Случилась на днях, как всегда, не в самый подходящий момент, DDoS-атака на один из сайтов, размещенных на моем сервере. DDoS-атаки бывают разные, в этот раз злоумышленники запустили HTTP флуд.

Флуд был не столько тяжелый по трафику, сколько интенсивный по количеству запросов. Причем, как назло, запросов не однотипных, а постоянно меняющихся. Все, что у меня на тот момент было из софтовых средств защиты, не могло эффективно справиться с таким флудом, поэтому пришлось использовать железные решения.

Железные решения я считаю правильным выбором, но доступны они не всем и не всегда, а многие атаки, как показала моя практика, успешно отбиваются правильным использованием доступных программных средств. К тому же, захотелось немного поэкспериментировать.

Здравствуй читатель!

Сегодня я хочу рассказать и предупредить о новом (для меня) способе отъема денег у «населения». В качестве населения в этот раз выступают пользователи довольно популярного сервиса Webmoney. Упало сегодня на почту очень забавное письмо, якобы от Webmoney:

Уважаемый участник системы WebMoney Transfer!

Система WebMoney выпустила новую версию програмы
WebMoney Keeper Classic 3.8.0.0 которая не требует
инсталляции и занимает всего 1.5mb
Эта программа находится в закрытом доступе и
отсылается на почту наших клиентов в целях безопасности.
Программа находится в этом сообщении.

Это автоматическое письмо. Если у вас есть какие-либо вопросы, Вы можете
изучить Справочную информацию: www.webmoney.ru/rus/about/demo
или отправить вопрос на адрес support@wmtransfer.com

С уважением,
Команда WEBMONEY TRANSFER

Сегодня около 8.00 (MSK) стали появляться трудности с доступом к некоторым зарубежным ресурсам. У многих «отвалилась» аська, недоступны yahoo.com, cisco.com и другие крупные зарубежные ресурсы. Через час появилась информация об аварии на морской магистрали между Финляндией и Швецией, по другой информации трудности возникли непосредственно в США. На работе получили письмо от вышестоящего провайдера с подтверждением проблем с доступом к некоторым зарубежным интернет-ресурсам.

Сроки восстановления сервиса пока не известны.

UPD: Лично у меня заработала «аська», с доступом на сайты пока трудности, видимо дело в кеше на серверах вышестоящих провайдеров.

Здравствуй хабрачитатель. Сегодня я решил поделиться с тобой своими мыслями по поводу DDoS- атак. Что это такое я не буду рассказывать – об этом сегодня знает, по-моему, даже школьник. В общем, отражая в очередной раз могучую атаку хулиганов на один из моих ресурсов, я подумал, а не предложить ли мне сообществу образованных людей ряд идей по борьбе с одним из наиболее распространенных методов подобных атак – HTTP – флуд.

Суть данной атаки сводится к следующему – зараженные компьютеры, управляемые головным сервером генерируют огромное количество запросов вида:

"GET / HTTP/1.1" XXX XXXX "

Запросы естественно могут быть на любую как существующую страницу атакуемого ресурса, так и не существующую. Причем в зависимости от «образованности» ботнета и его владельцев, атака может идти сразу на несколько URL и в зависимости от действий администраторов атакуемых ресурсов еще и менять тактику атак.

Хотел бы поделиться с тобой, дорогой хабрачитатель, небольшой историей. Начну издалека — с корней. Есть форум, форум достаточно посещаемый, причем не только целевой аудиторией, но и псевдосеошниками спамерами. Этот форум я администрирую и при просмотре новых тем потихонечку вычищаю его от спама и непременно баню авторов данных тем, так как надо наказывать хоть как то их. Не далее как вчера вечером стучится ко мне в ICQ якобы несправедливо забаненный пользователь. Из грозного послания в ICQ следовало:

1. Они поломают нафиг форум;
2. Приедут ко мне домой и даже, может быть, будут бить, причем ногами;
3. Они не спамеры, и писали нормальные посты, а мильён ссылок в одном пробеле — это вышло как-то случайно;
4. 30 топиков в минуту — это не результат деятельности бота, просто контора выходит в интернет из под NAT`а;

Еще было много смешных угроз. Все и не упомню, лишний раз жалею, что так и не сделал синхронизацию истории месседжеров на работе и дома.

После моего спокойного ответа и объяснения причин бана спамеры самоликидировались… и через 20 минут началась DDoS-атака, но это уже совсем другая история.

UPD: Вывод данной заметки: от говноспамера до уголовника — один шаг.
Спасибо хабрапользователям Novikov и fog

Решил поведать историю, которая приключилась со мной и моим сайтом на этой неделе. Начну из далека — что бы было все понятно. В виду своей деятельности помимо основной работы и посильного наполнения контентом своего сайта, я еще администрирую неофициальный сайт поддержки одной CMS и его форум (какие писать не буду — хватит рекламы и так уже), и довольно часто случается так, что приходится банить пользователей за те или иные нарушения. Естественно недовольных очень много, этого следовало ожидать.

