Säkert gammal, men jag tycker den är rätt cool.

Cyberattacker i realtid.

http://map.ipviking.com/

Tittade på den innan eftersom LizardSquad håller på att DDoSa PlaystationNetwork. Nu när jag har köpt ny TV och allt i mellandagarna :(

Sjukt vad mycket som utgår från China!

hur lyckas de DDoS:a utan att det är möjligt att se från vart?

Grafiskt intensiv sida!
Vad mycket pisk USA får ta emot...

Fan vad ballt!

Ja tänkte också det, varför går alla attacker mot USA? :P

hur lyckas de DDoS:a utan att det är möjligt att se från vart?

Några av dom som ddosade sony har hängts ut av en annan hackergrupp, hehe. Antagligen genom massa proxys, flera olika ställen osv. I DONNOOO

Några av dom som ddosade sony har hängts ut av en annan hackergrupp, hehe. Antagligen genom massa proxys, flera olika ställen osv. I DONNOOO

Jo men även om du kör proxy's och liknande så bör denna väl återfinnas fysiskt någonstans? :)

Noll koll på det egentligen. Ser ut som Star Wars iallafall, dödsstjärnan går loss *peow peow*

Jo men även om du kör proxy's och liknande så bör denna väl återfinnas fysiskt någonstans? :)



Noll koll på det egentligen. Ser ut som Star Wars iallafall, dödsstjärnan går loss *peow peow*


Jo, men det är antagligen inte bara en, och attacken kommer ju från flera 1000 ips antar jag. Vet inte heller :-D

Seattle får ta mycket cyber-k*k.

Sverige leder lol.

hur lyckas de DDoS:a utan att det är möjligt att se från vart?

Därför att en DDoS sker via miljoner med vanliga människors datorer som som tagits över (tagits över på så vis att dessa människor inte vet om det då deras datorer fungerar fullt normalt i övrigt) via virus/malware & co, dvs botnets. Styrnoderna för dessa botnet finns också inom botnetet så att spåra just de som styr dessa nät är väldigt väldigt svårt. Rent tekniskt så kan ju signalen till ett botnet att det skall attackera ip x.x.x.x skickas flera månader innan själva attacken sker vilket gör det än svårare att spåra.

Vad står mil/gov för?

Skulle gissa på military/government. Är dock inte säker. :)

Skulle gissa på military/government. Är dock inte säker. :)

Från en ö mitt ute i ingenstans under Afrika? *jorgen*

Vad kan man dra för slutsatser om andra länder som medverkar, typ Nederländerna som attackerar USA?

Från en ö mitt ute i ingenstans under Afrika? *jorgen*

Troligen så har de ingen geolocation på dessa ip adresser och sätter dem då i mitten av kartan per default.

Vad kan man dra för slutsatser om andra länder som medverkar, typ Nederländerna som attackerar USA?

Absolut ingenting öht.

Vad krävs för att man ska kunna synas på den här listan? Ifall en polare DDOSar mig (Sverige till Sverige) kommer det synas på denna då? :)

Vad krävs för att man ska kunna synas på den här listan? Ifall en polare DDOSar mig (Sverige till Sverige) kommer det synas på denna då? :)

Nej det kommer inte att synas. Vad kartan visar är angrepp mot maskiner som företaget Norse satt upp på olika platser runt om i världen och som ger sken av att vara enkla mål, sk honeypots. Det går inte att se angrepp mot andras maskiner såvida man inte har full kontroll över hela nätet ala NSA (och inte ens de har det).

Absolut ingenting öht.

Nej det kommer inte att synas. Vad kartan visar är angrepp mot maskiner som företaget Norse satt upp på olika platser runt om i världen och som ger sken av att vara enkla mål, sk honeypots. Det går inte att se angrepp mot andras maskiner såvida man inte har full kontroll över hela nätet ala NSA (och inte ens de har det).


Alright cool, du verkar insatt, är det en snedvriden bild man får se eller sker det så ofantligt många fler attacker mot USA tror du?

Alright cool, du verkar insatt, är det en snedvriden bild man får se eller sker det så ofantligt många fler attacker mot USA tror du?

Det sker ofantligt många flera angreppsförsök än vad som visas där ja. Dock är det ju långt ifrån alla dessa angrepp som är attacker så som man tänker sig en attack (dvs några killar i en källare som försöker ta sig in i pentagon) utan den övervägande majoriteten av dessa angrepp är automatiserade försök att förvandla datorer till zombies i botnet för det är i botnet som pengarna finns, dvs ju större botnet du kan skapa desstu värre riktiga angrepp kan du sedan utföra och därför också ta mer betalt (folk hyr ut sina botnet nämligen).

