ㅤ
@EVP_07_KZ
ㅤ
Тут хакеры.
Ruslan
тут мамкины хакеры, это печальнее
ㅤ
Сколько надо esp что бы уложить какой нить сайт или сервер ???
Возьми узнай канал/цпу и тд у этого сервера и рассчитай свои возможности
ㅤ
Думаю твои шансы на успех околонулевые
Ruslan
я тоже думаю, не осилит посчитать
ㅤ
Я как то баловался много лет назад. Сканил публичные нтп и подбирал вдс которые позволяют спуфинг. ну при желании можно убрать какой нибудь дешевый сервак
iҚØN🐾🐾
Бесполезная затея.
ㅤ
Да не. Публичные нтп можно найти которые имеют коэффициент усиления один к тысячи.
ㅤ
Но спуфинг нужен, да. Где-то валяются скрипты
iҚØN🐾🐾
Эту дырку уже года 2 как закрыли.
iҚØN🐾🐾
Ну это ССЗБ
iҚØN🐾🐾
Закрывается все на вход по tcp/123 с состоянием NEW и делов-то
iҚØN🐾🐾
Хоть решето ставь
ㅤ
Закрывается все на вход по tcp/123 с состоянием NEW и делов-то
Во первых удп. Во вторых твой сервак то причем тут?
iҚØN🐾🐾
Досили как раз по тсп, а не удп
ㅤ
По тисипи со спуфингом 🤡 ?
iҚØN🐾🐾
Не мой сервак, а перед девайсом
ㅤ
Мы видимо говорим про разные вещи)
iҚØN🐾🐾
Ну ок, пусть будет так.
ㅤ
Ты точно представляешь как работает тисипи?
ㅤ
Нтп то по удп работает.
ㅤ
Не уверен, когда я говорю про спуфинг
iҚØN🐾🐾
А еще ты в курсе, куда полетит заспуффленный src?
iҚØN🐾🐾
При tcp
iҚØN🐾🐾
Ну да)
ㅤ
Суть такая. Атакующий создает пакет от имени сервака атакующего с просьбой прислать ему список своих пиров. И старый ntpd успешно отвечает пакетов размером в пару киллобайт своих пиров. Только на сервак жертвы
ㅤ
Суть забить канал. А ты о чем?
iҚØN🐾🐾
The attacker uses a botnet to send UDP packets with spoofed IP addresses to a NTP server which has its monlist command enabled. The spoofed IP address on each packet points to the real IP address of the victim.
Да, таки я про другую дырку имел ввиду
ㅤ
Есть куча VDS которые успешно выпускают пакеты не со своим айпи из своих сетей
ㅤ
monlist точно
iҚØN🐾🐾
Там была еще другая, когда по тсп спрашивали со спуффленным src и ответ прилетал всем сразу
ㅤ
iҚØN🐾🐾
Там прилетали тонны ack и тупо выносили все
ㅤ
Ну ACK дропаются. Как они вынесут что-то если их не ждут?
ㅤ
В monlist фишка в коэффициенте усиления. Что ты своими 100 мегабит можешь завалить вполне себе 10 гбит
iҚØN🐾🐾
Никогда не ловил вирус mssql manager?
ㅤ
Потом провайдера это заябывает и он делает бгп анонс blackhole
ㅤ
И твой айпи становятся нероутейбл
iҚØN🐾🐾
Когда я работал в одной конторе, один чувак поймал его и т.к. в конторе mssql стоял почти на каждой тачке - его все поймали. Вирус умещался в 1м удп пакете 256 байтов и ДДоС-ил внутреннюю локалку. Да так, что там и обычные пинги по 64 байт не проходили
iҚØN🐾🐾
Детектить такое тоже не смогли, проверяли зараженные тачки свитчем, у которого показывалась нагрузка на сеть
iҚØN🐾🐾
Втыкали в комп, красный - заражен, зеленый - норм
iҚØN🐾🐾
Пока эту нечесть не вынесли - сетка не ожила
iҚØN🐾🐾
Мы положили вышестоящего оператора связи, у них серия цисок полегла
iҚØN🐾🐾
Щас, попробую найти его
ㅤ
Я помню в 2006 или 2007 ловил в конторе на 200 компов windows xp какую-то хуйню которая в rpc долбилась.
Ivan
можно. вместе с козой и телегой. а остальное - Разрешите.))))
ㅤ
Забыл как вирус назывался... Вот сука он устроил пиздос
iҚØN🐾🐾
Ruslan
Я помню в 2006 или 2007 ловил в конторе на 200 компов windows xp какую-то хуйню которая в rpc долбилась.
в 2003-м, я из-за этого дерьма с XP окончательно на линукс ушёл
iҚØN🐾🐾
Нашел, Slammer
Ruslan
а в 1997 году эпично поймали винчих на компе в студ общаге, но смогли найти донора и копирнули с него чистый биос
ㅤ
в 2003-м, я из-за этого дерьма с XP окончательно на линукс ушёл
Правильно. Ведь в Линуксах никогда этого небыло
iҚØN🐾🐾
https://serverfault.com/questions/49966/mssql-2005-on-port-1433-gets-dos-from-infected-servers
iҚØN🐾🐾
https://www.computerra.ru/217473/virus-slammer-neozhidanno-vyidohsya-i-nikto-ne/
ㅤ
ну, с тех пор таких проблем не было
Да ладно мне как то помню в те же года как то на ссш успешно зашли хз как
iҚØN🐾🐾
https://www.computerra.ru/217473/virus-slammer-neozhidanno-vyidohsya-i-nikto-ne/
Я реально охренел с этого)
Ruslan
Да ладно мне как то помню в те же года как то на ссш успешно зашли хз как
старая версия видимо была, я издавна сразу отрубаю вход без ключа и все остальные лишние возможности
ㅤ
https://www.computerra.ru/217473/virus-slammer-neozhidanno-vyidohsya-i-nikto-ne/
Другой вопрос. Какой идиот виндовые сервисы наружу выставил?
Ruslan
и главное php не запускать у себя )
ㅤ
Я даже рдп не выставляю
Ivan
Правильно. Ведь в Линуксах никогда этого небыло
Вспомнилось.
Скачал вирусов себе на линух.
Распаковал.
Поставил под root.
Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.
Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.
Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.
В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...
(C)народное
iҚØN🐾🐾
Другой вопрос. Какой идиот виндовые сервисы наружу выставил?
У девелоперов были внешние ипы и они мсскл конфигурили на внутренние только. Но нашелся один новый сотрудник, который тупо не поменял это)
ㅤ
У девелоперов были внешние ипы и они мсскл конфигурили на внутренние только. Но нашелся один новый сотрудник, который тупо не поменял это)
Да я помню как с 95/98 винды пиздил файлы для диалапы... Потому что либо диск Ц был расшарен либо в смб были дыры
ㅤ
Поэтому винда и наружу не не... Только через прослойку на линуксе
Ruslan
там как-то хитрожопо было, давно работал с ним