[Danski]

Attacken var riktad mot en enda användare som går under namnet "Cyxymu" på alla sajter som blev påverkade.

Twitter, Facebook, LiveJournal, Blogger och YouTube blev alla utsatta för denna DDoS-attack.

Personen i fråga är Georgienanhängare som får ett att misstänka att Ryska aktivister ligger bakom attacken.

[Danski]

Citat:

Originally posted by Draqir@Aug 7 2009, 02:55
Ett virus, kallat Koobface anagram för facebook har börjats spridats (igen). Det ligger ganska nära ordet Knoobface => noobface jag vet inte om det var meningen med en dubbel mening där men det beskriver viruset ganska bra.
Kort sagt en liten varning;
Om ni får en länk typ "OMG CHECK some video at facebook/myspace/youtube liknande adress.. Klicka då för guds skull inte ja på att ni vill uppdatera flash media player. (Det ser precis likadant ut ladda ned setup.exe kör...) Men det är en DoS program som skickar ut tusentals requests till sidor som twitter, facebook.
Jag ska leta reda på källor när jag hittar lite icke underground källor..
Kolla t.ex.
http://vil.nai.com/vil/content/v_148955.htm
Den tidigare generationen av koobface. Ser lite annorlunda ut idag men fungerar på ett liknande sätt. Så ladda ned alla uppdateringar från leverantörens hemsida

Sprids dagligen nya virus på olika communityn men det har knappast något med överbelastningsattackerna att göra. Detta virus förlitar sig på att besökare på facebook och twitter ska klicka på deras länkar och ladda ner virus. Något som inte fungerar om sidorna ligger nere ;-)

Istället så motverkar attacken spridningen av Koobface-viruset...

[Draqir]

Citat:

Sprids dagligen nya virus på olika communityn men det har knappast något med överbelastningsattackerna att göra

Jadu Dansi, 100 000 DDoS zombies fixar du genom att vifta med trollstaven, eller vad?

Citat:

Detta virus förlitar sig på att besökare på facebook och twitter ska klicka på deras länkar och ladda ner virus.

Vilket skapar en zoombie DOS klon. Vilket är precis vad jag nämnde.

Citat:

Något som inte fungerar om sidorna ligger nere ;-)

Spelar ingen som helst roll. Jag kan försöka förtydliga lite. Om jag har 25 000 clones redan spridda, så finns det ingen nödvändighet att sprida det mer om det motsvarar det kritiska talet för hur mycket trafik servrarna kan ta i full belastning. `Jag` vill inte förstöra din dator i det här fallet, bara utnyttja den till ett ändamål och när jag har tillräckligt mycket för ett visst ändamål så finns det ingen anledning till att skaffa fler. Om jag är hungrig och blir mätt på en big mac, så beställer jag inte en miljard big mac till mig själv det är bara onödigt!

Citat:

Istället så motverkar attacken spridningen av Koobface-viruset...

Se ovan. När du har 25 000 - 50000 clones så är det bara att köra. Koobface är inte elakt egentligen, det är bara enkel DoS.

[Jine]

Med tanke på dagens utveckling av fildelning och idioti bland internetanvändare är det inte rocket-science att skapa en fully UD trojan/bot av nån existerande source - och få folk endast klicka på en länk och köra ett script...

100.000 zombies kanske är ett rätt stort botnät - men funkar det för 10, 100 och 1000 "mindre vetande" personer - så är det bara en fråga om tid och engagemang.

[Draqir]

Citat:

Originally posted by Jine@Aug 7 2009, 14:14
Med tanke på dagens utveckling av fildelning och idioti bland internetanvändare är det inte rocket-science att skapa en fully UD trojan/bot av nån existerande source - och få folk endast klicka på en länk och köra ett script...

100.000 zombies kanske är ett rätt stort botnät - men funkar det för 10, 100 och 1000 "mindre vetande" personer - så är det bara en fråga om tid och engagemang.

Absolut, 100 000 är ett väldigt stort botnät. Men jag tror det borde krävas åtminstone så många för att göra en effektiv DDoS attack på facebook. Deras server grid är ju ganska gigantiskt.

Att göra ett script som skickar ut massor av ICMP requests är ju inte direkt svårt.

Kod:

while(1) 
system("ping 10.10.10.10");

:P

Dock lite väl enkelt att skydda sig ifrån. Bättre att ta upp hela bandbredden genom dolda http requests till olika sidor slumvis så det inte går att hitta något mönster att blockera.

