Gigantisches Botnet entdeckt

was weder zu YaCy noch zum Thema Suchmaschinen gehört

Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » So Mai 31, 2015 2:53 pm

Hi,

ich fragte mich dauernd, warum das YaCy-Webinterface manchmal über längeren Zeitraum nicht mehr reagiert. Ich habe sogar schon einen Bug eingestellt. Außerdem habe ich mich gefragt, woher die ganzen Verbindungen zu meinem YaCy kommen, da es innerhalb von 2 Stunden über 2000 unterschiedliche IP-Adressen sind, kann das nicht allein vom DHT kommen. Heute habe ich mal Wireshark angeschmissen und den Capture Filter auf den Port limitiert, wo YaCy läuft. Außerdem habe ich einen Display Filter gesetzt, der nur Pakete anzeigt, die einen bestimmten String enthalten. Und siehe da: Mein HostBrowser wird von automatisierten Queries heimgesucht und das exzessiv und im ganz großen Stil! Um die Crawler anderer Suchmaschinen handelt es sich nicht, das konnte ich ausschließen. Es ist definitiv ein Botnet. Wie wollen wir uns vor sowas schützen? Ich denke die Peers die dynamische IPs haben und die Peers die keinen festen DNS-Namen/DynDNS haben sind davon wenig bis überhaupt gar nicht betroffen.

VG

LA_FORGE
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon Low012 » Mi Jun 03, 2015 8:05 am

Mein Peer hat auch eine feste IP, ist aber anscheinend nicht betroffen. Ich habe aber auch Wireshark nicht bemüht, sondern nur auf http://localhost:8090/AccessTracker_p.html?page=0 nachgeschaut.
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mi Jun 03, 2015 2:48 pm

Sei froh! Nachdem ich angefangen hatte eine Blacklist zu pflegen mit allen IP-Ranges von diesem Botnet und diese mit iptables zu sperren, habe ich ganz schnell wieder damit aufgehört, da es immer wieder neue Adressbereiche gab, worüber auf den HostBrowser systematisch zugegriffen wurde. Hätte man das zuende geführt, hätte das bestimmt 4 Wochen Zeit in Anspruch genommen :-( Ich habe jetzt alle IPv4-Adressen gesperrt die es gibt außer die IP-Ranges aller YaCys im freeworld. Das war zwar auch ne Menge Arbeit, aber seitdem ist Ruhe :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Sa Jun 06, 2015 8:25 pm

