Security Professionals - ipfw add deny all from eindgebruikers to any

DDoS Bleepingcomputer.com...

11-10-2013, 04:56 door Ilja. _V V, 21 reacties
DDoS Bleepingcomputer.com...

Enkele uren geleden kwam ik erachter dat www.bleepingcomputer de melding "De webpagina kan niet worden weergegeven" opleverde. Het lijkt veroorzaakt te worden door een DDoS-aanval.

Dit heb ik uit de Google-cache weten te vissen:


DDOS attack this morning 7:30 AM to 9:30 AM EST
Posted by Lawrence Abrams on Oct 10 2013, 09:59 AM
As some of you may have noticed, Bleepingcomputer.com was down for 2 hours this morning. This was due to a distributed DDOS attack on our web servers. At its peak, this attack was sending over 4GB of traffic towards our site. When our ISP noticed this, they immediately took action and placed the site in their scrubbing service. Unfortunately, there was a snafu on their end and it took the site offline rather than just scrubbing the DDOS attack.Sorry for the inconvenience.
[Read Entire Story]

--------------------------------------------------------------------------------
http://www.bleepingcomputer.com/forums/t/510432/ddos-attack-this-morning-730-am-to-930-am-est/
[Read Entire Story - Idem de melding "De webpagina kan niet worden weergegeven" ]


Vraag, wat ik dus niet snap, is wie wil nou waarom een hulpsite down halen? Met welk doel???...

Ilja. _\\//
Reacties (21)
11-10-2013, 08:29 door Anoniem
Omdat ze niet betalen. Dit soort aanvallen zijn chantage. Als jij niet betaald, gooien wij je plat. Hou er rekening mee dat al die websites geld verdienen met het tonen van advertenties. Geen bezoekers geen geld dus.
11-10-2013, 13:42 door [Account Verwijderd]
[Verwijderd]
11-10-2013, 14:32 door 0101
BleepingComputer helpt mensen om malware van hun computer te verwijderen... Het lijkt me niet verwonderlijk dat cybercriminelen dat niet leuk vinden.
11-10-2013, 23:54 door Ilja. _V V
Inderdaad, ik zag vanmiddag ook al dat ze weer online zijn.Net nog even gekeken maar behalve bovenstaand bericht dat het hele verhaal lijkt te zijn tot nu toe, geen verdere reden wie, wat of waarom.
Overigens merkte ik het alleen op omdat ik vannacht een verse MalwareBytes nodig had, & dan kom je uit bij Bleepingcomputer.com

Daarmee kom ik op een bijkomstig probleem, & dat is dat ik vannacht MalwareBytes rechtstreeks vanaf http://www.malwarebytes.org/mwb-download/ heb opgehaald. Vanmiddag nog een keer maar dan vanaf http://www.bleepingcomputer.com/download/malwarebytes-anti-malware.
Voor de zekerheid de hashes van beide gecontroleerd, & die bleken niet overeen te komen:

https://www.virustotal.com/nl/file/7efac5a2df9effd2b26de68163ad872d138082512d4403bbf1e1103722bb17bc/analysis/
https://www.virustotal.com/nl/file/fb4e152919a9048824fcdac2b9fa51a11ee9b8636d2b79c88f372a241a0aa5be/analysis/

De laatste van Bleepingcomputer.com blijkt 224 bytes kleiner te zijn, & ook de controlehandtekening is anders, alhoewel zo ver ik kan zien het certificaat in orde lijkt te zijn.

Nu kan ik alleen maar gissen naar de reden, maar of er staat een oudere versie op Bleepingcomputer.com alhoewel er verder geen verschil in de Eigenschappen te zien zijn, of er is toch iets meer mee aan de hand.
Wat voor mij dan een 1+1=2 conclusie is, want ik beschik niet echt over de kennis om zo'n programma uit elkaar te trekken & te analyseren...

Ilja. _\\//
13-10-2013, 10:29 door Anoniem
Door Ilja. _V V: Wat voor mij dan een 1+1=2 conclusie is, want ik beschik niet echt over de kennis om zo'n programma uit elkaar te trekken & te analyseren...

