| 1.1, EuPhobos (ok), 23:50, 12/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
 > Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
Одни ленивые админы делают проблемы другим админам.
| | |
| |
| 2.2, pv47 (ok), 23:55, 12/02/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > ленивые
а как же известное "работает - не трожь"?
| | |
| |
| 3.5, Добрый доктор (?), 00:19, 13/02/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
 >> ленивые
> а как же известное "работает - не трожь"?
Простите, но «уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими» — сообщают, что как раз НЕ работает! :)
| | |
| |
| 4.8, ваноним (?), 01:13, 13/02/2014 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> сообщают, что как раз НЕ работает!
у вас очень идеализированное представление о бизнесе
| | |
| 4.30, Аноним (-), 10:02, 13/02/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
К сожалению, в умах многих одминов отношение "не тронь - не воняет" обладает свойством транзитивности, так что из него следует "не воняет - не тронь".
| | |
| |
| 5.34, Нанобот (ok), 11:15, 13/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > К сожалению, в умах многих одминов отношение "не тронь - не воняет"
> обладает свойством транзитивности, так что из него следует "не воняет -
> не тронь".
такое отношение называется "симметричность", а не "транзитивность".
| | |
| |
| 6.40, Demo (??), 14:05, 13/02/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
> такое отношение называется "симметричность", а не "транзитивность".
Скорее, коммутативность.
| | |
|
|
|
| 3.33, Нанобот (ok), 11:14, 13/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>а как же известное "работает - не трожь"?
по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички, которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось в бесконечном цикле. пожалейте их, убогих
| | |
| |
| 4.38, Аноним (-), 13:40, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>а как же известное "работает - не трожь"?
> по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички,
> которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось
> в бесконечном цикле. пожалейте их, убогих
Это лет 20 назад называлось "Синдром чрезмерного администрирования". И лечилось переводом в хелпдеск на пару месяцев.
Здесь чуть более, чем половина им страдает.
| | |
|
| 3.45, Аноним (-), 15:47, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> а как же известное "работает - не трожь"?
Если это приводит к проблемам у других людей - гнать таких админов взашей, с волчьим билетом.
| | |
| 3.82, XoRe (ok), 20:33, 15/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> ленивые
> а как же известное "работает - не трожь"?
Здесь достаточно правильно указать смысл для слова "работает".
А вообще, тут хорошо подходит английский вариант, if it's not broken, don't fix it.
| | |
|
| 2.42, Demo (??), 14:11, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
> Одни ленивые админы делают проблемы другим админам.
На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).
| | |
| |
| 3.59, Аноним (-), 20:15, 13/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
А вот пример админов которых надо гнать с волчьим билетов. Так, чтобы сеть была чище и абузы не прилетали.
| | |
|
| 2.66, svd (??), 04:43, 14/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Дистрибутивы поставляют стабильные версии ntpd:
Tarballs Stable: 4.2.6p5 2011/12/24
Dev.: 4.2.7p421 2014/02/10
(с сайта http://www.ntp.org/)
Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!
| | |
|
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
| 7.50, Аноним (-), 15:59, 13/02/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А не всех, у кого чуют гнильцу?
Методы работы спамхауса метко описываются фразой "ядерный взрыв уничтожает вредителей сельского хозяйства на значительной территории". А потом еще и бабла выцыганивают за деактивацию территорий от радиоактивного заражения, заметьте.
| | |
|
|
| 5.46, Аноним (-), 15:48, 13/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И кого они рэкети?
А всех, кого угораздило туда попасть, с поводом и без. Обычное такое вымогательство.
| | |
| |
| 6.68, Добрый доктор (?), 11:13, 14/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> И кого они рэкети?
> А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
> вымогательство.
Не лги, грязный преступный спамер.
Растоптать бы сапогом твою харю....
| | |
|
|
| 4.17, Аноним (-), 03:28, 13/02/2014 [^] [^^] [^^^] [ответить]
| –4 +/– |
не было бы спаммеров - не было бы спамхауза.
не было бы спамхауза - не было бы рекета, ими.