Code: Alles auswählen
I 2015/06/06 21:19:27 SERVER check for Session_90.141.170.48:54415#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.iwound.net%2Fexit.php%3Furl%3Dwww.liveoddset.com HTTP/1.1: 229158 ms alive, stopping thread
I 2015/06/06 21:19:27 SERVER check for Session_96.249.254.173:61071#0_GET /HostBrowser.html?path=http%3A%2F%2Falltid-stickning.bloggagratis.se%2Fgilla%2F%3Furl%3Dhttps%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DoTfgehGY6F8 HTTP/1.1: 225262 ms alive, stopping thread
I 2015/06/06 21:19:27 SERVER check for Session_95.69.250.25:40550#0_GET /HostBrowser.html?path=http%3A%2F%2Fblitco.net%2Findex.php%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F2054 HTTP/1.1: 221350 ms alive, stopping thread
I 2015/06/06 21:19:27 SERVER check for Session_96.249.254.173:62862#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.gillettewy.gov%2Fredirect.aspx%3Furl%3Dhttps%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DoTfgehGY6F8 HTTP/1.1: 207561 ms alive, stopping thread
I 2015/06/06 21:19:27 SERVER check for Session_84.120.26.96:54092#0_GET /HostBrowser.html?path=http%3A%2F%2Ftaylorknight.org%2Ftksforum%2Findex.php%3Ftopic%3D210318.0 HTTP/1.1: 199672 ms alive, stopping thread
I 2015/06/06 21:19:27 SERVER check for Session_1.52.143.200:62743#0_GET /HostBrowser.html?path=http%3A%2F%2Fthesafariexperts.com%2F%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D139071 HTTP/1.1: 191755 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_84.120.26.96:55897#0_GET /HostBrowser.html?path=http%3A%2F%2Fdiendan.mu-br.com%2Fshowthread.php%3F2689-Create-paracervical-sedentary-lasix-back-sulfonamides%2Fpage297%26s%3Dff7dddf1203e2c184ec615b6cc5660c8 HTTP/1.1: 183819 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_189.61.165.102:58407#0_GET /HostBrowser.html?path=http%3A%2F%2Fgsffuta.org%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F2356 HTTP/1.0: 175798 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:51235#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fleggett%2Fbad-credit-apartments-in-leggett-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 165881 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_223.30.21.106:38255#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.epiplopaidiko.gr%2Findex.php%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F66665 HTTP/1.0: 161892 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_195.175.75.114:54583#0_GET /HostBrowser.html?path=http%3A%2F%2Fpfarmakis.gr%2F%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D2798 HTTP/1.0: 157900 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_107.172.14.62:49835#0_GET /HostBrowser.html?path=http%3A%2F%2Fblog.onlineshopping.social%2Fpost%2F105698449215%2Fto-find-selfhelp-products-visit-classifieds HTTP/1.0: 149868 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_90.141.170.48:57364#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.cocaineblunts.com%2Fblunts%2F%3Fp%3D3615 HTTP/1.1: 145809 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_27.254.59.41:57214#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.ilovejapan.co%2Floveletters%2F HTTP/1.1: 137738 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:54950#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fmoscow%2Fbad-credit-apartments-in-moscow-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 127698 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_1.52.143.200:64382#0_GET /HostBrowser.html?path=http%3A%2F%2Fbarat.pk%2Findex.php%3Fm%3Dmember_blog%26p%3Dview%26id%3D8530%26sid%3D207343 HTTP/1.1: 119544 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_37.59.77.39:56048#0_GET /HostBrowser.html?path=http%3A%2F%2Fnowinhistory.com%2F__media__%2Fjs%2Fnetsoltrademark.php%3Fd%3Dthebestbooters.com HTTP/1.0: 115445 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_117.242.168.94:49630#0_GET /HostBrowser.html?path=http%3A%2F%2F190.0.34.202%2Finc%2Fphpinfo.php%3Fa%255B%255D%3D%253Ca+href%253Dhttp%253A%252F%252Fwww.mumbaivipservice.com%252F%253EVIP+Escorts+Mumbai%253C%252Fa%253E HTTP/1.1: 103194 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_192.3.66.101:33932#0_GET /HostBrowser.html?path=http%3A%2F%2Fallageconditioning.com%2Ftop%2Findex.php%3Fa%3Dstats%26u%3Dbrodiewelton HTTP/1.0: 90859 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_185.28.193.95:33427#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.sunfrogshirts.com%2FPets%2FTALENT-MANAGER-50797839-Guys.html%3F9983 HTTP/1.1: 86763 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_82.159.220.10:49249#0_GET /HostBrowser.html?path=http%3A%2F%2Ftopsite.jeteve.com%2Findex.php%3Fa%3Dstats%26u%3Dhelenscheid5542 HTTP/1.0: 68548 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:61354#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Ffort-stockton%2Fbad-credit-apartments-in-fort-stockton-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 64417 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_77.68.40.96:53613#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.icecreamgames.org%2Fprofile%2F487700%2FNi8862.html HTTP/1.1: 60287 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_104.247.99.211:1302#0_GET /HostBrowser.html?path=http%3A%2F%2Fconstructoralacantera.com%2Findex.php%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F70230 HTTP/1.0: 56128 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_96.249.254.173:53906#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.draft.academichic.com%2F2010%2F10%2F05%2Fls-post%2F HTTP/1.1: 51945 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_94.23.176.173:49784#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.chindwintu-international.com%2F%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D32715 HTTP/1.1: 47796 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_107.150.43.99:49917#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.aliancafrancesa-fortaleza.com.br%2FSINCfile%2Fhotsale0604--3459.html HTTP/1.1: 39460 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_104.207.67.136:53127#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.grandsolarinc.com%2F%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D778191 HTTP/1.1: 35316 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_62.210.140.28:53429#0_GET /HostBrowser.html?path=http%3A%2F%2Fitalentos.com.br%2Fwiki%2Findex.php%3Ftitle%3DUsu%25C3%25A1rio%3ADominickHawks HTTP/1.1: 25279 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_62.210.10.184:55690#0_GET /HostBrowser.html?path=http%3A%2F%2F4allforum.com%2Faway.php%3Fto%3Dhttp%3A%2F%2Fwww.clubreseau.com HTTP/1.1: 21074 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_52.6.14.215:56831#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.arabportal.net%2Fredirect.php%3Furl%3Dhttp%3A%2F%2FDoleta.gov%2Fregions%2Freg05%2FPages%2Fexit.cfm%3Fvexit%3Dhttp%3A%2F%2Fwww.terapiozon.my.id%2Fterapi-ozon-dan-akupunktur-bagi-penderita-stroke%2F HTTP/1.1: 16879 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_31.220.6.9:56402#0_GET /HostBrowser.html?path=http%3A%2F%2Fv.gd%2FplhZEx HTTP/1.0: 12675 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_104.152.185.31:60447#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.brearleyandco.co.uk%2Farchives%2F321 HTTP/1.1: 8457 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:50554#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fwhitt%2Fbad-credit-apartments-in-whitt-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 4232 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER Closing main socket of thread 'Session_38.87.45.157:50554#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fwhitt%2Fbad-credit-apartments-in-whitt-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1'