Tittar jag tex på våra egna servrar så försöker dessa automatattacker att logga in med olika kontonamn via ssh och hoppas på att man har lösenord på dessa konton som de kan gissa sig till (typ guest/guest). Tittar jag t.ex på en av våra webbservrar så har den haft 6329 sådana försök hittils idag:

root@www1:~# grep Invalid /var/log/auth.log | wc
6329 63290 486691

root@www1:~# grep Invalid /var/log/auth.log | tail
Dec 28 01:06:09 localhost sshd[5680]: Invalid user PlcmSpIp from 67.208.39.157
Dec 28 01:06:32 localhost sshd[5776]: Invalid user support from 67.208.39.157
Dec 28 01:06:33 localhost sshd[5783]: Invalid user test from 67.208.39.157
Dec 28 01:06:34 localhost sshd[5785]: Invalid user test from 67.208.39.157
Dec 28 01:06:35 localhost sshd[5787]: Invalid user ubnt from 67.208.39.157
Dec 28 01:06:36 localhost sshd[5789]: Invalid user uploader from 67.208.39.157
Dec 28 01:06:37 localhost sshd[5791]: Invalid user user from 67.208.39.157
Dec 28 01:06:38 localhost sshd[5793]: Invalid user vyatta from 67.208.39.157
Dec 28 01:06:39 localhost sshd[5795]: Invalid user xbian from 67.208.39.157
Dec 28 01:06:40 localhost sshd[5810]: Invalid user xbmc from 67.208.39.157


I just det här fallet är det alltså en dator i Dallas, Texas (67.208.39.157) som försöker logga på, troligtvis en infekterad dator (dvs en zombie) och alltså inte den som egentligen försöker ta sig in.

De försöker också komma in via själva webbservern genom att hoppas att man kör vissa webbtjänster som har olika sårbarheter (t,ex om man installerat säg Wordpress men glömt ta bort defaultkontot med defaultlösenord osv):


root@www1:~# grep ' 404 ' /var/log/lighttpd/access | tail
x.x.x.x - [27/Dec/2014:16:01:05 +0100] "GET /wp-admin/admin-ajax.php HTTP/1.1" 404 345 "-" "Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0"
x.x.x.x - [27/Dec/2014:19:56:05 +0100] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-"
x.x.x.x - [27/Dec/2014:07:23:22 +0100] "GET /manager/html HTTP/1.1" 404 345 "-" "Mozilla/3.0 (compatible; Indy Library)"
x.x.x.x - [28/Dec/2014:01:23:01 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-"

Det sker ofantligt många flera angreppsförsök än vad som visas där ja. Dock är det ju långt ifrån alla dessa angrepp som är attacker så som man tänker sig en attack (dvs några killar i en källare som försöker ta sig in i pentagon) utan den övervägande majoriteten av dessa angrepp är automatiserade försök att förvandla datorer till zombies i botnet för det är i botnet som pengarna finns, dvs ju större botnet du kan skapa desstu värre riktiga angrepp kan du sedan utföra och därför också ta mer betalt (folk hyr ut sina botnet nämligen).

Tittar jag tex på våra egna servrar så försöker dessa automatattacker att logga in med olika kontonamn via ssh och hoppas på att man har lösenord på dessa konton som de kan gissa sig till (typ guest/guest). Tittar jag t.ex på en av våra webbservrar så har den haft 6329 sådana försök hittils idag:

root@www1:~# grep Invalid /var/log/auth.log | wc
6329 63290 486691

root@www1:~# grep Invalid /var/log/auth.log | tail
Dec 28 01:06:09 localhost sshd[5680]: Invalid user PlcmSpIp from 67.208.39.157
Dec 28 01:06:32 localhost sshd[5776]: Invalid user support from 67.208.39.157
Dec 28 01:06:33 localhost sshd[5783]: Invalid user test from 67.208.39.157
Dec 28 01:06:34 localhost sshd[5785]: Invalid user test from 67.208.39.157
Dec 28 01:06:35 localhost sshd[5787]: Invalid user ubnt from 67.208.39.157
Dec 28 01:06:36 localhost sshd[5789]: Invalid user uploader from 67.208.39.157
Dec 28 01:06:37 localhost sshd[5791]: Invalid user user from 67.208.39.157
Dec 28 01:06:38 localhost sshd[5793]: Invalid user vyatta from 67.208.39.157
Dec 28 01:06:39 localhost sshd[5795]: Invalid user xbian from 67.208.39.157
Dec 28 01:06:40 localhost sshd[5810]: Invalid user xbmc from 67.208.39.157


I just det här fallet är det alltså en dator i Dallas, Texas (67.208.39.157) som försöker logga på, troligtvis en infekterad dator (dvs en zombie) och alltså inte den som egentligen försöker ta sig in.

De försöker också komma in via själva webbservern genom att hoppas att man kör vissa webbtjänster som har olika sårbarheter (t,ex om man installerat säg Wordpress men glömt ta bort defaultkontot med defaultlösenord osv):


root@www1:~# grep ' 404 ' /var/log/lighttpd/access | tail
x.x.x.x - [27/Dec/2014:16:01:05 +0100] "GET /wp-admin/admin-ajax.php HTTP/1.1" 404 345 "-" "Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0"
x.x.x.x - [27/Dec/2014:19:56:05 +0100] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-"
x.x.x.x - [27/Dec/2014:07:23:22 +0100] "GET /manager/html HTTP/1.1" 404 345 "-" "Mozilla/3.0 (compatible; Indy Library)"
x.x.x.x - [28/Dec/2014:01:23:01 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "-"

Du lär sätta en timeout på 10 sekunder mellan inloggningsförsök så slipper du ju risken att bli hackad helt.

