Перейти к публикации
  • worldcup
    worldcup

    DDoS-атака через социальную инженерию.

    Расскажу про удивительно коварный способ DDoS-атак, с которым я раньше не сталкивался. Коварство заключается в том, что на сам сервер жертвы не выполняется никакой атаки. Вместо этого, злоумышленник провоцирует срабатывание сторонних систем обнаружения атак, заставляя генерировать совершенно настоящие жалобы (в простонародье «абузы») на ваш сервер.

    Со стороны хостера это выглядит так, будто вы занимаетесь вредоносной активностью, хотя на самом деле это неправда. Оказалось, что многие крупные хостинг-провайдеры не готовы глубоко разбираться в причинах проблемы и предпочтут вас просто забанить за нарушение правил.

    В статье подробно разбирается этот вид атаки в реальном кейсе.

    Хронология событий.

    Я держал несколько личных проектов на VPS-серверах у одного известного хостера. Однажды мне пришло от него такое письмо:

    #9042382: ToS Violation — Malicious Activity
    Hello,
    We have received a report of malicious activity originating from your server XXXX. We ask that you investigate this matter as soon as you are able. Once you have completed your investigation, kindly reply to this ticket with the answers to the following questions:
    840cef571383ef99fc1fe.png
     

    Где my-server-ip-xx-xxx это IP-адрес сервера.

    В нем хостер пересылает мне жалобу, поступившую на его ящик [email protected], и настойчиво просит прекратить вредоносную активность, иначе я буду заблокирован. В приложенном логе виден список TCP-подключений к 80 (HTTP) порту в состоянии SYN RECEIVED. То есть с моего сервера идёт SYN-флуд на чей-то веб-сервер.

    Первая мысль — меня взломали и с моего сервера идёт SYN-флуд. В Linux есть ограничения на управление сокетами с правами обычного пользователя и посылать только SYN-пакеты (без установки полноценного TCP-соединения) можно только имея привилегии root. А это значит, что взломали полностью.

    В панике бегу на сервер искать вредоносный процесс. Проверяю top, ss, lsof и ничего подозрительного не вижу. Первичный вывод: "ужас, наверное залили настолько крутой руткит, который прячет вирус на уровне ядра от всех системных утилит!". В процессе исследований выясняется, что нагрузка на сервер никак не изменилась, по графикам в панели хостера трафик на интерфейсе остается прежним.

    До этого я запускал tcpdump c фильтрами, показывающими исходящий трафик и ничего подозрительного не видел. Отчаявшись, решаю посмотреть весь трафик на сервер. В потоке легитимного трафика нахожу редкие RST-пакеты от странных серверов.

    Выглядит это примерно так, где my-server-ip-xx-xxx адрес моего сервера:

    3d8e0a1add71e568ed76a.png
     

    Было очевидно, что это аномалия, так как больше никакого обмена с этими серверами не было и почему они шлют пакет закрытия соединения, мне было неясно.

    На этом моменте опытные админы сразу бы всё поняли, но мы разберём всё на пальцах.

    Как это работает.

    Входящие RST-пакеты это ответы на попытки установить TCP-соединение на закрытый порт. При этом от моего сервера никакого исходящего трафика в сторону серверов, посылающих RST, нет. Это значит, что атакующий подменяет исходящий адрес на мой и генерирует трафик, похожий на DDoS-атаку. Но так как единственное, что может атакующий, это послать исходящий пакет, все ответы от серверов приходят на мой сервер.

    d5d582152733f8c06cabd.png
    До сервера жертвы доходят только ответы на поддельные запросы.
    Обычно такие атаки используются для DNS-амплификации, когда атакующий посылает маленький запрос от имени жертвы, а жертве приходит большой ответ, которого он не запрашивал. Это классический механизм атак на исчерпание канала.

    В моем случае атакующий не ставил целью исчерпать канал сервера-жертвы. Его активность была совершенно незаметна на графиках потребления канала. Главной его целью было спровоцировать системы автоматического уведомления о сетевых атаках, которые пошлют письмо с жалобой на abuse-адрес, указанный в whois подсети моего провайдера. Это умеют делать системы обнаружения и предотвращения вторжений (Intrusive Prevent/Detect System), такие как Snort и Suricata.

    В результате хостер получает абсолютно настоящее письмо от легитимных компаний, в котором содержится жалоба на мою вредоносную активность и даже логи в них настоящие. При этом атакующему не нужен большой канал, так как он заранее знает адреса серверов, на которых установлены IDS/IPS-системы и минимально необходимое число пакетов, чтобы сработала автоматическая жалоба.