I 2015/06/06 21:19:28 SERVER check for Session_37.59.241.54:64823#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.mysecretconfessions.com%2Fmembers%2Fjorjatitheradg%2Fprofile%2F HTTP/1.1: 1627027 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:59681#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fmansfield%2Fbad-credit-apartments-in-mansfield-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1626470 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_1.52.143.200:62794#0_GET /HostBrowser.html?path=https%3A%2F%2Fwww.rebelmouse.com%2Ftrantronghuan108%2Fvietnamese-version-1124853244.html HTTP/1.1: 1625770 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_84.120.26.96:64852#0_GET /HostBrowser.html?path=http%3A%2F%2Fstefano.cm.nctu.edu.tw%2Fmediawiki%2Findex.php%2FI_Am_Needing_Computer_Cups_Now HTTP/1.1: 1620288 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:61349#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fkennedale%2Fbad-credit-apartments-in-kennedale-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1619632 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_5.69.149.147:56541#0_GET /HostBrowser.html?path=http%3A%2F%2Fbp7.org%2Fprimarkvouchers113738 HTTP/1.1: 1617719 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_61.19.42.68:57938#0_GET /HostBrowser.html?path=http%3A%2F%2Fwhereareyou.cz%2Findex.php%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F1731 HTTP/1.0: 1616370 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_90.141.170.48:63203#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.godfreyaziz.com%2F__media__%2Fjs%2Fnetsoltrademark.php%3Fd%3Dliveoddset.com HTTP/1.1: 1616263 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_203.76.147.66:40715#0_GET /HostBrowser.html?path=http%3A%2F%2Fwhereareyou.cz%2Findex.php%2Fcomponent%2Fk2%2Fitemlist%2Fuser%2F1731 HTTP/1.1: 1615372 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:63077#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fhurst%2Fbad-credit-apartments-in-hurst-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1612032 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_14.139.181.130:48578#0_GET /HostBrowser.html?path=https%3A%2F%2Finfoskupka.com%2Fredirect%2F%3Furl%3Dhttp%3A%2F%2Fvottle.com%2F HTTP/1.1: 1606501 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:64672#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fhaslet%2Fbad-credit-apartments-in-haslet-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1605596 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_188.212.21.178:59792#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.ajnok.com%2Findex.php%2Fcomponent%2Fk2%2Fauthor%2F103043 HTTP/1.0: 1601236 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_54.76.197.189:11677#0_GET /HostBrowser.html?path=http%3A%2F%2Fmarwendzc.com%2Findex.php%3Fa%3Dprofile%26u%3Dstanorton11 HTTP/1.1: 1600805 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_84.120.26.96:1337#0_GET /HostBrowser.html?path=http%3A%2F%2Fstefano.cm.nctu.edu.tw%2Fmediawiki%2Findex.php%2FNo_Standard_Program_Or_Document_Is_Required_To_Heal_Your_Computer HTTP/1.1: 1600041 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:49947#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fgrapevine%2Fbad-credit-apartments-in-grapevine-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1598135 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:51586#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Feuless%2Fbad-credit-apartments-in-euless-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1592437 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_182.93.221.247:41641#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.bluecoralbeachresort.com.ph%2F%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D111451 HTTP/1.1: 1588073 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:53380#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fcrowley%2Fbad-credit-apartments-in-crowley-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1586695 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_5.39.33.174:46494#0_GET /HostBrowser.html?path=https%3A%2F%2Fwww.rebelmouse.com%2Fbennielevisuud%2Fthe-ultimate-secret-of-skin-effects-flawless-effects-1153645393.html HTTP/1.0: 1581271 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_91.236.74.171:56630#0_GET /HostBrowser.html?path=http%3A%2F%2Fsociophobia.ru%2Fclick.php%3Fhttp%3A%2F%2Ffivebestessaywritingservices.blogspot.com%2F HTTP/1.1: 1581279 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_167.114.115.209:61181#0_GET /HostBrowser.html?path=http%3A%2F%2Fonsoru.net%2Fabout%2Fartists-2%2F HTTP/1.1: 1579863 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:55069#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fcolleyville%2Fbad-credit-apartments-in-colleyville-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1579442 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_84.120.26.96:2332#0_GET /HostBrowser.html?path=http%3A%2F%2Fitonv.lntu.edu.ua%2Fen%2Fnode%2F251360 HTTP/1.1: 1576961 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_163.177.41.35:59262#0_GET /HostBrowser.html?path=http%3A%2F%2Fpizzeria-tornado.com%2Findex.php%3Foption%3Dcom_k2%26view%3Ditemlist%26task%3Duser%26id%3D134131 HTTP/1.0: 1576007 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_90.141.170.48:64277#0_GET /HostBrowser.html?path=http%3A%2F%2Fwww.fchllc.biz%2F__media__%2Fjs%2Fnetsoltrademark.php%3Fd%3Dliveoddset.com HTTP/1.1: 1572076 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:56799#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Fbedford%2Fbad-credit-apartments-in-bedford-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1571429 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_176.9.149.76:43522#0_GET /HostBrowser.html?path=http%3A%2F%2Fbeautifulazn.com%2Fcgi-bin%2Fout.cgi%3Fid%3DHFyFmPxv%26url%3Dhttp%253A%2F%2Fgame-compass.com%2Fde%2Fgames%2Fmarvel-sturm-der-superhelden%2F HTTP/1.1: 1568887 ms alive, stopping thread
I 2015/06/06 21:19:28 SERVER check for Session_38.87.45.157:58543#0_GET /HostBrowser.html?path=http%3A%2F%2Fnocreditcheckapartmentstexas.com%2Fno-credit-check-apartments%2Farlington%2Fbad-credit-apartments-in-arlington-tx-find-bad-credit-apartments-in-texas%2F HTTP/1.1: 1563180 ms alive, stopping thread