Ребята мстили по разному — угрозы, ddos- атаки и т.п… Но вчера в списке переходов на мой сайт появилось аномально большое количество переходов с форумов. Дабы выяснить причину, я решил посетить несколько из них. Оказалось все эти форумы были проспамлены… «рекламой» моего сайта. Текст опубликованных топиков я приводить не буду — здесь есть дети, не будем их травмировать. Если отбросить в сторону все амбиции, то что тут плохого скажете Вы? Однако как раз тут только вред — нецелевой трафик это самое безобидное что мне грозит, а как «высшая» мера наказания, на которую видимо и расчитывали спамеры — это море жалоб на спам в Яндекс, Гугл и т.п., и как следствие попадание в BL и выпадание из выдачи. Для моего сайта с посещаемостью чуть больше 300 уников в сутки это означало бы неминуемую гибель.

Пришлось срочно писать письма в службы поддержки Яндакса, Гугла и разъяснять сложившуюся ситуацию, списываться с Администраторами форумов, дабы удалить сообщения, и само собой на главной у себя большое объявление — Вас обманули!

P.S.: Вчера же пришло на почту письмо, его содержание говорило о том, что это и есть организатор этих спам- рассылок на форумы. После долгой переписки с употреблением таких слов о которых я и не знал раньше — пришли к следующему, цитирую:

В сети появилась информация о том, что на следующей неделе 29 октября станет доступна beta-версия второго пакета исправлений для Windows Vista и Windows Server 2008.

По словам Майка Неша (Mike Nash), Вице- президента по управлению продуктами Windows в Microsoft, бета-версия SP2 будет включать в себя все исправления которые вышли после выпуска первого пакета исправлений и содержать изменения направленные на обеспечение поддержки новых типов аппаратного обеспечения. Дополнительно пакет будет содержать следующие компоненты:

— Windows Search 4.0. Улучшенную версию поиска, которая направлена на ускорение процесса поиска и выдачу более релевалентного результата;
— Bluetooth 2.1 Feature Pack. Данный пакет направлен на обеспечение поддержки самых последних спецификаций технологии Bluetooth;
— Возможность записи медиа на диски формата Blu-Ray;
— Поддержка UTC timestamps для файловой системы exFAT, направленную на исправление синхронизации файлов в разных часовых поясах.

кросспост с моего сайта

P.S.: Уважаемые кармаминусователи, потрудитесь объяснить чем я Вам так не угодил.

Вчера поздно вечером в центре загрузок Microsoft была выложена локализованная beta 2 браузера Internet Explorer 8. На сегодняшний день доступна загрузка для следующих версий Windows

— Обозреватель Windows Internet Explorer 8 (бета-версия 2) для Windows Vista и Windows Server 2008.
— Обозреватель Windows Internet Explorer 8 (бета-версия 2) для Windows Vista и 64-разрядной версии Windows Server 2008.
— Обозреватель Windows Internet Explorer 8 (бета-версия 2) для Windows Server 2003 с пакетом обновления 2 (SP2).
— Обозреватель Windows Internet Explorer 8 (бета-версия 2) для 64-разрядных версий Windows Server 2003 с пакетом обновления 2 (SP2) и Windows XP Professional.
— Обозреватель Windows Internet Explorer 8 Beta 2 for Windows XP

Вчерашний релиз доступен на всех языках, на которых выходит OS Windows, в том числе и на русском.

Изменений по сравнению с предыдущей версией достаточно много, особо не вникал еще. Позже подготовлю полный список изменений и нововведений.

Наконец-то сегодня появилась возможность оплатить заказанный ранее новый дизайн для сайта, набрал наконец-то немалую сумму, долго долбился в аську к дизайнеру, и вот оно чудо, ответ «Я готов Вас выслушать». Я аж подпрыгнул от радости. Взял номер кошелька, и… И все, кипер Webmoney ушел в оффлайн. Начал искать возможную проблему, проверил сеть- есть, фаервол- как часы, прокся поднята, на всякий пожарный перезагрузился, эффекта ноль. Минут тридцать крутил настройки сети, залез на webmoney.ru, скачал повторно кипер, переустановил- ОФФЛАЙН и все.

Потом еще смешнее- «Ваша версия Webmoney Keeper Classic устарела- ошибка согласования версий программы». Все, я выпал в осадок- ведь только что скачал последнюю. И тут-то я заметил ссылку на главной странице:

На серверах WebMoney Transfer проводятся внерегламентные технические работы. Планируемое время завершения работ и восстановления полной работоспособности системы — 2 часа.

