Yota, Dlink или скрытый BotNet?

[Melkij]

Так самое интересное-то где? Что POST'ом передаётся?

[gorlov]

На данный момент мы отловили что в POST передается "===========================". Может это как логин используется и для продолжения обмена информацией надо получить какой-то ответ.

[gorlov]

А как мы это посмотрим если данный домен не резолвится из нашей сети? Можно пойти к какому-то клиенту, включить Yota и попробовать получить ответ.

[Melkij]

Можно попробовать резолвить на сам roox.ru. У меня, правда, ничего не получилось из этого — получил 403 отлуп с формулировкой о CSRF.

[mt_]

А что есть самостоятельно отослать нужный ПОСТ-запрос на указанный сервер и посмотреть, что придёт от него?

[gorlov]

Ведь написано, что DNS этот не резолвится из сети?

[alekciy]

Локальный резолвинг через банальный host файл уже и отменили? О_о

Сам регулярно этим пользуюсь и еще не встречал ни одной системы, где host бы не работал (в стандартной конфигурации разумеется).

[gorlov]

Про host не подумал, мои респекты.

[gorlov]

Только одна проблема для host надо было знать IP сервера, сейчас этот домен уже резолвится, спасибо catap'у.

[Beerlander]

В свое время, выбирая решение защиты от DDoS, не раз возникала идея построить исключительно для тестирования собственно же услуги защиты собственный ботнет на основе клиентских устройств.
Возможно, кто-то дошел от подобной идеи до реализации :)

[WaveCut]

Может это надо для риалтайм мониторинга загруженности сети?

[gorlov]

Дело в том, что данный домен не существует.

> server 8.8.8.8
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8

> RCMLIC.ROOX.RU
Server: google-public-dns-a.google.com
Address: 8.8.8.8

*** google-public-dns-a.google.com can't find RCMLIC.ROOX.RU: Non-existent domain
>

[Melkij]

А кто скажет, что он никогда и не существовал?

[jscar]

он может резолвится только с днс yota

[jscar]

ть!)

[krashow]

У моего провайдера резолвится

nslookup RCMLIC.ROOX.RU

Non-authoritative answer:
Name: RCMLIC.ROOX.RU
Address: 176.9.45.182

[ArhMax]

Вот тут это проскакивало. Может быть это прошивка Yota спецом на патченных модемах периодически такой DDOS устраивает, чтобы у клиента денежка улетала или канал забивался? А вообще на ROOX.RU много чего интересного написано про контроль за траффиком абонента.

[ArhMax]

Вот более точный линк на кэш гугла где видно этот /YA/PushReport/, на форуме линки видны только зарегистрированным.

[gorlov]

Деньги не уйдут со счета, так как клиент пользуется нашим проводным интернетом. Просто зачем так писать софту, которая создает паразитный трафик в тот момент когда подключения к Yota нет.

[MadRogue]

Проводным интернетом — вебой что ли?
Не так давнобыл вашим клиентом, потому аватарка показалась такой знакомой.

[gorlov]

Верно — вебой, а почему были?

[MadRogue]

Поменял место жительства :) С удовольствием бы продолжил быть клиентом Вебы, но кроме Ростелекома мне больше ничего не светит в ближайшем будущем. А повлиять на ситуацию невозможно (всему виной непрошибаемая председательница кооператива).

[gorlov]

Рад увидеть здесь нашего, хоть и бывшего клиента :-)

[mihmig]

Нуу, решения принимает не только председатель кооператива, это я вам как член правления кооператива скажу :) Другое дело если 99% жильцов — пенсионеры у которых «вот вы вчера в щитке что-то сделали а теперь у меня телевизор плохо покезывает»…

[MadRogue]

В этом и проблема. Пока что большинство — пенсионеры, которым интернет и иже с ним нафиг не нужен. =(

[click0]

Я в свое время пообщался с админом Yota из-за ДДоСа. Его ответ:
«Это ваши проблемы. Никого из клиентов мы не будем отключать.»

[l0rda]

Ждем catap'а :)

[deadmoto]

Запахло жареным? :)

[catap]

Спасибо!

Сейчас займемся тестированием на похожем стенде, что бы понять причину аномальной нагрузки.

[gorlov]

Спасибо. Основной вопрос почему создается такого рода трафик, если приложение выключено. Проверено на себе, мой ноутбук имеет модуль Yota и я нашел себя в логах доступа к этому серверу.

[reydan]

ох уж этот Yota Access :)

[catap]

Провел небольшой анализ.

Итоги: в dnsd который используется в dlink dir-300 (и других подобных роутерах на базе busybox) есть пересылка ответа от DNS о ненайденных доменах, которая фактически является DNS cache poisoning, это собственно сносит крышу всяким антивирусам, антихакерам.

Кроме того этот негативный ответ не кешируется и в локальном кеше ОС и из-за этого идет повторный запрос который пораждает новые DNS запросы.

Хотя этот домен используется во внутренней сети, мы прописали его в общедоступном DNS чтобы настало долгожданное счастье!

[gorlov]

А зачем ПО туда стучится при выключенном адаптере? Может стоит допилить, чтобы оно не создавало левый трафик?

[ComodoHacker]

Пользовательское ПО стучится на домен из внутренней сети? Забавно.

[SunCho00]

ROOX это компания из группы компаний Yota, писавшая YotaAccess
ныне компания не существует
остатки следов видно, например тут

[catap]

Знаете, мы существуем, честно-честно.

[SunCho00]

На бумашке вас нет, то как вас разделили\реформировали фактически означает что вас нет…
Старой компании ROOX какой она была — нет
То что существуете лично, ассоциировав себя с компанией — ваше личное дело.
Я понимаю, что вам и больно и обидно, можете дальше срать в карму

[Krypt]

Хм, у меня по roox.ru открывается сайт этой самой компании

"RooX — молодая динамичная компания-производитель и поставщик инфокоммуникационных решений, созданная в 2009 году с целью создания решений нового поколения для поддержки бизнеса операторов 4G и Telco 2.0."

Контакты
RooX
roox@rooxteam.com

+7 (812) 449-33-49
ул. Савушкина 126A
Санкт-Петербург
197374, Россия
Возможно Yota использует их ПО, и где-то оно сбоит, когда не может зарезолвить сайт

Имхо, не теория заговора, а как всегда чья-то ошибка.

[galanthus]

год назад roox проводила какую-то презентацию и набирала новых программистов. видимо, шутников набрала…

[AleksandrFox]

может на втором скрине замазать имя и фамилию клиента, которые видны на закладке вконтактика?

[gorlov]

Спасибо, поправил.

[AleksandrFox]

))) там их две. еще и справа есть.