Ps. Jag är inte säker på om just koobface användes i detta fall, då jag inte såg det i första hand utan hörde det. Dvs.

[Danski]

Zombinätverket som koobface rekryterar till är avsett för spamutskick och hade inte nått någon spridning innan attacken mot dessa sidor. Därför hävdar jag fortfarande att det inte är koobdace som ligger bakom just denna attacken och är därför orelaterat.

Attacken genomfördes mot en individs konto som är politisk kritisk mot Ryssland för att tysta honom. Sen att det skulle påverka hela sajterna kan man bara fundera på om attackeraren hade förutspått. Koobface riktar sig till att få en spridning för att tjäna pengar på spamutskick på Facebook, MySpace, hi5, Bebo, Friendster och Twitter. Två helt olika motiv och olika sajter påverkade.

Tror och hoppas samtidigt att det inte behövs varnas på WN att inte ska ladda ner och köra okända filer. I så fall får du nog spamma ut varningar dagligen eftersom det dyker upp ett par såna här virus varje dag där många som använder just facebook. Kommer säkert på WN en vacker dag också tyvärr om man tittar på den spridningen som sker mot mer lokala och personliga virusattacker.

Då jag ingår i en grupp som forskar i zombienätverk så ställer jag mig frågande till att man skulle behöva trollspö till att styra några tusen datorer. Vår erfarenhet är att varenda spammare och annat skumrask har kontroll över ett sådant nätverk i någon omfattning.
Annars räcker det att gå in på några av de otaliga ryska forumen/IRC-kanalerna och betala några dollar så får du hyra ett. Man kommer rätt långt idag även om zombienätverket inte är i storlek med Storm som ansågs styra över 1 till 50 miljoner datorer när det var som störst.

Om du har någon "underground" källa som du skrev som hävdar motsattsen så är jag väldigt intresserad att lära mig mer då detta är ett ämne som intresserar mig stort.

[SimonP]

Appropå DDoS, nån som hört något mer ang. Sockstress?

Den attacken kräver betydligt mindre maskiner i botnätet, även ett litet botnät kan ställa till stor skada.

Cisco har i alla fall bekräftat problemet, och dom jobbar på en lösning.

http://en.wikipedia.org/wiki/Sockstress
http://sockstress.com/

Citat:

Outpost24’s Jack Louis and Robert E. Lee, two American expats now living in Sweden, gave an amusing demo of their sockstress TCP/IP state table attacks, which have been getting some attention lately. They’re working with vendors and didn’t make public any technical details of the attacks, but the attacks do look Very Serious. They also look rather misunderstood. This isn’t Yet Another Connection Flood or a SYN cookie problem. The demo brought a fully-patched XP machine to a complete freeze in about three minutes with only 30-40 (malicious) connections per second, and network utilization at the victim floating around 0.1% of 100Mbit/s. I have several ideas about what’s happening and hope to independently verify some of the attacks in the lab, but at first glance, these guys have only scratched the tip of the iceberg in what’s a rather unpleasant class of attacks. We’ll probably be dealing with this mess for a good, long while.

Citat från http://radian.org/notebook/van-helsingfors:

[Danielos]

Problemet är en balansgång, om stora tjänster börjar blockera datorer som accessar med mer än 15 ggr/sek, som är tex. infekterade med virus eller maskar som är programmerade att slå upp en specifik sida eller url, så kommer 5-10% börjar klaga att dom inte kan nå tjänsten längre. OM dom INTE blockerar med antal accesser per sekund eller med antal nya connections/sek så råkar dom ut för ddos ibland som nu hänt.

[SimonP]

Citat:

Originally posted by danielos@Aug 7 2009, 21:12
Problemet är en balansgång, om stora tjänster börjar blockera datorer som accessar med mer än 15 ggr/sek, som är tex. infekterade med virus eller maskar som är programmerade att slå upp en specifik sida eller url, så kommer 5-10% börjar klaga att dom inte kan nå tjänsten längre. OM dom INTE blockerar med antal accesser per sekund eller med antal nya connections/sek så råkar dom ut för ddos ibland som nu hänt.

Om jag inte minns fel blev väl dina sidor utsatta för DDoS, vilket antal satte du på gränsen för nya connections/s ?

[Danielos]

SimonP, det stämmer! När jag började med en statefull brandvägg och satte 35 new connections / 5 sec samt max 500 connections per IP så försvann problemet helt sedan 1 år tillbaka. Inga problem alls med ddos/dos, dock får jag in kontinuerligt rapporter på att folk blir blockade och inte når tjänsterna, en del virus rensar och det löser sig.