Ilja. _\\//
Goed bezig, ik ben al lang blij dat je die hashes controleert.
Daarbij wil ik wel even vermelden dat het ALTIJD aan te raden is om software van de originele bron te downloaden, om duizend-en-één redenen...
17-10-2013, 03:16 door Ilja. _V V - Bijgewerkt: 19-10-2013, 07:20
Update:

Er is dus wel wat meer aan de hand, want ik heb net de MalwareBytes-pagina opnieuw opgevraagd, & kreeg dus een 404 (van Bleepingcomputer). Hier een tekst-kopie:

404: Page Not Foundbleepingcomputer.comHomeForumsDownloadsTutorialsStartup
ListVirus RemovalUninstall ListFile DatabaseGlossaryWelcome Guest (Log In |
Create Account) New Member? Join for free. Welcome GuideChatHelpSearchRSS


nbsp; Have a computer problem and would like to ask us for help? To learn how to
ask your question Click Here!
Do you have popups, spyware, or other malware infecting your computer? If so,
Start Here!
Are you having trouble using this site? Then you should visit the New User
Orientation Center!
BleepingComputer.com

Welcome Guest
You have to log in before you can post to this site

Username

Password

Remember Me?
Follow BleepingComputer.com
Latest Virus Removal Guides
CryptoLocker Ransomware Information Guide and FAQ
Antimalware Virus Removal Guide
Security Cleaner Pro Removal Guide
United Kingdom Police Ransomware Removal Guide
PRISM and NSA Internet Surveillance Program Ransomware Removal Guide

Page Not Found!
Unfortunately the page that you requested does not exist.
Don't worry, though, we have some great suggestions to help you on your
way!
Based on the keywords found in the URL that you attempted to visit, we
have suggested similar content and articles below.
Suggested Forum discussions:
Is the Malwarebytes Anti-Malware download infected with a virus?
where is the free download for malwarebytes'anti-malware
ultra defragger appears to be blocking my ability to download
Malwarebytes Anti-Malware
Malware blocking MalwareBytes (post-update), fake anti-malware program
Suggested Tutorials:
4 Simple Steps for removing Spyware, Hijackers, Viruses, and other
Malware
How to disable Early Launch Anti-Malware Protection
How to remove a Trojan, Virus, Worm, or other Malware
How to configure Early Launch Anti-Malware Protection in Windows 8
Suggested Virus Removal Guides:
How to use Malwarebytes Anti-Malware to scan and remove malware from
your computer
Comment utiliser Malwarebytes Anti-Rootkit pour supprimer les rootkits
d'un ordinateur
How to use Malwarebytes Anti-Rootkit to remove rootkits from a Computer
Remove System Check (Uninstall Guide)
Latest Forum Discussions
Windows Repair Loop
Error Code 1603
Slow Start up
Clearing up after effects of a Malware attack
computer freezing, ads not from this site, ads.panoramtech.net
Latest Tutorials
How to sign in directly to the Windows 8.1 desktop
How to enable the F8 key to start Safe Mode in Windows 8
How to change email storage folder in Windows Live Mail
How to create a command-line toolkit for Windows
Clear tile notifications on logout in Windows 8


Advertise | About Us | User Agreement | Privacy Policy |
Contact Us | Sitemap | Chat | Tutorials | Uninstall List
Tech Support Forums | The Computer Glossary | RSS Feeds |
Startups | The File Database | Virus Removal Guides |
Downloads


© 2003-2013 All Rights Reserved Bleeping Computer®.