мораль: не рассылайте спам. и другим - не давайте это делать.
| | |
| |
| 5.22, Perain (?), 05:55, 13/02/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
Причем тут спам? Они банят целиком подсети Дата-Центров (AS) со всеми CIDR подсетями
| | |
| |
| |
| 7.39, vvi (??), 13:49, 13/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И ссылка есть? Брехня ведь?
К сожалению не брехня. Лично сталкивался.
Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.
| | |
| 7.49, Аноним (-), 15:54, 13/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И ссылка есть? Брехня ведь?
Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контора, которым хочется дать в бубен не меньше чем самим спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще и деньги вымогают.
| | |
| |
| |
| 9.91, Юрий (??), 02:02, 04/03/2014 [^] [^^] [^^^] [ответить] | +/– | Блеклистят как раз пару человек из спамхаус-а Они уроды последние Кто не знает... текст свёрнут, показать | | |
|
|
| 7.58, Perain (?), 20:07, 13/02/2014 [^] [^^] [^^^] [ответить] | +3 +/– | Цитирую Товарищ Капитан Спамхаус не имеет отношения ни к закону, ни к здравому ... большой текст свёрнут, показать | | |
| |
| 8.61, Аноним (-), 22:41, 13/02/2014 [^] [^^] [^^^] [ответить] | –1 +/– | про РТК- да не, Ростелекому - проще дропать таких клиентов научиться чем вест... текст свёрнут, показать | | |
|
|
|
| 5.47, Аноним (-), 15:49, 13/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> мораль: не рассылайте спам. и другим - не давайте это делать.
Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы спама было как можно больше - так больше народа на рэкет поведется.
| | |
| |
| 6.62, Аноним (-), 22:42, 13/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
так в ЭТОМ и был смысл написанного, внезапно.
не хотите поддерживать спамхауз - не спамьте.
а то и рыбку сесть и на хер сесть, извините мой французский.
| | |
| |
| 7.96, mailadmin (ok), 02:20, 04/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > так в ЭТОМ и был смысл написанного, внезапно.
> не хотите поддерживать спамхауз - не спамьте.
> а то и рыбку сесть и на хер сесть, извините мой французский.
это верно! НО. есть одно НО.
российский рынок спама это НИОЧЕМ.
в АМЕРИКЕ это миллиарды $$$. Поэтому вся движуха там. Там же бизнас на спаме и бизнес на борьбе со спамом.
(также как бизнес вирусописателей и антивирусных компаний... кто на вирусах больше зарабатывает - большой вопрос)
| | |
|
|
|
|
|
| |
| 3.25, Аноним (-), 06:50, 13/02/2014 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> должен быть разрушен как Вавилон
Назад, не туда! Разворачивай оглобли! На Карфаген -- во-о-о-он туда.
| | |
| 3.72, Добрый доктор (?), 11:24, 14/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> спамхаус должен быть разрушен как Вавилон
Для тупых? И еще тупее?
Спамхаус не прописывается сам в конфигах МТА?
Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?
Разбить бы спамерам щи кирпичом.
| | |
| |
| 4.92, Юрий (??), 02:07, 04/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>> спамхаус должен быть разрушен как Вавилон
для этого надо свергнуть или подкосить то на чем они делают свой бизнес.
| | |
|
|
|
| |
| 2.10, xex (?), 01:29, 13/02/2014 [^] [^^] [^^^] [ответить]
| +9 +/– |
нарисовать 16 болванок, падающих каждую секунду? :)))
| | |
| |
| 3.53, Аноним (-), 16:17, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> нарисовать 16 болванок, падающих каждую секунду? :)))
Или два камаза болванок в день. Если не очень понятно - разгрузить их неудачнику в огород, так уж точно дойдет :)
| | |
|
|
| 1.9, Аноним (-), 01:22, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
В Ъ-стабильных системах не обновляются не только фичи, но и баги. Старый баг - лучше новых двух! Так победим!
| | |
| |
| 2.12, Добрый доктор (?), 01:42, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>> В Ъ-стабильных системах не обновляются не только фичи, но и баги.
