IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Добавить ответ в эту темуОткрыть тему
> О том как в .com.ua за один день стало на 39000 доменов больше
Zegaldis
сообщение 30.3.2009, 15:46
Сообщение #1


Поисковый Человек


Группа: Пользователь+

Сообщений: 189
Регистрация: 2.4.2007
Из: UA



В whois-е такие домены обозначены как

% % .UA whois
% Domain Record:
% =============
domain: aaafrc.com.ua
admin-c: CCTLD-UANIC
tech-c: CCTLD-UANIC
status: FROZEN-OK-UNTIL 20090701000000
dom-public: NO
mnt-by: UARR109-UANIC (ua.admin)
remark: blocked according to administrator decision
changed: CCTLD-UANIC 20090320144714
source: UANIC

В dns для домена установлены записи IN TXT.
То есть домен внешне выглядит как просто занятый.

По рекомендации ICANN (Veni Markovski), поступившей 13 марта 2009 года, 39 тысяч доменов в com.ua использующихся червем conficker, заблокированы для регистрации.
Планируемый срок разблокирования - 1 июля 2009 года.

Решение о блокировании было принято 18 марта и исполнено ООО Хостмастер 20 марта 2009 года.

http://uastat.com/stat-comua/90.html
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
DomainMan
сообщение 31.3.2009, 8:42
Сообщение #2


PR4


Группа: Главный админ

Сообщений: 2299
Регистрация: 1.3.2007



Не очень понял, а какая связь с червем? Как он работает?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
lazutov
сообщение 31.3.2009, 9:36
Сообщение #3


???? UTF-8 ????


Группа: Club

Сообщений: 449
Регистрация: 18.6.2007
Из: dhcp client: lease is lost



Конфискер - грандиознейший дос на систему DNS, управляемый рандомом.
Атака называется dns-шторм. RIPN по-моему очень страдал от таких атак на .<generic>.ru.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zegaldis
сообщение 31.3.2009, 13:17
Сообщение #4


Поисковый Человек


Группа: Пользователь+

Сообщений: 189
Регистрация: 2.4.2007
Из: UA



Только вот как раз в .RU я применение блок-листа не увидел
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
DomainMan
сообщение 9.4.2009, 9:22
Сообщение #5


PR4


Группа: Главный админ

Сообщений: 2299
Регистрация: 1.3.2007



Цитата
В рамках борьбы с вирусом Conficker Координационный центр домена RU 30 марта 2009 года создал технического регистратора с идентификатором CC-REG-RIPN. Этот регистратор сделан для упреждающей регистрации доменных имен в домене RU, которые обнаруживаются в таблицах данных вируса. При этом учитывается время активации доменных имен, содержащихся в вирусе. По истечении срока потенциальной активизации доменного имени, зарегистрированные регистратором CC-REG-RIPN домены удаляются из реестра домена RU.

Вирус Conficker ежедневно создает уникальные доменные имена в 116 различных национальных доменах верхнего уровня, таких как .RU, .CA, .PL и др. Он постоянно распространяется и еще в 2008 году создавал около 250 различных доменов в день. С появлением C-версии вируса эта цифра резко возросла и теперь доходит до 50 тысяч доменных имен в сутки. Вирус Conficker работает по принципу двухступенчатой «ракеты». Первая часть вируса заражает многочисленные платформы Windows, имеющие критическую степень уязвимости по причине того, что они не были обновлены с помощью патча, выпущенного в октябре 2008 года. Предполагалось, что 1 апреля 2009 года должна быть активирована вторая часть вируса. Пока не ясно, как она работает, но имеющаяся на сегодняшний день информация позволяет предположить, что некий код может внедряться в веб-сайты. Этот код может способствовать распространению вируса или активизировать другие вредоносные процессы.

Краткая справка:
Conficker (также известен как Downup, Downadup и Kido) — один из опаснейших из известных на сегодняшний день компьютерных червей. Появился в сети в октябре 2008. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). На январь 2009 вирус поразил по некоторым подсчетам от 9 до 15 миллионов компьютеров во всём мире. Выявлено четыре основные версии вируса Conficker A, B, C и D, соответствнно - 21 ноября 2008, 29 декабря 2008, 20 февраля 2009 и 4 марта 2009.
Более подробная информация:
http://en.wikipedia.org/wiki/Conficker
http://ru.wikipedia.org/wiki/Conficker
Conficker Working Goup
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zegaldis
сообщение 9.4.2009, 23:59
Сообщение #6


Поисковый Человек


Группа: Пользователь+

Сообщений: 189
Регистрация: 2.4.2007
Из: UA



Правда я так и не понял..... Как этот вирус домены то регистрирует?