P.S.: Написано на эмоциях

UPD: У меня кипер поднялся, хотя официального сообщения об окончании работ еще не было.

Пусть с небольшим опозданием, но все же считаю своим долгом поделиться с общественностью найденной новостью. Google и RITLabs объявили о запуске совместного проекта. Теперь каждый пользователь The Bat! версии 4.0 и выше сможет воспользоваться всеми преимуществами почтовой службы GMail под доменным именем TheBat.net.

В The Bat! 4.0 процесс настройки на почтовый сервис TheBat.net максимально упрощен и понятен. Однако результатом совместной работы Google и RITLabs смогут воспользоваться и пользователи третьей версии The Bat!.. Получить доступ к функциям TheBat.net можно, зарегистрировавшись на сайте компании RITLabs.

первые впечатления: Регистрация дейтсвительно очень простая и быстрая. Однако сразу хочу огорчить владельцев не лицензионной версии популярного почтовика: нужно вводить серийный номер и логин на сайте www.ritlabs.com. После окончания процесса регистрации Вам заводится почтовый ящик вида имя_пользователя@thebat.net.

Доброго времени суток Хабралюди. Второй день подряд замечаю такую вот тенденцию: юзая оперу с большим количеством открытых вкладок с давно (!) известными сайтами, замечаю что происходит неочевидное. Самовольно открывается в существующей закладке сайт с мягко сказать незаконным содержимым (/index.php?traf=adparad — домен не публикую намеренно, не люблю неоплаченную рекламу). Я бы понял если бы редирект происходил при загрузке странички или скажем в течении 5-10 минут, что и так уже много. Но открытие происходит через час, два после загрузки страницы. И в IE таких сюрпризов небыло. Качал Opera с официального сайта.

Детальное изучение исходников на сайтах от куда ушел редирект ничего подозрительного не дал. Молчит и KIS 7, и привлеченная на помощь утилита от DrWeb- cureit.exe. У меня за всю историю веб-серфинга не было посещения таких веб- сайтов, ну не люблю я варезники, порнушники и прочую дребедень.

Так в чем же дело?

UPD: Итак, как краткое резюме, скачал DrWeb Live CD, благо давно зарегистрирован как бета- тестер. Кратко о диске: загрузочный диск с урезанной до необходимого минимума OS Linux. Из утилит- графический и коммандный сканер DrWeb, mc, shell, встроенный браузер и еще некоторые полезные примочки, ну и само сабой монтируемые во время загрузки разделы жесткого диска винды. Подробнее о диске можно почитать на офф. сайте DrWeb здесь. Итогом танцев с бубном стал маленький, но вредный вирус, который из под запущенной винды не дедектировался.

P.S.: Как прочитал на одном из форумов, Vista — сама по себе один большой легальный вирус © не помню

Проведя сегодняшний вечер в активном серфинге интернета- работа обязывает, наткнулся на очень интересный пост про механизмы распознования картинки для защиты от автоматических регистраций (captcha) в доволно популярном сервисе Google — GMail.

Websense Security Labs заявила, что злоумышлиниками был разработан механизм распознования captcha, и созданы боты, которые могут регистрироваться на сервисах и службах Google. Так же сообщается о некоторой спамовой активности.

Так как лично мои знания английского довольны скромны для профессионального перевода статьи в блоге, то захламлять свой блог на хабре тоже не буду.

Хотя даже беглого просмотра статьи хватает что бы понять суть методики и маштабы возможного бедствия.

Ознакомится с сие постом можно здесь. Буду премного благодарен если кто-нибудь из хабралюдей сможет профессионально и доступно перевести сообщение блога

Долго думал писать или не писать, но потом решился. Ковыряя как всегда по вечерам исходники сайта, сегодня обнаружил такую проблему: Опера написала страшные слова- «Не удается отобразить страницу» при очередной попытке по F5 обновить страничку и посмотреть что же там получилось. Про то что упал интернет я не подумал, благо падения очень редки, долбил браузер, не помогло. Тогда решил пропинговать сервер: результат меня чуть не убил- ответы приходили через 1280 (±) мс. Напугался было, подумал что сервер валится, полез в консольку- нет живой, ко всему прочему остальной рунет работал прекрасно. Не были доступны только сервера из «моего» дата-центра в Питере.

Решение было одно: tracert. И тут стало понятно что либо рубанулась магистраль между Питером и Москвой, либо элементарное залипание канала.

В связи с вышеизложенными событиями встал вопрос о правильности сетки. Где последняя миля от стороннего провайдера, которая и обеспечивала бы мне связь с моим сервером. Я отписал в саппорт своего провайдера, жду разъяснений. К примеру с сети другого провайдера сервера отлично видно, и все работает, что сразу сняло подозрения с Дата-центра.

