Kada losi momci imaju vise moci nego dobri...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nisam tacno znao gde da strpam ovu temu, posto moze i u Zastitu a i u IT desavanja u svetu.
Nadam se da ce ovde vise ljudi da je procita.

Sve je pocelo oko Nove Godine, kada je jedan fin momak objavio da je otkrio nov nacin pravljenja rootkitova (bez da ostavi puno detalja), i objavio je snimak ekrana (video) kao dokaz.
On takodje pravi jedan od poznatijih anti-rootkit detektora.
Najavio je da ce u svoj program da ugradi detekciju i za tu novu vrstu rootkitova.
Tu su stvari krenule naopako...
Losi momci su ga vec imali na oku posto je njegov program i inace medju najboljim RK-detektorima (ako ne i najbolji).
Nakon objavljivanja informacije o svom novom otkricu, poceo je DDoS na server koji je hostovao njegov sajt.
Oborili su ga kao nista.
Uzeo je dedicated server i registrovao novi domen, i oboren je 2 sata nakon sto je ba jednom poznatijem sajtu osvanulo obavestenje o novoj adresi. To se desilo drugi dan nakon pustanja novog sajta u rad.
Javio sam se coveku da mu pomognem, posto imam mogucnost da mu odrzim mirror na tri servera.
Na onom istom poznatom sajtu su postavljeni linkovi ka mojim mirrorima istog dana, posto je program zaista potreban.
Nakon dva dana padaju sva tri moja servera.
Kontaktirao sam administratore - jedan mi je rekao da imaju tehnickih problema, tj. da je crkao gateway, drugi mi se nije javio, dok mi je treci rekao da su morali da mi ugase sajt zbog enormnog DDoS-a.
Posto sam video da je covek raspolozen za razgovor, objasnio sam mu zbog cega je doslo do DDoS-a, i zamolio sam ga da mi da barem nesto detalja od onoga sto se desilo. Pa kaze meni admin:
- islo je i do 25.000 http 'get' requesta po sekundi
- zahtevani su redom svi fajlovi sa sajta (html, jpg, zip), u proseku 70kb po requestu
- 3.5 miliona requesta za manje od dva dana, cak i ako su me skinuli sa DNS-a jos prvog sata napada
- morali su da jave nadprovajderu da ih oslobodi malo muke jer je server poceo da trokira
Server je na Tehnickom Univerzitetu u Becu i inace jak je kao zemlja:
HP 9000 / L2000
CPUs: 4 x PA 8500 á 440 MHz
Memory: 5 GB
OS: HP-UX 11i
Net: 1GB Ethernet
HDD: 2 x 18 GB Platten intern

Pao je kao zvecka pred ovim DDoS-om...

Nakon pada mojih mirrora (jedinog izvora tog programa u tom momentu), javljaju se jos desetak dobrovoljaca koji su zeleli da pomognu...
Rezime:
- svaki od njih je bio napadnut sa 500-1000 IP adresa sirom sveta
- za 4 dana su imali potrosen bandwidth od 80 do 300GB, kako koji
- napadnuti smo bili kako sa kucnih kompjutera, tako i sa servera koji hostuju neke sajtove na '.net' domenu.
- prvo su pravili detaljnu mapu svakog servera (spisak i URL-ove fajlova), tako da bi po premestanju fajlova iz foldera u folder oni preskenirali (brute-force) foldere na serveru i napad bi se nastavljao nakon prekida manjeg od dva minuta

Danas su poceli i napadi na online virus skenere (Virustotal i Jotti).

Ukoliko bilo ko ima ideju sta bi moglo da se uradi da se zaustavi napad sa sada vec 10.000 IP adresa, zamolio bih vas da se javite.
Bilo ko ko ima volju da hostuje 500kb fajl, i da ima volju da zrtvuje svoj web-space - dobrodosao je.
Zadnjih dana smo poceli da uploadujemo taj program na RapidShare i slicne sajtove, pa i na Google-tove servere (blogovi).
Situacija je ocajna...

Zakljucak:
Najveci krivac za ovako distribuiran napad su korisnici Windowsa kojem nije radjen update (hint: nelegalne kopije), i koji nemaju instalirane firewallove.
Dnevno se proizvede do 50 modifikacija postojecih botova, koje se dovoljno razlikuju od originala tako da ih antivirusi ne detektuju sa starim definicijama.
Jedina moguca zastita je dobar firewall i patchovan Windows.
Da li je mozda i vas komp ucesnik ovih napada?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Probao bi da uzmem dedicated na EV1.
Bas da vidim da li bi me onaj njihov Anti-DDoS sistem odbranio.

I naravno u iptables:
$iptables -I INPUT -p tcp --syn -j DROP
$iptables -I INPUT -p udp -j DROP
$iptables -I INPUT -p icmp -j DROP
i onda dozvoliti recimo samo HTTP port.

U Apache staviti onaj Anti-DDoS modul.
Konfgurisati ga tako da 'bad IP address-e' stavlja na DENY u iptables.

I ovo bi, po mom znanju, moralo da eliminise DDoS.

Dopuna: 11 Jan 2007 2:48

bobby ::- islo je i do 25.000 http 'get' requesta po sekundi
- zahtevani su redom svi fajlovi sa sajta (html, jpg, zip), u proseku 70kb po requestu
- 3.5 miliona requesta za manje od dva dana, cak i ako su me skinuli sa DNS-a jos prvog sata napada
ovo bi ja resio za manje od 2h... pa makar h4x0r imao i 30.000 IP adresa.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa vidi, kompletan napad je isao preko HTTP porta (HTTP GET request), tako da nisam siguran koliko bi iptables pomogao.