По ворованым кредиткам?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
lazutov
сообщение 10.4.2009, 6:05
Сообщение #7


???? UTF-8 ????


Группа: Club

Сообщений: 449
Регистрация: 18.6.2007
Из: dhcp client: lease is lost



а смысл?
Все не зарегят. Да вирус whois имеет.
Сначала по спискам регает, потом прорандомлено.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Andris
сообщение 10.4.2009, 11:14
Сообщение #8


[P,J]urist


Группа: Пользователь

Сообщений: 394
Регистрация: 10.3.2007
Из: msk.ru



lazutov, Conficker ничего сам не регает, он только использует сгенерированные имена доменов для доступа к обновлениями своего функционала.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
DomainMan
сообщение 10.4.2009, 12:24
Сообщение #9


PR4


Группа: Главный админ

Сообщений: 2299
Регистрация: 1.3.2007



А примеры доменов, через которые он обновлялся - есть? Интересно на кого и где регали =)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
lazutov
сообщение 12.4.2009, 20:28
Сообщение #10


???? UTF-8 ????


Группа: Club

Сообщений: 449
Регистрация: 18.6.2007
Из: dhcp client: lease is lost



Берем любой списочек доменов cat <файл> | grep CC-REG-RIPN > file.txt
Можно даже с особым цинизмом:
Для регру

Код
cd ~/dlist
wget https://stat.reg.ru/domainlist/file?tld=ru&username=your_login&password=your_password
unzip ru_*
cat ru_* | grep CC-REG-RIPN > conficker.txt


В принципе у меня список таким способом собран.
Если кому надо - вышлю.
Выложить в паблик по понятным причинам не могу.
Вообще на данный момент у данного регистратора 5667.

Пробил программно несколько (30) рандомных доменов.
Делегированы.
Код
domain: ZXTMH.RU
type: CORPORATE
nserver: ns.0xc0f1c3a5.com.
nserver: ns.0xc0f1c3a5.net.
nserver: ns.0xc0f1c3a5.org.
state: REGISTERED, DELEGATED
org: Coordination Center for TLD RU
phone: +7 495 2581320
fax-no: +7 495 2581321
e-mail: viruskiller@cctld.ru
registrar: CC-REG-RIPN
created: 2009.03.31
paid-till: 2010.03.31
source: TC-RIPN

2 из 30 - седо laugh.gif

Сообщение отредактировал lazutov - 12.4.2009, 20:41
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Andris
сообщение 13.4.2009, 16:14
Сообщение #11


[P,J]urist


Группа: Пользователь

Сообщений: 394
Регистрация: 10.3.2007
Из: msk.ru



lazutov, а можно имена CC-REG-RIPN доменов, делегированных на Sedo, в личку? Спрошу кое-кого.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
lazutov
сообщение 13.4.2009, 18:14
Сообщение #12


???? UTF-8 ????


Группа: Club

Сообщений: 449
Регистрация: 18.6.2007
Из: dhcp client: lease is lost



у меня не выводилось. Я думал там все одинаковые поэтому не выводились имена.
Сча попробую, может попадет еще раз.
//
ой. пересмотрел скрипт.
Так получалось, что от первого и последнего домена отрезелось вместо (.ru\n) отрезалось (<буква>.ru)
А там ,видимо , получались ссс . вот и седо.
Как плохо получилось...
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
chubaka
сообщение 18.6.2009, 17:24
Сообщение #13


PR0


Группа: Пользователь

Сообщений: 2
Регистрация: 5.8.2007



А можно както получить список или его часть?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
aleksandr229
сообщение 28.1.2013, 20:04
Сообщение #14


PR0


Группа: Пользователь

Сообщений: 2
Регистрация: 28.1.2013
Из: Москва



Да.. это очень интересно!
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Добавить ответ в эту темуОткрыть тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 25.11.2017, 4:48
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49