Такими словами вы иллюстрируете сообщение «проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году»?
| | |
| 2.15, SAF0001 (?), 03:01, 13/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
"Автоматическое обновление" - реальное зло. Достаточно большой шанс, после очередного обновления, превратить критичный работающий сервер в кирпич. Да, конечно, можно что-нить где-нить откатить, тока это время, которое клиенты будут курить бамбук, а для бизнеса это плохо. Поэтому, если все работает ровно - да и хай с ним.
А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера, ширину канала резать или еще как. Мало какой сервис будет нормально жить при таком Досе, и поэтому я думаю что виноватых нужно искать в первую очередь у себя, а то получилось что всему виной оказался какие-то Васи, не обновившие у себя систему. Звучит как кривое оправдание. Если так судить, то тогда, если представить, что это были не боты, а реальные клиенты - тогда получается что клиенты виноваты в том что сервисы загнулись. Сервис не должен падать от нагрузки, а если он у вас такой широкий канал не тянет - мля, сделайте его уже, либо выдавайте какую-нить статику типа "извнините, сервер перегружен" и не будет проблем. Каждый сам кузнец своего счастья и нечего показывать пальцем на других.
| | |
| |
| 3.27, Eugene Ryabtsev (?), 08:34, 13/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера
Эээ... вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тбит есть не всегда и когда им на вход летит 400 Гбит UDP трафика, до фаера оно всё даже не доходит.
Или имеется в виду, что фаерить в ваших интересах должен магистральный провайдер, у которого видимо есть какой-то договор с провайдером вашего провайдера? Good luck.
| | |
| 3.28, uk (?), 08:42, 13/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вы не совсем понимаете суть процесса=)
Это не атака на исчерпание ресурсов серверов, с которой можно бороться файрволами. Сотни Гбод --- это атака на каналы. В дц может вообще не быть открыто нужных портов, но udp-трафик все равно идет, дропается и зафлуживает. Единственное, что поможет --- иметь внешний канал порядка Тбод.
| | |
| 3.29, Аноним (-), 09:04, 13/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, тут некоторые любят говорить, что линух типа не венда, "поставил и забыл". Вот так вот оно потом и бывает. Причем я еще не видел ни одного гентушника, бздуна, слакварщика или хоть даже убунтуя, который бы считал западло обновляться, а вот среди поклонников шляпы или бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и что обновления накатывать необязательно.
| | |
| |
| 4.32, milkman (?), 10:31, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Вот так вот оно потом и бывает.
Если эти "специалисты" годами не закрывают известные дыры. Представьте какое раздолье малолетним хакерам. Странно что их только для DDOSa попользовали
| | |
| |
| 5.44, Аноним (-), 14:26, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>Странно что их только для DDOSa попользовали
Почему - "только"? Ах да, в новостях на опеннете не написали. Негодяи, фу такими быть.
| | |
|
| 4.48, Аноним (-), 15:51, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и
> что обновления накатывать необязательно.
Бывает, увы. Потом оказывается что т.к. это не дыра в собственной безопасности - незай флудит других, стабилизец важнее.
| | |
|
| 3.54, Аноним (-), 16:22, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с
> помощью фаера, ширину канала резать или еще как.
Проблема в том что это не слишком большое число конектов а слишком дофига траффика в вашем канале. Вы его не просили, но он вам летит, потому что сети так работают.
> либо выдавайте какую-нить статику типа "извнините, сервер перегружен"
Вот только если некто добрый перегрузил вам канал - с отдачей статики тоже будут проблемы. Хотя-бы потому что пакеты от клиентов с запросом странички будут жестоко теряться наравне с пакетами флудерасов. В зависимости от соотношения толщины канала и мощности атаки качество сервиса может просесть вплоть до состояния "страница за 5 минут так и не загрузилась вообще". При том не важно статичная она там или где.