====================================================================

Brontekst (mag/kan later geheel/gedeeltelijk verwijderd worden) (BRONTEKST Bewerkt):
====================================================================


404: Page Not Foundbleepingcomputer.comHomeForumsDownloadsTutorialsStartup
ListVirus RemovalUninstall ListFile DatabaseGlossaryWelcome Guest (Log In |
Create Account) New Member? Join for free. Welcome GuideChatHelpSearchRSS


nbsp; Have a computer problem and would like to ask us for help? To learn how to
ask your question Click Here!
Do you have popups, spyware, or other malware infecting your computer? If so,
Start Here!
Are you having trouble using this site? Then you should visit the New User
Orientation Center!
BleepingComputer.com

Welcome Guest
You have to log in before you can post to this site

Username

Password

Remember Me?
Follow BleepingComputer.com
Latest Virus Removal Guides
CryptoLocker Ransomware Information Guide and FAQ
Antimalware Virus Removal Guide
Security Cleaner Pro Removal Guide
United Kingdom Police Ransomware Removal Guide
PRISM and NSA Internet Surveillance Program Ransomware Removal Guide

Page Not Found!
Unfortunately the page that you requested does not exist.
Don't worry, though, we have some great suggestions to help you on your
way!
Based on the keywords found in the URL that you attempted to visit, we
have suggested similar content and articles below.
Suggested Forum discussions:
Is the Malwarebytes Anti-Malware download infected with a virus?
where is the free download for malwarebytes'anti-malware
ultra defragger appears to be blocking my ability to download
Malwarebytes Anti-Malware
Malware blocking MalwareBytes (post-update), fake anti-malware program
Suggested Tutorials:
4 Simple Steps for removing Spyware, Hijackers, Viruses, and other
Malware
How to disable Early Launch Anti-Malware Protection
How to remove a Trojan, Virus, Worm, or other Malware
How to configure Early Launch Anti-Malware Protection in Windows 8
Suggested Virus Removal Guides:
How to use Malwarebytes Anti-Malware to scan and remove malware from
your computer
Comment utiliser Malwarebytes Anti-Rootkit pour supprimer les rootkits
d'un ordinateur
How to use Malwarebytes Anti-Rootkit to remove rootkits from a Computer
Remove System Check (Uninstall Guide)
Latest Forum Discussions
Windows Repair Loop
Error Code 1603
Slow Start up
Clearing up after effects of a Malware attack
computer freezing, ads not from this site, ads.panoramtech.net
Latest Tutorials
How to sign in directly to the Windows 8.1 desktop
How to enable the F8 key to start Safe Mode in Windows 8
How to change email storage folder in Windows Live Mail
How to create a command-line toolkit for Windows
Clear tile notifications on logout in Windows 8

====================================================================

Ook was mij al gebleken dat na de zgn. "snafu" van de hoster het IP van Bleepingcomputer.com was gewijzigd. Bleepingcomputer.com is overigens een van de officiele mirrors van Malwarebytes.
17-10-2013, 04:10 door Ilja. _V V
P.S: Behalve bovenstaand, de download van MalwareBytes triple-triple-checked, & de hash komt niet overeen.
Nu weet ik dus niet wat te doen, bv. wie te waarschuwen, Malwarebytes of BleepingComputer...???...
De eerste & laatste download van is MalwareBytes & komt overeen met de aangeboden laatste download via CNET, & alhoewel er daar ook kritiek op gegeven word, is CNET ook een officiele mirror, n.b. waar MalwareBytes.zelf via de homepage naar linkt.

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
http://software-files-a.cnet.com/s/software/13/08/42/74/mbam-setup-1.75.0.1300.exe?ptype=3000&ontid=8022&siteId=4&edId=3&spi=63afc1d0d6bb55d549bf75b786ee45b1&pid=13084274&psid=10804572&token=1382010182_7264d1bf577b06bfe25de9e3e538760b&fileName=mbam-setup-1.75.0.1300.exe
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe

Dit is de download van BleepingComputer:

http://download.bleepingcomputer.com/dl/d87a0b502ed36ab76c11b516e62a7eba/525f3d19/windows/security/anti-spyware/m/malwarebytes-anti-malware/mbam-setup.exe
17-10-2013, 12:06 door Spiff has left the building - Bijgewerkt: 17-10-2013, 12:06
Door Ilja. _V V, 04:10 uur:
Nu weet ik dus niet wat te doen, bv. wie te waarschuwen, Malwarebytes of BleepingComputer...???