Sto se tice IP adresa, statistika je u proseku sledeca (za 25.000 napada u sekundi):
- oko 3000 napada sa jednog IP-a (RIPE kaze da pripada .net domenu i da nema provajdera, znaci da je negde na T1-T3 po mom misljenju)
- par komada od po 2000-2500 sa kucnih kompova (Evropa i Brazil po RIPE-u i GeoIP-u).
- ostatak su kompovi sa slabijim vezama, sa po 20-100 napada u sekundi

Svako od njih ti skine u proseku 70kb podataka (to je admin mog servera izracunao, ja prenosim), pa ti vidi koji je to bandwidth.

Kako sada spreciti HTTP GET, tj. kako razaznati los od legitimnog HTTP GET requesta?

Dopuna: 11 Jan 2007 2:53

Evo statistike napada sa jednog od mirora koji je trpeo 600.000 napada na sat (prva kolona je broj HTTP GET-ova, druga je IP):
 240632 85.117.1.229
 165746 86.71.248.105
 151739 88.15.237.180
 140979 90.18.36.237
 111577 84.5.141.170
 111506 87.122.65.122
  92747 200.207.24.69
  89181 89.139.30.112
  86725 82.176.178.166
  76350 82.78.145.193
  72689 88.137.85.118
  63460 84.103.110.196
  61150 84.74.17.142
  54688 82.174.132.25
  53144 84.10.239.25
  50401 195.23.176.128
  48934 81.219.221.164
  45854 213.51.8.164
  42471 213.190.195.100
  42051 213.39.172.175
  41528 87.206.141.229
  39629 213.93.91.163
  39377 212.160.111.2
  34622 88.107.212.14
  33682 83.26.16.254
  32985 82.73.217.175
  31413 81.171.23.182
  29898 80.3.0.10
  29541 91.3.15.62
  29300 80.37.253.69
  28358 84.84.73.44
  28151 82.125.85.83
  27543 213.201.49.19
  27215 85.71.204.160
  26641 200.58.147.51
  25464 83.214.212.138
 ...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Moze iptables vrlo lepo da ogranici SYN pakete po sekundi

Onaj Apache modul, koji pominjem, belezi IP adrese koje recimo za jednu sekundu naprave vise od 3 HTTP GET request-a.
Namestis da takve IP adrese odmah stavi u iptables, i za 5 min bi imao lepo isfiltriran saobracaj

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mozes li da napises tacno uputstvo, sa linkovima ka tom modulu za Apache, pa da prenesem ljudima?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sutra do uvece dobijas
Mada ce biti zeznuto ako vas je provajder vec odseko sa neta, jer ce se desiti isto sto i nama dok smo se hostovali u Srbiji... pustice vas opet, i onda ce vam opet zavrnuti slavinu kad krene DDoS pa ce vam jos i gundjati...
Jedino da obavestite provajdera da ne intervenise, ali zato morate spremno docekati napad.
I nadam se da server ima dovoljno veliki link ka svetu, da bi mogli SYN paketi uopste da dodju do servera, gde bi se isfiltrirali.
Koliko veliki - ne znam. Sto veci to bolji.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Samo je moj nalog na fakultetu odsecen jos kod nadprovajdera.
Bio mi je odsecen i nalog kod mog ISP-a (free 20 mb), ali su ga vratili pre tri dana. To ovaj link sto mi stoji u profilu. Kada su ga vratili, jedan dan je bio dostupan samo iz Austrije, pa ga sutradan pustili i u ostatak sveta, ali su mi preuzeli vlasnistvo nad folderom gde sam drzao sporni program (stavili da je root owner).
Na fakultetu su mi uradili isto - stavili da je owner root + sto kod nadprovajdera iskljucili.
Na drugom fakultetu pojma nemam sta se desava, admin ne odgovara na mailove.

Ostali mirrori su uglavnom ispunili kvotu za ovaj mesec.
Dvojici je log-fajl ispunio kvotu na HD-u na serveru, pa im ni mail vise nije radio

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sumnjam onda da ce ti izaci u susret ti isti admini.
Nista bez svog dedicated servera, po mogucstvu na EV1.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Peca ::Onaj Apache modul, koji pominjem, belezi IP adrese koje recimo za jednu sekundu naprave vise od 3 HTTP GET request-a.
Namestis da takve IP adrese odmah stavi u iptables, i za 5 min bi imao lepo isfiltriran saobracaj smešak

Pa zar to nemoze odmah da se uradi iz iptables? Tj. da se ogranice konekcije po izvoru? pf packet filter to veoma fino radi...+ jos dosta korisnih stvarcica za zastitu
Jos nesto; dali moze mod_evasive da se overflooduje? Cini mi se da si mi reko da tebi radi fino.
Izvinjavam se sto upadam u temu sa offtopicom (mozda i nije) samo me interesuje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mislim da moze da se overflooduje, ipak je to ogranicena tabela, ali ako bi mod_evasive jednog po jednog ubacivao na DENY u iptables - mislim da bi se tabela rascistila brzo.
E sad, jedino ako hax0r sa 3.000 IP adresa u istom momentu udari na masinu, pa mod_evasive ne stigne sve da ih pohvata, jer se tabela non-stop puni i prazni novim IP adresama, pa kritican N broj upita sa jedne IP adrese ne moze da se nikada uhvati.
U tom slucaju mod_evasive pada u vodu.

Onda bi moralo sa iptables da se ogranici SYN.

Bobby, jel da kucam detaljno objasnjenje?

Nisam bas mnogo dobar kod iptables SYN ogranicavanja, verujem da bi to soxxx ili bloodzero mogli bolje da objasne, konkrentnim iptables linijama kao pimere... i mene bi zanimalo.