2. ДДОС - 12 минут 2.1 Крупнейшие ботнеты NECURS, MIRAI, BRICKERBOT, WIREX 2.1.1 NECURS - Responsible for emailing massive amounts of ransomware, banking malware, dating spam, pump-n-dump stock scams, and cryptocurrency wallet-phising 2.1.2 MIRAI - Malware that turns network devices (IOT) running Linux into remotely controlled bots that can be used as part of a largescale botnet network attacks. 2.1.3 BRICKERBOT - Attacks via remote execution using a destuctive sequence. It leverages a network of detection sensors, including bots and sentinels, and only attacks infected devices 2.1.4 WIREX - Infected 120,000 Android smartphones via hundreds of mobile apps found in the Google Play store. 2.2 Как заражаются устройства - стандартные логины/пароли и известные эксплойты для обнаруженного софта или устройства очень хороший способ скомпрометировать системы от ПК до ИОТ устройств. Поиск подходящих устройств ведется либо самостоятельно путем перебора IP адресов и снятия меток с машин либо через специальные поисковики типа Shodan. Зная адреса машин и версии софта установленных на них бот автоматически запускает скрипт с эксплойтом и пытается получить доступ либо брутфорсит стандартные пути и пароли. Получив доступ в систему (если это была не целевая атака на конкретно ваш сервер, скорее всего получите криптомайнер, в случае ПК кей логгер в комплекте с сетевым сканнером, либо атакующий вирус для привлечения вашего железа к труду на пользу ботнета. 2.3 Что с этим можно сделать? 2.3.1 Обновляйте софт. Возможно вам лень или нету времени разворачивать зависимости и вы используете супер старые продукты потому что так работает, помните что это так же работает для злоумышленников. 2.3.2 Установите каптчу. Логика простая, с любым именем и содержимым используется устанавливаимая сайтом кука. Предположим есть простейший сайт с единой точкой входа, проверяем у запроса куку, если она есть - безусловно пропускаем на сайт, если нет записываем хэши IP и User-Agent, еще рекомендуют добавить местоположение полученное по IP. Далее логгируем время + метки запроса. Смысл в том что бы одному IP дать один шанс на получение куки. Если клиент приходит второй раз без куки, шлем его в каптчу. Если не прошел шлем его ... опять в каптчу или в блэклист. Для API и AJAX запросов можно делать примерно тоже самое. 2.3.3 Cloudflare. Хоть и не очень хороший сервис, так как IP реально машины все равно можно было узнать, 23.02.2017 исследователи подготовили отчет об уязвимостях, в частности была возможность угнать пользовательские ssl ключи но радует что уязвимость закрыли за 7 часов, а первый фикс выпустили за 47 минут поэтому вроде как ничего не успело утечь. С другой стороны сервис уже более зрелый, главное если ваш домен уже застветился в сети с вашим IP перед установкой CF прокси сменить IP сервера. 2.3.4 Не забывайте про Firewall. Очень важно держать лишние порты закрытыми для внешнего мира и ограничить исходящий трафик. Если ваше приложение состоит из микросервисов, старайтесь разместить их сугубо в закрытой внутренней сети. 2.4.5 Отдельного внимания заслуживает настройка локальных mail сервисов. Кроме того что правильная настройка mail сервиса достаточно не тривиальная задача, к сожалению их очень часто забывают обновлять. Поэтому по возможности использовать внешние сервисы с доступом по API.