Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая https://www.peterhost.ru и https://masterhost.ru , продолжается по настоящий момент и растёт по мощности со временем.
Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.
По результатам исследований специалисты установили, что «замусоривание» создают небольшие по размеру исполняемые программы на «заражённых» компьютерах. Это «.exe» файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер — от 3072 до 5120 байтов. Возможные имена программ:
666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe
Все эти программы уже распознаются антивирусом DrWeb (https://drweb.ru)как вредоносные.
Скорее всего, это ненастоящая «инфекция». Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном — на них установлена программа Remote Administrator 2.x (https://www.famatech.com), открытая для доступа извне.
Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на блоге
производителя Remote Administrator:
https://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start
На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:
200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82
Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.
Письмо соответствующего содержание отправлено в рассылку BUGTRAQ (https://www.securityfocus.com)
КОММЕНТАРИИ
19.02.2004 18:46 DDoS атака на peterhost и masterhost — это только начало.
В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.
https://bsd.opennet.ru/opennews/art.shtml?num=3424