Всё не так просто... » ботнет http://www.lab108.ru Мэрфолог-практик Sat, 10 Sep 2016 19:25:18 +0000 ru-RU hourly 1 http://wordpress.org/?v=3.9.14 iBot – Ботнет на маках /2009/04/20/ibot-botnet-na-makakh/ /2009/04/20/ibot-botnet-na-makakh/#comments Mon, 20 Apr 2009 13:20:58 +0000 /?p=1864 Маки признали распространёнными компьютерами, а макось распространённой системой. Кто то не поленился и написал бота под макось.



Заражение производилось самым примитивным способом – бота прицепили паровозом к пиратским версиям программ распространяемых через торрент. Ещё раз: пользователь сам скачивал программное обеспечение, содержащее паразитный код и сам его устанавливал. Примерно так же распространялись вирусы на писишках лет десять – пятнадцать назад при перетаскивании программ с одного компьютера на другой.

Авторы трояна сыграли на любви к халяве и иллюзорном ощущении безопасности. Вирусов под макось нет, значит не нужен антивирс, способный определить наличие заразы в скачанных файлах? Зачем покупать дорогие программные продукты, если можно их скачать? Любой мало мальски грамотный пользователь платформы wintel знает, что прежде чем что то ставить на родимый компьютер надо это что то проверить антивирусом, а лучше двумя. Особенно, если это что то скачано из интернета.

Не смотря на способность думать по другому у мак-пользователей нет ни привычки, ни возможности делать то же самое, хотя, свитчеров среди них изрядное количество. Но самоконтроль по части безопасности куда то делся.

Не сказать, что под макось нет антивирусов, но то, что под эту же макось много заразы тоже не скажешь. Да и ботнет установился вручную, а не через явные или скрытые дыры системы. Или пользователи заражённых компьютеров собственноручно не вводили свои пароли при проверке администраторских прав? Вводили. В макоси любой чих, нуждающийся в администраторских полномочий, требует ввода пользовательского пароля. Ибо, пользователь с флажком “администратор” в обычной обстановке не отличается от простых смертных.

Грабли, на которые наступил мир Windows попались под ноги миру Маков. Хотя, казалось бы, элементарное соблюдение правил техники безопасности при работе с непроверенными источниками гарантировало бы от проникновения такой заразы.

]]>
/2009/04/20/ibot-botnet-na-makakh/feed/ 1
гм /2008/07/01/gm/ /2008/07/01/gm/#comments Tue, 01 Jul 2008 05:56:00 +0000 /2008/07/01/gm/ судя по графикам работы почтового сервера ботнеты ожили в понедельник часам к девяти вечера.
видимо большинство спамеров перепилось по случаю победы Испании на чемпионате Европы.

]]>
/2008/07/01/gm/feed/ 0
spam и iptables /2008/06/25/spam-i-iptables/ /2008/06/25/spam-i-iptables/#comments Wed, 25 Jun 2008 08:51:00 +0000 /2008/06/25/spam-i-iptables/ смотрю логи вчерашнего всплеска спама и думаю вот над чем:
ботнетовские компы пытаются одновременно поднять несколько соединений. как правило 5 – 7, есть всплески до 10 – 20, но их немного.
похоже, что придётся поднимать ещё одну линию обороны на брандмауэре. будем ограничивать количество одновременных соединений с одного IP примерно такой конструёвиной:

iptables -A INPUT -p tcp -syn --dport 25 -m connlimit --connlimit-above 5/s -j REJECT

вопрос только в том, каким числом ограничивать одновременные соединения? надеюсь, что 5 – 6 хватит для валидной почты. или до 3 – 4 уменьшить?..

пойду пробовать.

]]>
/2008/06/25/spam-i-iptables/feed/ 0