Ik denk dat melden bij allebei verstandig en nuttig zou zijn
en dat dat waarschijnlijk door allebei zeer op prijs gesteld zal worden.

Succes, en houd ons op de hoogte.
Je signalering en melding wordt zeer gewaardeerd.
19-10-2013, 02:56 door Ilja. _V V - Bijgewerkt: 19-10-2013, 06:28
19-10-2013, 12:19 door Spiff has left the building - Bijgewerkt: 19-10-2013, 14:08
Hai Ilja,
Bedankt voor het melden en terugmelden.

De antwoorden van Malwarebytes.org en BleepingComputer.com verbazen me wat.

Malwarebytes:
"It is the exact same program except that each affiliate has their own ID so that they get credit for the download.
So the MD5 has will be different for every affiliate."
Als dat werkelijk zo is (is het werkelijk zo?) dan geeft dat verwarring.
Nogal onhandig, vind ik.

BleepingComputer:
"We are a mirror and MBAM is updated constantly so our hashes may fall out sync here and there."
Als dat klopt, dan verklaart dat het beschreven fenomeen, maar het is een geheel andere verklaring dan die genoemd door Malwarebytes. En dat geeft weer nieuwe verwarring. Gelden beide verklaringen, of heeft een van de twee het mis?
En klopt dat wel, dat wat BleepingComputer stelt, dat de MBAM-installer constant wordt geupdate?? Is dat niet steeds langdurig dezelfde installer, zo meende ik, is het niet zo dat pas na installeren vervolgens wordt geupdate met de nieuwste definities? De MBAM-installer zou in dat geval dan doorgaans niet steeds een andere zijn, en dan doorgaans dezelfde bij Malwarebytes en BleepingComputer.

Ik weet het niet.
Ik heb bovenstaande vragen.
Wat zijn de vragen waar jij mee bleef zitten, Ilja?

De aanvullende opmerking van Malwarebytes vind ik overigens wat te gemakkelijk:
"if one ever does have a doubt about any file you can manually submit it and have it scanned by https://www.virustotal.com"
Tuurlijk, da's een mooi hulpmiddel, maar beslist niet zaligmakend. Is een probleem door geen van de gebruikte scanners nog opgepikt, dan biedt VirusTotal geen uitkomst. Het biedt géén garanties.
20-10-2013, 14:54 door LightFrame - Bijgewerkt: 20-10-2013, 14:54
Malwarebytes geeft het correcte antwoord.
Het is niet meer dan logisch dat een hash wijzigt wanneer een affiliate-id in het setupbestand wijzigt.
Bleeping Computer zal 't misschien niet graag publiekelijk toegeven dat ze setup files met affiliate-id aanbieden en daarom geven ze een ontwijkend antwoord. Wanneer ze geen gebruik zouden maken van een affiliate-id kunnen ze net zo goed naar het setupbestand op de servers van Malwarebytes linken.
20-10-2013, 16:23 door Spiff has left the building
Door LightFrame:
Malwarebytes geeft het correcte antwoord.
Het is niet meer dan logisch dat een hash wijzigt wanneer een affiliate-id in het setupbestand wijzigt.
Uiteraard.
Dat ook de hash verandert wanneer een affiliate-ID wordt toegevoegd of veranderd, dat mag voor zich spreken.
Maar daar waar ik me gisteren afvroeg "is het werkelijk zo?" daar doelde ik echter niet op het veranderen van de hash met het toevoegen of veranderen van een affiliate-ID, maar op "each affiliate has their own ID so that they get credit for the download".
Ik had er naïefheidshalve nooit bij stilgestaan dat een dergelijk affiliate-systeem zou bestaan voor freeware-downloads. (Wellicht geldt hetzelfde voor Ilja?)
20-10-2013, 22:00 door LightFrame
Affiliate setups zijn er alleen voor de hele grote websites als bleepingcomputer.com. Als kleine affiliate krijg je die niet van Malwarebytes en kun je alleen affiliate cookies gebruiken.
Affiliate setups zetten een affiliate key in het systeem en daar heb je als consument verder geen enkele last van. Besluit je om een licentie te kopen via het programma, dan verdient bleepingcomputer er ook iets aan (door dat affiliate-id) terwijl je als consument gewoon de normale prijs betaalt.

