили черговий SP на свої MS-сервери і нарешті отримали хоч якісь протоколи про роботу мережевих служб?  |
|
|
|
| Paul B.Atton |
Jan 29 2009, 19:40
Пост
#3
|
 Випадковий перехожий Група: Trusted Members Повідомлень: 3 520 З нами з: 26-August 03 З: місто Київ Користувач №: 10 Стать: Чол Free-DC_CPID Парк машин: Різні процесори різних архітектур (x86, SPARC, Power) від 300 МГц до 3200 МГц jabber:Paul.Tatarenko@gmail.com |
Думаю, останнє і є.
 -------------------- |
|
|
|
|
|
|
1 Користувачів переглядають дану тему (1 Гостей і 0 Прихованих Користувачів)
0 Користувачів:
|
Lo-Fi Версія | Поточний час: 18th July 2025 - 18:15 |