Обнаружение BotNet на VPS серверах.

12
S
На сайте с 09.01.2017
Offline
31
1535

Здравствуйте! У нас есть небольшой хостинг и в последнее время, кто-то постоянно заказывает у нас VPS сервера и ставит на них BotNet. Верификация данных не помогает.

Как можно попробовать отследить BotNet через сеть, к примеру через tcpdump или iptraf. Возможно есть еще какие-то инструменты?

adel92
На сайте с 04.01.2012
Offline
332
#1

По прилетевшей SBL можно очень даже успешно отслеживать)

NVMe VDS (https://well-web.net/nvme-vps) с поддержкой 24/7 - от 545 руб.! Безлимитный хостинг (https://well-web.net/ssd-hosting) - от 129 руб.! Домен в подарок! Перенос бесплатно! Заказывайте сейчас, и получите скидку 50%! Заходи! (https://well-web.net/limited-offers)
ENELIS
На сайте с 29.08.2008
Offline
183
#2

По портам и траффику. Но для всех ботнетов устаните отслеживать. Надо использовать средства как nexpose. Гарантии отслеживания нет, т.к. они могут скрываться за softether-подобными туннелями который умеет скрывать траффик в легитимных пакетах.

Можно проверять тут на контроллеры.

https://exchange.xforce.ibmcloud.com/collection/Botnet-Command-and-Control-Servers-7ac6c4578facafa0de50b72e7bf8f8c4

https://www.shodan.io/search?query=category%3Amalware

Контроллеров можно отслеживать по траффику в сети (пометить в sflow, например).

С Уважением, ServerAstra.ru (https://serverastra.com) - VPS и выделенные сервера в Будапеште по выгодным ценам!
treshnyuk
На сайте с 17.02.2013
Offline
223
#3

Могу предположить, что человек постоянно заказывает один и тот же тариф, на левые данные с одной и той же платежной системой. Что мешает производить идентификацию пользователя хотя бы по СМС? Ботнетчику придется делать аж три лишних клика для регистрации виртуального номера и принятия СМС, может и отпугнет)

WapGraf
На сайте с 30.09.2009
Offline
455
#4

slizh, можно использовать идентификацию личности, например https://www.idenfy.com, но решение не дешевое.

EuroHoster.org ( https://eurohoster.org/link.php?id=42 ) - территория быстрых серверов. Скидка 70% на VPS и 10% на выделенные серверы в Нидерландах (https://eurohoster.org/index.php?rp=/announcements/330/Скидки.html)
adel92
На сайте с 04.01.2012
Offline
332
#5
WapGraf:
slizh, можно использовать идентификацию личности, например https://www.idenfy.com, но решение не дешевое.

И слишком сложное.

Хостинг по паспорту не особо приемлем, отпугнёт значительную часть и нормальных клиентов.

WapGraf
На сайте с 30.09.2009
Offline
455
#6

adel92, совершенно не сложное. Но да, отпугнет. Это как крайняя мера.

adel92
На сайте с 04.01.2012
Offline
332
#7

А вообще лучшее решение это поднять цены. Чем выше цены - тем меньше проблем с подобными.

Win33
На сайте с 03.10.2009
Offline
110
#8
adel92:
А вообще лучшее решение это поднять цены. Чем выше цены - тем меньше проблем с подобными.

Никак нет, у меня был говнохостинг, реселлил кадедика в свое время, цены были не маленькие, и все равно какой то упырь заказывал впсы постоянно, после пары жалоб, заказывает опять, и телефон подтверждает и все что нужно, но я написал что сервера временно не выдаются могу сделать возврат средств, в итоге он даже не ответил.

Тут в чем прикол, вот эти все злоумышленники пытаются взять серваки в самых отдаленных хостеров, в случае замеса, мелкому хостеру (в которого даже не будет ЧП) тяжело будет доказать, что именно не он является злоумышленником а не хостером.

WapGraf
На сайте с 30.09.2009
Offline
455
#9

Большую часть паразитных клиентов высокие цены уберут. Но далеко не всех.

Есть часть клиентов, которые всегда берут что-то среднее по цене, видимо в надежде, что за большую цену все простительно. Например при реальном потреблении 30% от 1vCPU, 1 GB RAM, 5-10 GB SSD, заказывают 2 CPU, 4 RAM, 200 SSD.

Sinaro
На сайте с 18.06.2014
Offline
62
#10
treshnyuk:
Могу предположить, что человек постоянно заказывает один и тот же тариф, на левые данные с одной и той же платежной системой. Что мешает производить идентификацию пользователя хотя бы по СМС? Ботнетчику придется делать аж три лишних клика для регистрации виртуального номера и принятия СМС, может и отпугнет)

Часто не помогает, только если вручную отслеживать и сразу блокировать в пределах 1-2 часов, тогда надоедает просто так деньги отдавать. Было время, когда приходилось даже ручные проверки делать.

SinaroHost LTD (/ru/forum/1008721) - Виртуальные (https://sinaro.host) и Выделенные сервера (https://sinaro.host) в Нидерландах с технической поддержкой. Отзывы (https://sinaro.host/company/feedback/).
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий