Autor: Marcin Kuczera (marcin.n0-spam_at_poczta.rybnik.pl)
Data: Thu 08 Jan 2004 - 16:38:32 MET
jak juz wiele osób tutaj napisalo - to sa DDoS trojany wykorzystujace dziure
RPC.
Fakt ze ataki z internetu sa bolesne, ale bolesne sa tez ataki z wewnatrz
sieci.
Ogólnie nasze wewnetrzne sa czyimis zewnetrznymi.
Pierwsza rzecz jaka powinni zrobic wszyscy operatorzy to zablokowac port
tcp/135.
W ten sposób wykluczy sie zarzazanie nowych internetowiczów z dziurawymi w
99% systemami.
Co do wyczyszczenia zarazonych wewnatrz swojej sieci to zrobilem tak, ze
biega sobie na routerze taki snifferek który slucha na kazdym interfejsie
portu 135.
Jezeli aktywnosc usera na tym porcie jest wieksza niz 5 pakietów / 10
sekund, wtedy takiego kolesia czeka blokada. Blokada wyglada tak ze
wyswietla mu sie strona www z informacja i instrukcja obslugi co ma zrobic
oraz z latkami. Jedne co takiemu dziala to poczta oraz gg.
Acha, jest tez link "odblokuj" i jezeli dany delikwent sie naprawi, to klika
na ten link i po problemie. Jezeli kliknie a sie nie naprawil to system go
bardzo szybko wrzuci z powrotem.
Skuteczne w 99%, czasmi trzeba recznie reagowac.
Marcin
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:26 MET DST