Все выпуски  

Антивирусное обозрение "Ежики"


Информационный Канал Subscribe.Ru

Как я обнаружил хакерскую атаку

Мне рассказывали, что в 80-х годах, сделали стенд на процессоре К580ВМ80А
(советском клоне i8080) и в качестве тактового генератора использовали генератор
плавающей частоты (ГПЧ). Прцессор на частоте в единицы герц прикольно тормозил,
но самое главное, на светодиодах отладочного пульта, отображающих состояние шин
и на экране осциллографа можно было в тонкостях наблюдать работу проца.

Вот примерно так же можно изучать работу компьютерных систем на медленных каналах
(например, на диалапе) или на медленных громких винчестерах.

Когда-то давно я так отловил вирус по необычному исходящему траффику на диалапном
модеме (лампочка Sent слишком часто мигала).

А недавно я отловил хакерскую атаку на один из моих компов по звуку винта.
На компе стоит старый медленный громкий винт 300М (два винта по 300М) и ОС
ASP Linux 9.2. Винт начал с периодичностью 2 раза в секунду мигать и издавать
звуки. Команда top показала, что ничего критичного не работает. Оказалось, что
в /var/log/secure пишутся записи вида

Nov 22 16:21:05 sshd[1919]: Illegal user pm from 216.41.119.215
Nov 22 16:21:05 sshd[1919]: Failed password for illegal user pm from 216.41.119.215
port 60897 ssh2

(адрес настоящий)

В общем, какой-то компьютер-зомби (зараженный компьютер) подбирает пароль.
Бог в помощь, подумал я, словарь большой, 2 попытки в секунду, это надолго,
но все же я решил лучше поступить параноидально и тупо забанил тварюку в
hosts.deny

С.Пустовойтов, глюкмастер.
http://prool.kharkov.org

Антивирус Stop! 4.00

Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора
Подписан адрес:
Код этой рассылки: comp.soft.av.ezheki
Архив рассылки
Отписаться
Вспомнить пароль

В избранное