DDoS атака на peterhost и masterhost - это только начало.

19.02.2004 14:05

В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.

Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая http://www.peterhost.ru и http://masterhost.ru, продолжается по настоящий момент и растёт по мощности со временем.

Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.

По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:

666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe

Все эти программы уже распознаются антивирусом DrWeb (http://drweb.ru)как вредоносные.

Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (http://www.famatech.com), открытая для доступа извне.

Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме
производителя Remote Administrator:
http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start

На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:
200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82

Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.

Комментарии по оптимизации сетевой подсистемы FreeBSD

Простейшая команда "netstat -w 1" помогла определить мощность атаки, vmstat показал чем занята атакуемая машина и что именно её грузит (системная область, пользовательская область, прерывания). Оказалось, что 70% - прерывания при мощности входящего потока до 150kps.

На атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:

 options     DEVICE_POLLING options     HZ=1000 
привело к тому, что загрузка сократилась до 30% на прерывания. Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).

Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.