|
Moin ! Folgendes : Ein Freund berichtete mir über schwere Attacken auf sein IRC Netzwerk. Das ganze wird verursacht durch eine nicht grad kleine Ansammlung verschiedener komponenten inkl. Trojaner.. (das ganze hat ca. 1MB!) Das Ding wird irgendwie über den Netbios Port 139 eingeschleust. Was das Ding noch so alles anstellt, vermag ich nicht zu sagen, da ich mich nicht besonders mit soetwas auskenne.. Das Ding installiert sich also über Netbios und startet sich. verbindet sich dann zum einem IRC Netzwerk und floodet es ohne ende mit floodbots. Das Problem dabei ist, das jeder infizierte Rechner dabei zur "floodmaschine" wird, unabhängig davon ob man mit dem IRC zu tun hat oder nicht. Fakt ist, das sich auf dem IRC Netzwerk meines Bekannten pro sekunde bis zu 200 floodbots einloggen - und somit fast alles zum stillstand bringen. Laut seiner Aussage bringt es auch nichts, die ip ranges zu bannen, weil zum einen dadurch viele normale user auch gesperrt werden würden die bots aber sobald sie gebannt sind, eine ddos attacke starten.. Von daher dachte ich, ich frage mal die Fachleute hier, ob evtl. irgendwer helfen könnte. Ich hab mir dieses - wie soll mans nennen - "programm" (eher ne .exe sammlung) von ihm schicken lassen. Vielleicht könnte sich das einer von den Experten mal genauer anschauen und etwas über funktionsweise sagen, bzw. was das Ding eigentlich alles auf dem Rechner anstellt, so das man vielleicht ne lösungfinden kann, der Sache Herr zu werden. Wäre echt superklasse. Denn bis jetzt wissen wir ja leider nur annähernd, was tatsächlich passiert, bzw. was das Ding im IRC anrichtet. Aber da da irgendsoein Telnet tool bei ist, weiß ich nicht, ob man dadurch irgendwelchen Freaks Haus und Tor öffnet. |
Hat er schon mal einen Virenscanner wie KAV von www.avp.ch oder GAV von www.gladiator-antivirus.com benutzt? Und wenn ihr wisst, das er ueber Netbios herein gekommen ist, wieso schliesst ihr diesen Port nicht, oder schuetzt zumindest die Shares mit einem besseren Passwort? |
Schicks an virus@rokop-security.de |
</font><blockquote>Zitat:</font><hr />Original erstellt von raman: Hat er schon mal einen Virenscanner wie KAV von www.avp.ch oder GAV von www.gladiator-antivirus.com benutzt? Und wenn ihr wisst, das er ueber Netbios herein gekommen ist, wieso schliesst ihr diesen Port nicht, oder schuetzt zumindest die Shares mit einem besseren Passwort? </font>[/QUOTE]Es geht ja nicht darum, das sein oder mein Rechner infiziert sind und bei uns sind die ports eh dicht. Nur sind Er so wie auch ich Admins in IRC Netzwerken. Und da er mom. arg betroffen ist, versuche ich irgendne Lösung zu finden. Wie gesagt, das problem liegt für uns primär darin, das sich dieses "Ding" auf jedem x-beliebigen Rechner mit offenem NB Port einschleichen kann und dadurch zur "Floodmachine" mutiert. Das heisst, die infizierten Rechner connecten teilweise 100 Fach zum IRC Netzwerk. Und das ist unser problem. Es ist super stressig, wenn der ganze Abend nur noch daraus besteht, irgendwelche Bots aus dem Netzwerk zu kicken, damit es halbwegs reibungslos läuft. Nur weiss ich langsam nicht mehr, wie man dem ganzen Einhalt gebieten soll - vor allem auch, weil man mehr oder weniger nur weiß (wir zumindest) woher plötzlich die ganzen Bots kommen, bzw. wie das ganze verursacht wird - jedoch nicht, wie dieser ganze mist auf dem infizierten Rechner läuft. Nur muss das Problem ja auch irgendwie an der Wurzel zu packen sein :( Und die User wären auch froh, wenn wir ihnen sagen könnten da was passiert, und worauf sie achten müssen. |
Was ist denn, wenn ihr die Channels auf Invite only stellt? Björn :confused: |
</font><blockquote>Zitat:</font><hr />Original erstellt von .:[Raven]:.: Es geht ja nicht darum, das sein oder mein Rechner infiziert sind und bei uns sind die ports eh dicht. Nur sind Er so wie auch ich Admins in IRC Netzwerken. </font>[/QUOTE]Sorry, Denkfehler meinerseits! :( |
Lucky, das bringt auch nicht wirklich was, weil wenn keiner mehr in die Räume kommt ist das schon blöd.. Und das jeder der wo rein will erst mal nach "Erlaubnis" fragen soll ist irgendwie blöd. Ausserdem hält das die Bots ja nicht davon ab, zum Server zu Connecten - die überlastung bleibt also :( |