| | |
|
|
| 1.18, Аноним (-), 03:31, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, что и CERT и Европейские коллеги - начали ПРЕВЕНТИВНО расслать уведомление и настояние, с просьбой переконфигурировать NTP и DNS, причем нередко - по Abuse-каналам а то и через и-копов(если ресурс социальный/значимый был). что в общем-то - беспрецендентно. как и ущерб, потенциальный(о фактическом - пока отмалчиваются. но судя по суммам в поспешно(примерно в 8х разы быстрее обычного заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)
| | |
| |
| 2.55, Аноним (-), 16:23, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)
А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может нехило флудить целый датацентр.
| | |
| |
| 3.63, Аноним (-), 22:44, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
там крупные контракторы минобороны, госдепа и цру - поотваливались )
и кластеры id и игровые, вместе с катакомбами DARPA )
что как бы намекает, бо они за весьма слоистом и "с запасом", сидели )
| | |
|
|
| 1.19, DwarfPool (?), 03:47, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
| | |
| |
| |
| 3.57, Michael Shigorin (ok), 20:01, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > и через ipmi модули supermicro:
Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы не наименьшая из проблем владельца...
| | |
| |
| 4.64, Аноним (-), 22:45, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P
как и SMI, вэтраст, вэпро и всякие расширения перфакунтеров с кремнии )
| | |
| |
| 5.83, Michael Shigorin (ok), 21:54, 15/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P
Я о том, что нечего dedicated IPMI LAN port тыкать в общий сегмент...
| | |
|
| 4.84, Forth (ok), 00:30, 16/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> и через ipmi модули supermicro:
> Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы
> не наименьшая из проблем владельца...
Михаил, часто на дешевых машинах порт совмещен с первым контроллером, а хостинг провайдер не готов почему-то подать тегированный трафик на порт, или пользователь не готов его принять.
| | |
| |
| 5.88, Michael Shigorin (ok), 01:56, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Михаил, часто на дешевых машинах порт совмещен с первым контроллером
Можно переконфигурить на второй, если только это не что-то совсем кривое без нужных дорожек. Ну и если это не настолько дешёвая машинка, что речь об администрировании просто не идёт...
| | |
|
|
|
|
| 1.41, Аноним (-), 14:06, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в таком количестве?
| | |
| |
| 2.52, Аноним (-), 16:16, 13/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще
> в таком количестве?
Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик или не запрошенный.
| | |
|
| 1.65, Аноним (-), 22:46, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"нетелепаты" обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack.
которые, сюрприз - МОГУТ это =)
| | |
| |
| 2.74, Forth (ok), 11:53, 14/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет "НОРМАЛЬНЫЕ файровыл", объясни?
| | |
| |
| 3.75, AS (??), 14:40, 14/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
не ??
| | |
| |
| 4.76, Forth (ok), 15:09, 14/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -j DROP
> не ??
Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?
| | |
|
| 3.86, Аноним (-), 06:51, 16/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
ну да, передернуть тему обсуждения, когда "слились" остатки аргументов - так типично для Вас, мистер.
а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него льется, на котором соотв можно и должно реализовать консистентное полиси на эту тему.
| | |
| |
| 4.89, Forth (ok), 09:16, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него
> льется, на котором соотв можно и должно реализовать консистентное полиси на
> эту тему.
Файрволл конечно будет резать нежелательный трафик, но это никак не поможет, поскольку желательный трафик попросту не пришел из-за забитого канала провайдера, что непонятного?
Дано:
У пользователя порт 10 гигабит, и на порт 10 гигабит адресовано трафика на 400 гигабит, 95% которого мусор.
Задача: определить кол-во полезного трафика, который поступил на порт, если у провайдера best-effort.
:)
| | |
|
|
|
| 1.78, Anton (??), 21:27, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
ntpdc -n -c monlist ntp.mipt.ru
до сих пор не добавили одну строчку в конфиг, даже после этой DDoS атаки...
Подозреваю что если просканировать весб интернет таких найдется много.
| | |
| |
| 2.87, Perain (?), 16:51, 16/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> ntpdc -n -c monlist ntp.mipt.ru
> до сих пор не добавили одну строчку в конфиг, даже после этой
> DDoS атаки...
> Подозреваю что если просканировать весб интернет таких найдется много.
включая ipv6 сегмент
| | |
|
|