So sieht das dann aus, wenn der IndexBrowser mit DDoS-Attacken bombadiert wird :-( wie wollen wir 'freeworld' davor schützen? Ich schätze die Größe des Botnet auf 12000 Rechner & mehr ein :-(
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Sa Jun 06, 2015 11:02 pm

So, ich habe mich nun doch dazu entschieden eine Blacklist aller IP-Adressbereiche zu pflegen, die meinen IndexBrowser mit exzessiven Anfragen bombadieren:

http://pastebin.com/qXA4bxuq

Ich schätze mal, dass es max. 40% der Adressbereiche des Botnet sind :-( Ich hab seit 1994 mit dem Internet zu tun und befasse mich mit seit über 6 Jahren mit IT-Sicherheitsthemen. Ich pflege die Liste auf jeden Fall weiter. Zu dem "Eigenschaften" des Botnet: Bei den meisten IPs handelt es sich um gehackte Dedis :-( Folgende Provider/Hoster fallen besonders auf, weil extrem viele Rechner/Server in diesem Botnet auftauchen:

Buyproxies
Contabo GmbH
Solid Seo VPS
Hudson Valley Host
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mo Jun 08, 2015 5:26 pm

http://pastebin.com/xckFTDrX

So hier eine neue Liste der Adressbereiche. 800 sind es mittlerweile! Auch namhafte deutsche Hosting-Provider sind mit drin :-( Es nimmt einfach kein Ende wo die Zugriffe alle herkommen. Warum ich davon überzeugt bin dass es ein Botnet ist? Ganz einfach: Die Intensität der Zugriffe und das systematische harvesting des IndexBrowsers! Außerdem die IP-Adressbereiche, oft tauchen mehrere Bereiche aus unterschiedlichen Netzsegmenten eines Providers auf, die zu ein und derselben Firma gehören und wenn man die alle blockiert tauchen binnen wenigen Minuten wieder neue Netze auf :-( Ich habe

http://www20.zippyshare.com/v/IXpOhw1d/file.html

hier einen Wireshark-Dump hochgeladen, wenn sich das mal jemand aus "wissenschaftlicher Sicht" anschauen möchte. Ich habe nur den Traffic auf dem Port mitgeschnitten, wo YaCy läuft und einen Display-Filter