Пока писал топик, проблема так и не была решена. Общее время недоступности услуг уже 5 часов

Компания SecurityLab опубликовала уведомление об уязвимости в ядре Linux, которая позволяет локальному пользователю получить root привилегии на системе.

Уязвимый системный вызов vmsplice() был представлен впервые в ядре 2.6.17. Уязвимость существует из-за того, что функции «vmsplice_to_user()», «copy_from_user_mmap_sem()» и «get_iovec_page_array() файла fs/splice.c не проверяют передаваемые им указатели с помощью вызова access_ok(). Отсутствие подобной проверки позволяет локальному пользователю прочитать и записать произвольные данные в память ядра.

Таким образом, уязвимость опасна тем, что локальный непривилегированный пользователь, который имеет физический или удаленный (например, посредством ssh) доступ к системе и правильные учетные данные (включая доступ к консоли — shell), может получить привилегии учетной записи root или аварийно завершить работу системы.

Уязвимости подвержены все системы, с включенной поддержкой системного вызова vmsplice() и собранные на основе ядра версий с 2.6.17 до 2.6.23.16 и 2.6.24.2. Согласно уведомлениям, уязвимость не распространяется на ядра, которые используют патчи grsecurity, сконфигурированные корректным образом.

SecurityLab выставила для уязвимости низкий рейтинг опасности, поскольку, согласно шкале, используемой для оценки риска опасности уязвимостей, все локальные уязвимости представляют низкий рейтинг опасности. Данная оценка рассчитана на то, что целевая система корректно настроена (с точки зрения безопасности), и не существует возможности получения доступа к ней извне удаленным или локальным неавторизованным пользователем; для локальных учетных записей настроены корректные привилегии доступа, включая доступ к консоли; используются «сильные» пароли и установлены последние обновления для используемого программного обеспечения. Некорректная, с точки зрения безопасности, настройка системы сама по себе является уязвимостью и может усилить влияние других уязвимостей на систему.

Для устранения уязвимости необходимо скачать и установить исправление, доступное на сайте производителя вашего дистрибутива, или пересобрать ядро, доступное на сайте www.kernel.org. После установки исправления потребуется перезагрузка системы.

via 3dnews.ru

Adobe Systems обновила свои программы для создания и просмотра PDF-файлов Adobe Acrobat Professional, Acrobat Standard и Acrobat 3D до версии 8.1.2. Это обновление закрывает некоторые уязвимости в системе безопасности программ, исправляет ошибки с формами PDF. Кроме этого, повышена стабильность работы приложений.

Обновление поддерживается с версии 8.1.1. Забрать можно здесь

В предверии скорого выхода Windows Vista SP1 Корпорация Microsoft опубликовала официальную документацию по SP1. В ней содержиться полное описание изменений в SP1, а так же рекомендации по установке и настройке продукта. Microsoft делает большой акцент на том, что перед установкой SP1 очень важно ознакомиться с документами.

Публикация документации у Microsoft всегда приурочено к скорому выходу продукции, SP1 не стал исключением- 4 февраля Microsoft объявила о завершении работы над Windows Vista Service Pack 1, но пользователей ждало разочарование, так как компания объявила, что это обновление не будет доступно, по крайней мере, еще в течение шести недель. Планируется, что Windows Vista SP1 появится на Windows Update в середине марта. Но это обновление не будет распространяться автоматически. Только месяц спустя, в середине апреля эта функция будет включена.

Но вполне возможно, что и эти сроки не окончательные. По словам представителя Microsoft, тестеры обнаружили проблемы при использовании драйверов некоторых устройств. Компания ссылается на то, что разработчики не выполнили рекомендации при создании драйверов и теперь у пользователей, установивших Windows Vista Service Pack 1, могут возникнуть с ними проблемы. В течение следующего месяца, заверяет Microsoft, компания постарается устранить все возможные проблемы с драйверами.

Краткий обзор изменений можно почитать здесь, с полной версией документации можно ознакомиться здесь, загрузить пакет документации можно здесь

Являясь большим поклонником браузера Opera, стараюсь всегда ставить последние версии, вчера не знаю какая муха меня укусила, решил обновить сборку первой бетки 9.50 до 9.50 beta build 9755. Сначала сразу же заценил приятные и нужные изменения в парсере браузера, покапался в конфигах, вроде норм. Но… открыв Хабр я заметил следующее:

Полез чистить кэш, не помогло, откопал в закромах операционки давно пылившийся IE и о Хабрабоги- там с отображением Хабра все в порядке. Понятно конечно что так как сборка Opera тестовая и «обижаться» на нее не стоит, но разработчикам отписал, как иначе-то: Хабр криво отображается, есть над чем задуматься.

Может быть тема уже и избита по самое не хоче, но хотелось всетаки поделиться концептуальным фото мобильника от Google. Кто знает, может быть именно таким он и будет.

Оригинальное изображение доступно здесь, еще фото здесь