Er wordt wel vaker gebruik gemaakt van affiliate setups voor gratis software waarbij de mogelijkheid bestaat een licentie aan te schaffen voor extra functies.

Die MBAM setup van Bleepingcomputer is trouwens ook voorzien van een digital signature waarmee je kunt checken of dit bestand exact zo door Malwarebytes is uitgebracht.

Wel vreemd dat ze niet besluiten om regelmatig een nieuw setupbestand te maken want de setups die nu worden aangeboden zijn van 4 april en dat kost ze toch heel wat extra dataverkeer door een noodzakelijke grote update na de installatie van MBAM.
Een uitgever van een ander bekend anti-malware programma compileert geheel automatisch elke dag nieuwe setupbestanden met de laatste definities en plaatst die op de servers. Da's wel zo handig en scheelt veel overbodig dataverkeer.
06-11-2013, 07:47 door Ilja. _V V
Sorry voor de late reactie, maar ik was (nog) herstellende van een longontsteking.

Uit de 1+1=2 vragen komen 1+1+1+1=4 vragen voort.

Het zijn er teveel, die overigens op de sites zelf beantwoord worden.

Probleem blijft dat Affiliate's ingebedt zijn.

Het verschil blijft, de download van BC verschilt van MB, & meer...

BC stelt dat het voortaan beter zal synchroniseren. Alvovorens mij terug te verwijzen naar >alhier<

0+0=0. Er klopt ergens iets niet...
06-11-2013, 12:53 door Spiff has left the building - Bijgewerkt: 06-11-2013, 12:55
Hai Ilja,
Ben je inmiddels weer goed beter, hoop ik? Een longontsteking is niet niks.

Wat je vandaag om 07:47 uur aangaf, dat begrijp ik niet helemaal goed.
Wat bedoel je precies?

Het verschil tussen de hashes van de downloads van Malwarebytes.org en BleepingComputer.com wordt blijkbaar verklaard door de affiliate-ID. Als gevolg daarvan zijn de hashes verschillend en dus niet vergelijkbaar tussen Malwarebytes.org en BleepingComputer.com. Dat is wat Malwarebytes aangaf en wat LightFrame heeft verduidelijkt met uitleg daarover.
Feit is dat je dus niet de hash van de download van BleepingComputer.com kunt controleren door die te vergelijken met de hash van de download van Malwarebytes.org. Zou je dat wensen, dan heb je die mogelijkheid dus niet.

Het antwoord dat je op 18 oktober kreeg van de BleepingComputer admin, dat lijkt me onzinnig.
Het antwoord dat je op 19 oktober kreeg van de BleepingComputer gebruiker noknojon is eveneens niet geheel correct. Die vermeldde daarin dat die een reactie van Malwarebytes had ontvangen waarin Malwarebytes stelde "There is no direct download from Malwarebytes.org as they are not able to handle the traffic, and you are redirected to a mirror."
Dat is niet geheel juist. Malwarebytes kiest er momenteel inderdaad voor op de site geen directe download-mogelijkheid voor MBAM meer te bieden, zie:
http://www.malwarebytes.org/products/malwarebytes_free/
De downloadlink voor MBAM Free stuurt je naar een mirror, zie:
http://downloads.malwarebytes.org/mbam-download.php
Maar.. er bestaat nog wel steeds een directe download-link voor MBAM, direct van Malwarebytes, hier:
http://www.malwarebytes.org/mwb-download/
Mijns inziens nogal irritant dat Malwarebytes standaard die pagina niet meer toont en standaard naar een mirror verwijst.
Laat de gebruikers de keuze, zou ik zeggen.
06-11-2013, 16:59 door Ilja. _V V
Er zijn toen bij BC een aantal dingen achter elkaar gebeurd, DDoS, fout Hoster, nieuw IP, verkeerd MB-bestand.