Du lär sätta en timeout på 10 sekunder mellan inloggningsförsök så slipper du ju risken att bli hackad helt.

Finns ingen risk öht eftersom inga konton använder lösenord, vi kör enbart med publika nycklar så de kan testa sina lösenord så länge som de vill :), men visst det är ju ganska lätt att scripta in så att iptables får en block mot den ip som synts i auth loggen med invalid login, finns ju tom flera stycken färdiga sådana.

För tjänster där man inte kan ha nycklar såsom vissa admin verktyg så sätter jag mininum 40 teckens slumpvisa lösenord (typ GypIhGxzWhACKHKWMrdEQGQ1H5FGXoJje6lPFVB3), de kan de också försöka gissa sig till om de vill cofffee

Kan någon förklara vad den ens visar? Just nu kommer det knappt några attacker och så står det 1 x telnet. Hur ser den vad som blir attackerat och hur? Den visar ju inte alla telnet försök som görs iaf?:)

Kan någon förklara vad den ens visar? Just nu kommer det knappt några attacker och så står det 1 x telnet. Hur ser den vad som blir attackerat och hur? Den visar ju inte alla telnet försök som görs iaf?:)

Se inlägg #19.

Aha så då ser man inte ens det intressanta, tråkigt. Tänkte om de hade hjälp av ISPer lr något.

Aha så då ser man inte ens det intressanta, tråkigt. Tänkte om de hade hjälp av ISPer lr något.

Är ju svårt för en ISP att veta vad som är en attack och vad som är legitim trafik. Dessa servrar som Norse Security satt upp får ju ingen legitim trafik alls så allt som kommer dit räckas som attacker.

Sitter du och gör en riktad attack mot säg Sony så skulle det ju vara ganska mycket fail om någon kunde se det på en karta likt denna, då hade det liksom varit game over direkt.

Varför attackeras dessa fake-servrar som Norse satt upp? Vad av värde är man ute efter?

Varför attackeras dessa fake-servrar som Norse satt upp? Vad av värde är man ute efter?

Att komma över fler maskiner så att man kan utöka sitt botnet. 99% av det som syns där är alltså inte personer som sitter och försöker ta sig in i deras maskiner utan det är automatiserade skript från andra zombienoder som går igenom skriptade "anfall" mot slumpvisa ip adresser. Först scannas vilka portar som är öppna och sedan mot varje öppen port så testas dylika sårbarheter, kan vara allt från enkla användarnamn/lösenord till kända hål i mjukvaror.

Som ett exempel så har jag en maskin som inte finns utannonserad någonstans (dvs det finns ingen hemside adress eller liknande som pekar på den) där jag kör en applikation som lyssnar på port 8080 för att ta in pressreleaser via ett bolag som heter Cision. Nu är ju 8080 en ganska vanlig port att använda för http för att administrera switchar/routrar mm men det tog inte mer än några sekunder förren första försöken att komma in via div kända hål i div adminverktyg dök upp där.

T.ex idag så har de testat med följande URL:er dit:

Jan 1 04:39:56 fnode http-cision[2334]: "GET /tmUnblock.cgi HTTP/1.1#015#012#015" 405
Jan 1 10:13:32 fnode http-cision[2334]: "GET /manager/html HTTP/1.1" 405
Jan 1 10:39:54 fnode http-cision[2334]: "GET http://www.ly.com/ HTTP/1.1" 405
Jan 1 11:30:52 fnode http-cision[2334]: "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 405
Jan 1 14:47:45 fnode http-cision[2334]: "GET /tmUnblock.cgi HTTP/1.1#015#012#015" 405
Jan 1 16:54:16 fnode http-cision[2334]: "GET http://www.ly.com/ HTTP/1.1" 405
Jan 1 17:25:24 fnode http-cision[2334]: "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 405

Noterade en kreativ sådan från igår också:
Dec 31 20:06:13 fnode http-cision[2334]: "GET /tmUnblock.cgi HTTP/1.1#015#012#015" 405

Inte riktigt säker på vilken tjänst eller webbserver som har en sårbarhet om man stoppar in hexadecimalkodade tecken efter HTTP/1.1 men tydligen är det någon.

http://www.reactiongifs.com/r/2011/09/mind_blown.gif

Arbetar du med detta?

http://www.reactiongifs.com/r/2011/09/mind_blown.gif

Arbetar du med detta?

Inte med att angripa system nej, men det gäller att hålla sig på framkant för att skydda sina egna system (jobbar inom finansindustrin). Sen är det intressant också :)

Önskar man började knacka kod när man fick sin första dator... Nog det jag ångrar mest här i livet.

Önskar man började knacka kod när man fick sin första dator... Nog det jag ångrar mest här i livet.

Var enklare för oss som är äldre, våra datorer kunde man inte göra ett skit med om man inte började knacka kod :)

Var enklare för oss som är äldre, våra datorer kunde man inte göra ett skit med om man inte började knacka kod :)

Mjo, extremt intressant.