Code: Alles auswählen
tcp matches "HostBrowser"


gesetzt, sonst wären es zu viele Daten!
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Di Jun 09, 2015 1:36 pm

Code: Alles auswählen
load average: 36.36, 862.23, 628.46


Und so sieht das dann aus, wenn man garnichts gegen die bösen Buben unternimmt...
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Di Jun 09, 2015 5:14 pm

Ausgelöst durch zu viele

Code: Alles auswählen
W 2015/06/09 18:07:17 StackTrace unable to create new native thread
java.lang.OutOfMemoryError: unable to create new native thread
        at java.lang.Thread.start0(Native Method)
        at java.lang.Thread.start(Thread.java:714)
        at net.yacy.server.serverCore.job(serverCore.java:396)
        at net.yacy.kelondro.workflow.AbstractBusyThread.run(AbstractBusyThread.java:165)


offene Jetty-Threads. Ich hab -Xms70g -Xmx70g gesetzt also am RAM soll es nicht mangeln :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Di Jun 09, 2015 5:44 pm

Code: Alles auswählen
18:40:08 up 138 days,  8:22,  5 users,  load average: 1826.16, 1609.20, 667.44


Schlimmer geht immer :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon Low012 » Mi Jun 10, 2015 8:13 am

Du könntest HostBrowser.html und HostBrowser.class umbenennen in HostBrowser_p.html und HostBrowser_p.class. Dann kann man die Seite erst nach einem Login aufrufen. Vielleicht lässt dich das Botnet dann in Ruhe, aber wer weiß, wo es dann hin zieht...
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mi Jun 10, 2015 6:17 pm

Alles klar. Vielen Dank.

W 2015/06/10 19:10:44 HTTPDFileHandler target file /mnt/1800gb/yacy/DATA/HTDOCS/index.php/HostBrowser.html does not exist


:D Andere Dateinamen/Pfade werden vom Botnet auch schon durchprobiert, nur JavaScript versteht es nicht. Ich musste vor ein paar Jahren schonmal die DynDNS-Adresse wechseln wegen ähnlicher DDoS-Attacken, ich hoffe das bleibt mir dieses mal erspart.
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mo Jun 22, 2015 6:38 pm

Das Botnetz des Grauens - Ab Freitag im Kino :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Fr Jun 26, 2015 9:59 am

Ich finde den IndexBrowser an sich ist eine tolle Funktion. Ich fände es schade, ihn wegen unbemannten, datenhungrigen Bots aufgeben zu müssen.

@devs wollt ihr in die HostBrowser.html nicht einen Fatclient als Java-Applet einbauen? Daran beißen sich die Bots garantiert die Zähne aus :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » So Jul 05, 2015 4:11 pm

So,

hier gibt es die aktuelle Version meiner Sperrliste. Es sind 4000 Netze mit kompromittierten Systemen. In zahlreichen Netzen liegt die Anzahl der kompromittierten Systeme im höheren 2-stelligen Bereich!
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon freak » Fr Jul 10, 2015 1:13 pm

LA_FORGE hat geschrieben:...
So sieht das dann aus, wenn der IndexBrowser mit DDoS-Attacken bombadiert wird :-( wie wollen wir 'freeworld' davor schützen? Ich schätze die Größe des Botnet auf 12000 Rechner & mehr ein :-(


Laut Doku bringt der Jetty HTTP Server einen DOS Filter mit, der möglicherweise (in Grenzen) helfen könnte:
http://www.eclipse.org/jetty/documentat ... ilter.html

@Developer: Lässt sich dieser Filter evtl. aktivieren/konfigurieren?
freak
 
Beiträge: 21
Registriert: Do Okt 10, 2013 10:59 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Do Jul 16, 2015 11:45 am

