Главная Интернет

Ddos атака

Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая http://www.peterhost.ru и http://masterhost.ru , продолжается по настоящий момент и растёт по мощности со временем.

Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.

По результатам исследований специалисты установили, что «замусоривание» создают небольшие по размеру исполняемые программы на «заражённых» компьютерах. Это «.exe» файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер — от 3072 до 5120 байтов. Возможные имена программ:

666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe

Все эти программы уже распознаются антивирусом DrWeb (http://drweb.ru)как вредоносные.

Скорее всего, это ненастоящая «инфекция». Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном — на них установлена программа Remote Administrator 2.x (http://www.famatech.com), открытая для доступа извне.

Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на блоге
производителя Remote Administrator:
http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start

На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:
200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82

Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.

Письмо соответствующего содержание отправлено в рассылку BUGTRAQ (http://www.securityfocus.com)

Следующий материал
Предыдущий материал

КОММЕНТАРИИ

1
  • 19.02.2004 18:46 DDoS атака на peterhost и masterhost — это только начало.

    В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.

    https://bsd.opennet.ru/opennews/art.shtml?num=3424