Was genau administriert ihr dort? Einen IRC-Server oder ein ganzes Netzwerk? Besteht euer Problem in einer "Verstopfung" des Netzwerks mit Traffic oder machen die Bots nur SYN-Flooding? docprantl |
Ich selber bin nur Admin auf einem IRC Server, mein Kumpel in einem größeren Netzwerk - ich versuch ihm nur irgendwie zu helfen. Ich kopier einfach mal nen Teil des Gespräches hier rein, hoffe das ist ok. </font><blockquote>Zitat:</font><hr />-ich wär öfters da wenn die ganzen attacken auf mein netz net so hoch wären.. -floodbots -zu hunderten -ca. 600 bots fangen an zuspammen da wirste bekloppt -es joinen ca. 200 pro sekunde <Raven>und was für hosts? -die kriegste net in den griff wenne die bannst fangen sie nen ddos zustarten die scheiß teile -die hosts sind das problem <Raven> wieso? -ich hab den quellcode von den bots -die teile hacken sich eigenständig in rechner ein per netbios in windoof rechner -also port 139 - naja die hosts sind weltweit -frankreich spanien, england, brd, usa <Raven>achso -die scannen ja per inet irgendwelche ip ranges, hacken sich ein, ändern das admin pw -und so hab ich keine chance die teile auszuschalten -gehen also wie nen trojaner über port 139 rein, installieren sich dadrauf, starten sich, verbinden sich zum IRC - dann kannste mit dem bot script per remote einloggen und die dinger administrieren </font>[/QUOTE]Zum einen hat also das Netzwerk durch Traffic drunter zu leiden, und zum anderen gehen die bors wohl auch noch in sämtliche Räume und spamen diese zu.. |
gibt es keine gemeinsamkeit der bots, die man ausnutzen könnte, um die per script rauszuschmeißen? irgendwelche nick-änlichkeiten, floskeln beim betreten eines raums, etc.? .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von .:[Raven]:.: ca. 600 bots fangen an zuspammen da wirste bekloppt ... -es joinen ca. 200 pro sekunde</font>[/QUOTE]Heißt das, die Bots flooden den IRC-Channel mit Textmüll, den ihr in euren Chatprogrammen seht? </font><blockquote>Zitat:</font><hr />wenne die bannst fangen sie nen ddos zustarten die scheiß teile</font>[/QUOTE]Gegen einen DDoS hilft euch euer Upstream-Provider (zumindest sollte er das ;) ). </font><blockquote>Zitat:</font><hr />-die teile hacken sich eigenständig in rechner ein per netbios in windoof rechner -also port 139</font>[/QUOTE]Dagegen kannst du als IRC-Admin nichts machen. Die von den Bots "befallenen" Rechner müssen nicht zwangsläufig etwas mit eurem Chat zu tun haben. </font><blockquote>Zitat:</font><hr />-die scannen ja per inet irgendwelche ip ranges, hacken sich ein, ändern das admin pw</font>[/QUOTE]Ein völlig normales Verhalten... </font><blockquote>Zitat:</font><hr />Zum einen hat also das Netzwerk durch Traffic drunter zu leiden, und zum anderen gehen die bors wohl auch noch in sämtliche Räume und spamen diese zu.. </font>[/QUOTE]Hast du schon mal mit eurem Upstream-Provider gesprochen? HTH, docprantl |
Moin Moin, also wie Raven schon schilderte. Mit diesen Dingern hab ich derzeit extreme Probleme. </font><blockquote>Zitat:</font><hr /> Was ist denn, wenn ihr die Channels auf Invite only stellt? </font>[/QUOTE]Wir haben schon ein Defcon system sobald wir darein wechseln werden modes wie Nsm usw. eingestellt. Aber das Problem ist halt das die Bots zu scharen inenrhalb von sekunden connecten. entweder flooden sie channels zu oder öffnen nur wahnsinnig viel channels innerhalb von 3-5 minuten schaltet der ircd sich in den HighTraffic Modus, ich hab es bisher nur so in den griff bekommen den ircd wo der flood stattfand für 2-3 minuten runterzufahren. Ich habe den Bot mal in die Finger bekommen also es ist mIRC mit einem script und diversen anderen dateien (NetbiosScanner usw.) in dem script ist eine zeile die einen bestimmten port öffnet aber den kann man ja durch editierung des scripts ändern (leider) wie viels andere. Ich habe jetzt einen proxy scanner installiert und den so konfiguriert das er nach dem offenen port scannen soll. Ich werde dann mal hier posten obs geklappt hat oder nicht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board