@freak Sehr gut. Vielen Dank! Gerade die Peers mit statischen IPs/DNS-Namen sind besonders gefährdet. Wir dürfen das nicht auf die leichte Schulter nehmen weil hier jemand im ganz großen Stil Data Mining betreibt und automatisiert die Daten des Index Browsers abgreift. DOS-Filter ist ein guter Lösungsansatz aber das Problem bei dem von mir entdeckten Botnet ist, dass die "Mutationsrate" sehr hoch ist und ständig neue Netze hinzukommen wenn man anfängt welche zu sperren :-( Was ich bisher herausfinden konnte ist, dass die Bots kein JavaScript & Java verstehen, ich fände es genial, wenn der IndexBrowser dahin umgebaut würde, dass es ein (rich) JavaApplet eingebettet in die HTML-Seite des IndexBrowsers ist. Nichts desto trotz brauchen wir auch einen Schutz auf Schicht 4 des OSI-Modells, da es schon des Öfteren vorgekommen ist, dass mein YaCy nicht mehr reagiert hat, weil hier zigtausende Verbindungen in der Minute gleichzeitig angekommen sind.
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Di Jul 21, 2015 1:37 pm

Bild

So jetzt hatte ich die Nase voll und habe Snort mal wieder installiert & konfiguriert (hatte ich damals schon mal laufen). Wirklich neu entdeckt habe ich dieses Botnet also nicht, die IPs sind schon bei Spamhaus als Systeme registriert die Spam versenden. Interessant aber auch, dass sie im ganz großen Stil Datamining betreiben, sicher um EMail-Adressen zu ergattern... aber ich habe eine Vermutung wer dahinter steckt... die nächsten Sn0wd3n-Enthüllungen fördern es bestimmt zutage :D
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon gTSj » Di Jul 21, 2015 7:15 pm

Hast du die IP-Adressen mal mit den Exit Nodes des Tor-Netzwerks abgeglichen? Gibt es als CSV unter https://torstatus.blutmagie.de/ip_list_ ... st_ALL.csv (Achtung, groß!)
gTSj
 
Beiträge: 21
Registriert: Mo Jan 27, 2014 10:49 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mi Jul 29, 2015 12:12 pm

Vielen Dank! Ja, es sind auch zahlreiche Tor-Exit-Nodes sowie VPN-Provider mit dabei. Ich habe zusätzlich zum Snort, das leider nicht alle Netze der Schurken kennt (trotz Einbindung der Emerging Threads und anderer zusätzlicher Regelsätze), eine Sperrliste mit Netzen erstellt, die mittlerweile 6000 Netze enthält. Es macht keinen sinn einzelne IPs zu sperren, da in einem Netzbereich meistens mehrere Systeme kompromittiert sind (Die Anzahl dieser Systeme liegt meist im 2-stelligen Bereich) ich sperre dann lieber gleich /24 bzw. wenn das Netz noch größer ist gleich /16.
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Mi Jul 29, 2015 5:47 pm

Gerade hat mein IDS auf folgendes angeschlagen:

Code: Alles auswählen
ET WEB_SERVER DFind w00tw00t GET-Requests


Mir ist schon länger klar, dass die nicht nur über den Port den YaCy verwendet auf mein System zugreifen wollen. Bei der Größenordnung der Zugriffsversuche habe ich auch eine Vermutung wer diese ganzen Netze gekapert haben könnte... nur dass die Legislative die Gesetze macht muss noch lange nicht heissen dass ein Organ der Exekutive sich daran halten muss. Ich denke daran an das Organ, dass neben den Providern selbst direkten Zugriff auf die Internet-Backbones hat... war da nicht was in den News in den letzten Monaten? :P
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Sa Aug 15, 2015 3:39 pm

Code: Alles auswählen
[2731916.446297] TCP: TCP: Possible SYN flooding on port 6070. Sending cookies.  Check SNMP counters.


Hrm... wie kann ich mich davor schützen? Ich habe Snort vor die YaCy Kiste geschaltet und so ziemlich alle Regelsätze aktiviert die es gibt. Snort meldet auch zu allen möglichen gefährlichen Aktivitäten was im Log und blockiert fleißig IPs, nur nicht zu SYN floods :-(
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Gigantisches Botnet entdeckt

Beitragvon LA_FORGE » Sa Aug 15, 2015 3:43 pm

alert tcp any any -> $HOME_NET 8090 (flags: S; msg:"Possible TCP DoS"; flow: stateless; detection_filter: track by_src, count 70, seconds 10;)


So sollte es gehen :-)
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm


Zurück zu Off-Topic

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron