Второго августа 2013 на нашей площадке случилась неприятность, большое количестве "зомби ботов" приступило к изощренной атаке сайтов обслуживающихся на нашей площадке.
На несколько серверов из нашего парка машин была инициирована атака, которая заключалась в том, что с порядка 40000 IP адресов производилось обращение к порядка 3000 сайтам расположенным на нашей площадке.
C огромной долей вероятности все эти IP адреса являются обычными «завирусованными» компьютерами под управлением всем известной операционной системы.
На всех этих компьютерах, по всей видимости, установлен какой то вирус, который получает команды из какого того единого источника (или из нескольких консолидированных источников). Сеть этих компьютеров на компьютерном жаргоне называется ботнетом.
Подобные ботнеты ранее использовались злоумышленниками для рассылки спама, и для организации ДДОС атак (для выведения неугодных сайтов из строя).
Сейчас же современные компьютерные преступники пошли дальше, с помощью большого ботнета злоумышленники пытаются подобрать пароли к как можно большему количеству сайтов (простым перебором паролей), обычно эти сайты управляются свободно распространяемыми системами управления сайтов, такими как Joomla или Wordpress, если боту удастся подобрать пароль к сайту — на сайт закачивается специальный код, после установки данного кода на сайт — все пользователи приходящие на данный сайт с поисковых систем, использующие мобильные устройства на базе Android, перенаправляются на специальный сайт, на котором пользователю предлагается в срочном порядке обновить Flash Player (по причине того, что он якобы очень устарел, или по любой другой причине), если пользователь устанавливает данное приложение (которое, как вы понимаете к Flash Player не имеет никакого отношения, а является специальным вирусом), то данное программное обеспечение начинает отсылать SMS на специальные номера, тем самым воруя денежные средства с баланса пользователя.
Именно такая активность ботнета и была причиной недоступности сайтов 2 августа.
Мы провели небольшую статистику по геолокации IP адресов ботнета, и вот какая картина у нас получилась:
Видимо это объясняется небольшим распространением интернета в этих странах
Приведем статистику распределения IP адресов в порядке убывания (двадцатка лидеров):
| Страна | IP | % IP | Население (млн) | Iran, Islamic Republic of | 3898 | 11% | 75 | Russia | 3593 | 10% | 143 | United States | 3319 | 10% | 313 | Vietnam | 2565 | 7% | 88 | Ukraine | 2292 | 6% | 46 | India | 2240 | 6% | 1241 | Thailand | 2222 | 6% | 70 | Taiwan | 1735 | 5% | 23 | Turkey | 1443 | 4% | 74 | Egypt | 1164 | 3% | 83 | Indonesia | 1021 | 3% | 242 | China | 916 | 2% | 1344 | Pakistan | 876 | 2% | 177 | pazil | 558 | 1% | 197 | Bulgaria | 535 | 1% | 8 | Romania | 455 | 1% | 21 | Saudi Arabia | 432 | 1% | 28 | Bangladesh | 400 | 1% | 150 | Iraq | 370 | 1% | 33 | Philippines | 288 | 0% | 95
Все остальные страны занимают в списке менее одного процента, поэтому приводить полный список здесь нет большого смысла.
Какие выводы можно сделать из данной статистики?