    Единственной трудностью для атакующего является поиск сервера, разрешающего подмену исходящих IP-адресов в пакетах. Все нормальные хостеры блокируют такие пакеты. Существует только два типа хостинга, позволяющего клиентам подменять исходящий IP: либо очень безграмотно настроенный, либо специально созданный для кибер-криминала.

    Проверяем возможность подмены IP-адреса.

    Советую вам проверить своего хостера на возможность подмены исходящего IP. Для этого потребуется два сервера, один для приёма трафика, другой для отправки.

    На стороне принимающего сервера запустим логирование входящего трафика. В качестве фильтра укажем редкий порт, на котором в обычное время не должно быть трафика:

    tcpdump -i any port 9912
    

    На проверяемом сервере сгенерируем пакет с подменой исходящего IP-адреса на 1.1.1.1, направленный на порт 9912. Для этого используем крутую утилиту nping от разработчиков nmap. Она позволяет генерировать любые нестандартные пакеты на уровне L2 и L3.

    nping --tcp -p 9912 -S 1.1.1.1 receiver-server.com
    

    receiver-server.com — адрес слушающего сервера, на котором запущен tcpdump

    1.1.1.1 — подменяемый исходящий адрес

    9912 — удалённый порт

    Если на стороне receiver-server.com вы увидите пакет, пришедший от имени 1.1.1.1, значит ваш провайдер позволяет подменять исходящий IP-адрес. Это повод сообщить ему о проблемах в настройке сетевого оборудования. Зачастую такой проблемой страдают домашние интернет-провайдеры.

    Глупая техподдержка.

    Разобравшись в причинах жалоб, я подробно все изложил хостеру:

    f0541cbf69e4efdbc6339.png
     

    Тогда мне казалось, что любой квалифицированный инженер техподдержки разберётся в ситуации и вопрос будет закрыт. Но вместо этого они требовали от меня проверить сервер антивирусом или полностью переустановить ОС. Пока мы переписывались с техподдержкой, абузы продолжали поступать и через сутки меня забанили.

    Было дико обидно, что меня фактически подставили. Эта ситуация показывает, насколько уязвимы люди, которые вместо того, чтобы разбираться, бездумно следуют скриптам. С тех пор я часто привожу этот случай в пример, когда заходит спор о выборе хостинга для важных проектов. К сожалению, многие хостеры просто не могут позволить себе уделять много времени нестандартным случаям мелких клиентов и вас проще забанить, чем разбираться в ваших проблемах.




  • ПРОСТЕЙШИЙ СПОСОБ ПОДНЯТЬ БАБКИ 20-60К В МЕСЯЦ НА ПОЛУПАССИВЕ С ВК НЕОБЫЧНО !

    Всем привет Схема очень просто в реализации особенно для ленивых и новичков) написал свой мануал с картинками все как полагается, трафик с вк очень необычным способом! Скачать - Привет суть схемы очень проста.docx По всем вопросам в телегу @slinck ПОДПИШИСЬ ЕСЛИ НЕ ЗАПАДЛО И БУДЬ В КУРСЕ КОНТЕНТ КАЖДЫЙ ДЕНЬ, авторские схемы, обучение и сливы по спаму и арбитражу в телеграмм канале - Кейсы, и схемы заработка!

    slinck
    slinck
    Схемы заработка 1

    Схема быстрого набора платежеспособных подписчиков на YouTube канал без вложений

    Доброго времени суток! Представляю схему, которая поможет набрать живых и заинтересованных подписчиков на ваш YouTube канал без вложений. Для раскрутки подойдет любой YouTube канал, как “старый” с подписчиками, так и полностью “нулевой”. Достаточно одного видео на новом канале, элементарной шапки, логотипа и можно приступать к кампании по сбору подписчиков. Раскручивая свой канал методами описанными в этом мануале, вы можете быть уверены, что ваш канал не попадет под санкции и получит тольк

    maxaver01
    maxaver01
    Схемы заработка 1

    Карты под обнал

    Здравствуйте, по приглашению администрации форума создаю тему на площадке. Ищу активных, ответственных людей во всех регионах РФ и СНГ для обнала карт. Балансы 1000+$, карты не чекаю точных балансов не знаю, но меньше 1000 не было ни разу. В данный момент выслал карты для проверки по просьбе администрации, надеюсь потом получу статус доверенного. Со временем внесу залог, если будет работа именно на этом борде. Буду работать с людьми по рекомендации от доверенных лиц форума 50

    DropOBot
    DropOBot
    Продажа карт 97

    Бесценный материал: Как создать магазин в телеграмм через бота 2020

    Перед вами будет полное руководство как создать свой магазин в телеграм.  Так что буквально каждый сможет повторить это. Все платежи будут проходить через бота в автоматическом режиме. В материале есть все пошаговые настройки от и до. Любой из Вас сможет подключить систему оплаты прямо в ТГ. Присутствует инструкция по настройке своей реферальной программе. Разберём все настройки и что к чему. Основная сложность получить токен, потом останется везде зарегистрироваться и всё настрои

    alecxandrkote
    alecxandrkote
    Схемы заработка 1

    Делаем заливы по СНГ

    Переводы на карты банков СНГ   Ищем ответственных людей, с головой на плечах, которые хотят и могут серьезно работать.   Льем грязь на карты физиков Сбера, Альфы, ВТБ24, Райфайзена, ПриватБанка, БСБ, БелВЭБ и многих других. Суммы заливов от 60к руб до 220к руб. Минималка - 20к вносите в гарант, 60к получаете на карту. Транзакции инстант (проходят практически моментально) Что бы работать с нами у Вас должны быть карта(ы) и желание работать.   Хотите п

    Karlos
    Karlos
    Заливы на банковские карты 360

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11  Pro  Max  64гб - 550$ | 256гб - 660$ | 512гб - 750$ IPhone 11  Pro           64гб - 440$ | 256гб - 500$ | 512гб - 600$ IPhone XS max           64гб - 400$ | 256гб - 450$ | 512гб - 500$ IPhone XS                   64гб - 380$ | 256гб - 420$ | 512гб - 450

    NFS
    NFS
    Прочие товары и услуги 59
  • Киберугроза №1, или Как бороться с социальной инженерией.

    Зачастую компании строят киберзащиту, ориентируясь прежде всего на технические векторы атак. Такие системы могут иметь высокий уровень зрелости и казаться надежными, но при этом оставаться уязвимыми для одной из самых опасных угроз — социальной инженерии, основанной на манипуляциях человеческим сознанием. По статистике, сегодня социнженерия так или иначе применяется в 97% таргетированных атак, при этом технические векторы подчас вообще не используются или используются минимально. На первые

    ChekTime
    ChekTime
    Социальная инжинерия 2

    Заработок на покере и правда возможен

    Последние несколько лет, постсоветский рынок азартных игр набирает обороты. Несмотря на большую разновидность подобных развлечений, можно выделить игру в покер, среди остальных. Это связано с тем, что заработок на покере не является мифом, а представляет собой реальный факт.Несомненно, многие люди воспринимают его, как очередную азартную игру для лудоманов. Независимо от этого, за последние несколько лет он вышел из тени, благодаря современному софту и появлению обучающих материалов для шир

    Integra
    Integra
    Легальный бизнес 4

    Машинный слух. Как работает идентификация человека по голосу

    Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на пунктах контроля и в бытовых голосовых ассистентах, которые могут узнавать хозяина. Знаешь ли ты, как это работает? Я решил разобраться в подробностях и сделать свою реализацию. Характеристики голоса В первую очередь голос определяется его высотой. Высота — это основная частота звука, вокруг которой строятся все движения голосовых связок. Эту

    ChekTime
    ChekTime
    Биллинги, веб дизайн 2

    Чем занимается «белый хакер», как им стать и сколько можно заработать

    Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.   Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.  Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что так

    Rabb1tRun
    Rabb1tRun
    Библиотека кардера 2

    1000 рублей в день на пассиве 2020

    Полностью рабочий кейс как зарабатывать по 1000 рублей в день практически ничего не делая. Весь заработок идёт в пассивном режиме. Вложения на старте не нужны. Можно масштабировать схему и зарабатывать больше. Для увеличения заработка Вам понадобятся прокси. Скачать: https://yadi.sk/d/64OSlR15VBgYqA  

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    Продажа дебетовых карт под обнал – форум Hackatm

    Карты с балансом под обнал: где взять?   Дебетовые карты под обнал, что это такое и с чем это едят? Обнал или по-другому обналичивание денежных средств – это весьма известная схема, когда применяются дебетовые или другие карты (может быть, и счета в банках) физических лиц. На карту переводится определенная сумма, а затем происходит обналичивание в банкоматах. В основном это делается, чтобы уклониться от уплаты налогов. Если говорить о схемах, то их существует внушительное количеств

    Integra
    Integra
    Библиотека кардера 1


×
×
  • Создать...