Dat affiliate-systeem is mij bekend, maar zover ik weet gaat dat d.m.v. cookies. Zoniet, dan nog: Hoe kan "hetzelfde" programma bij BC kleiner zijn dan bij MB?

Uiteindelijk schrijft BC dat ze de bestandsversie beter zullen gaan synchroniseren...
06-11-2013, 19:23 door Spiff has left the building
Door Ilja. _V V, 16:59 uur:
Dat affiliate-systeem is mij bekend, maar zover ik weet gaat dat d.m.v. cookies.
LightFrame gaf aan dat je als kleine affiliate affiliate-cookies kunt gebruiken, maar dat er voor de grote websites zoals BleepingComputer.com affiliate-setups zijn.

Door Ilja. _V V:
Zoniet, dan nog: Hoe kan "hetzelfde" programma bij BC kleiner zijn dan bij MB?
Dat is inderdaad wel merkwaardig.
Hoe groot was dat verschil?
Een klein verschil zou misschien nog verklaard kunnen worden door een situatie wanneer Malwarebytes' het eigen setup-bestand kenmerken meegeeft waardoor het groter wordt dan het setup-bestand inclusief affiliate-ID bij een affiliate site. Ik heb echter geen idee of dit de werkelijkheid beschrijft, of dat die nog vreemder is (of misschien logischer).

Door Ilja. _V V:
Uiteindelijk schrijft BC dat ze de bestandsversie beter zullen gaan synchroniseren.
En dat leek me onzin, gezien wat ik eerder al aangaf:
Voor zover ik weet is de MBAM-installer steeds langdurig dezelfde installer (tot een volgende grote update), en wordt pas na installeren vervolgens geupdate met de nieuwste definities. De MBAM-installer is dan dus doorgaans niet steeds een andere en dan dus doorgaans dezelfde bij Malwarebytes en BleepingComputer. De verschillen kunnen dan niet verklaard worden door een out of sync zijn.
De opmerkingen van de BleepingComputer admin
We are a mirror and MBAM is updated constantly so our hashes may fall out sync here and there. [...] Will see what I can do to tighten up the time frame between syncs.
dat lijkt me vanwege het bovenstaande onzin.

Hoe dan ook -
voor iedereen die de MBAM-installer nodig heeft en die bekend is met de directe download-link voor MBAM, lijkt het me verstandig om dáár te downloaden:
http://www.malwarebytes.org/mwb-download/
14-11-2013, 21:19 door schele
Ik zit ze zo es af te lopen maareu.. leef jij op Amerikaanse tijd ofzo? Al jou posts zijn midden in de nacht en missen structuur en inhoud.
15-11-2013, 00:40 door Ilja. _V V
Hoi, Spiff, toch nog bezig: Het verschil is (hopelijk ondertussen was) 224 bytes. Vond ik nogal wat, & heb dat ook in mijn 1ste reactie om 11-10-2013, 23:54 vermeld.

Ilja. _\\//
19-11-2013, 11:00 door Spiff has left the building
@ Ilja 15-11-2013, 00:40 uur,
Hierbij nog even een wat verlate reactie, ik was eind vorige week afwezig.

Dank je voor je verwijzing naar je eerdere reactie van 11-10-2013, 23:54 uur, en de 224 bytes verschil.
De grootte van dat eerder vermeldde verschil was ik in de loop van de thread uit het oog verloren.
Maar anders dan jij vind ik 224 bytes niet bepaald groot op een bestand van 9,80 MB.
Ik vind dat een klein verschil.
Ik sluit niet uit dat een dergelijk relatief klein verschil misschien verklaard kunnen worden door een situatie waarin Malwarebytes het eigen setup-bestand kenmerken meegeeft waardoor het groter wordt dan het setup-bestand inclusief affiliate-ID bij een affiliate site. Maar zoals ik op 06-11-2013, 19:23 uur al aangaf, ik heb echter geen idee of dit de werkelijkheid beschrijft, of dat die nog vreemder is (of misschien logischer).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.