karpa13a Опубликовано 8 июня, 2011 · Жалоба словить этава червя и ждать?) или посотрудничать с касперским. оне вон - знают когда команды ходят) наверняка еще и откуда) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 8 июня, 2011 · Жалоба касперские не сразу про новые ботнеты узнают. а наших клиентосов все чаще и чаще 0day атакует... интересно про коррелирование нетфлоу на базе нашей статы по ботам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 23 июня, 2011 · Жалоба http://stopddos.ru/ru/report-2011-net/ - чуть в другом формате перегенерили. больше всего понравилось наличие хуиз инфы типа КБ Рубин и т.д... === IP: x.x.x.x:0, last receiving time: 2011-04-18T13:32:00+04:00, many identical requests (length 464): GET /a4/size5137409/ HTTP/1.1 Host:[hidden] User-Agent:Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 Accept:text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language:en-US,en;q=0.9,en;q=0.8 Accept-Charset:iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding:deflate, gzip, x-gzip, identity, *;q=0 Referer:[hidden] Connection:Keep-Alive Я очень сорри, но исходящий порт 0 ? (вместо x.x.x.x был IP, но порт так и есть в Ваших логах - 0) Я понимаю что запросов "many", но таки там был первый-последний, еще какой, у которого был конкретный номер порта? нет ? Или оно старое, а для новых будет порт ? да, именно так. хотя возможен вариант и с нулевым портом в новых записях, т.к. не везде еще обновились. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 23 июня, 2011 · Жалоба Стоит ли ожидать более удобного отчета для парсинга? Например в XML Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 23 июня, 2011 · Жалоба Стоит ли ожидать более удобного отчета для парсинга? Например в XML забыл :( ... сейчас сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 24 июня, 2011 · Жалоба такой xml и json устроит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 8 июля, 2011 · Жалоба ну вот... http://stopddos.ru/current/ может кто-то центр управления сеткой глянуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 8 июля, 2011 · Жалоба ну вот... http://stopddos.ru/current/ может кто-то центр управления сеткой глянуть? Поздно уже... Ты бы сразу письмо присылал по факту ддоса - тогда бы можно было посмотреть, а с задержкой 2-3 часа уже нечего ловить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 19 июля, 2011 · Жалоба •Страна: Others (172495 IPs)•Unknown Unknown (172495 IPs) txt xml json какую-то фигню на нас тестили, почти 200к онлайн ботов... ух чую скоро опять будет что-то в р-не 100гиг на кого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 4 августа, 2011 · Жалоба Привет, ромашки. Кидайте деньги. Читайте книжки. Дурной мальчишка. Ушёл. Такая фишка. вернулся сцуко, слов нету. суммарное кол-во айпишек участвующих в атаке скоро приблизится к полумиллиону. да, я без всяких там преукрасов. пока еще точно не разобрались, боты это или какието плагины/надстройки/кодеки под определенные версии браузеров, но то что оно вваливает валидное HTTP эпизодически более чем с 300k ip само по себе уже занятно. первая мысль была такая, что эта какая-то фишка с TDS-ов или соц. сетей. может в какой-то массовой игрушке какую-то бяку вставили... х.з... когда оно больше чем с 300k ip начало долбить особо не верится в ботнет. сайтик тот только у нас и отбивается, но не ясно почему они UDP/ICMP флуд не включают... может быть не могут, это к версии о каких-то браузерных фишках. это не iframe атаки с зачисткой referer, т.к. у нас они определяются хорошо... что-то новенькое, т.е. абонент флудит непереставая. из РФ только 46 IP •CORBINA-AS AS8402 (6 IPs) dump•SIBIRTELECOM-AS AS41440 (4 IPs) dump •COMSTAR AS8359 (3 IPs) dump •ALFACOM-AS AS49641 (2 IPs) dump •ASN-SPBNIT AS8997 (2 IPs) dump •SCARTEL-AS AS47395 (2 IPs) dump •TI-AS AS12714 (2 IPs) dump •TKTOR AS44270 (2 IPs) dump •EXTRIM-AS AS12668 (1 IPs) dump •ERTH-PENZA-AS AS41754 (1 IPs) dump •STARLINK-AS AS34602 (1 IPs) dump •AISTNET AS8439 (1 IPs) dump •MR-SIB-MTSAS AS28884 (1 IPs) dump •ASN-MGTS-USPD AS25513 (1 IPs) dump •ASN-YARTELECOM AS13118 (1 IPs) dump •IV-TELECOM-AS AS47241 (1 IPs) dump •PFES AS12705 (1 IPs) dump •ERTH-NNOV-AS AS42682 (1 IPs) dump •MVMTECH-AS AS41349 (1 IPs) dump •SU29-AS AS29124 (1 IPs) dump •INTERSVYAZ-AS AS8369 (1 IPs) dump •CTCNET-AS AS25515 (1 IPs) dump •CIFRACOM-AS AS50740 (1 IPs) dump •INFORM-SYSTEMY-I-TECHNOLOGII-AS AS16323 (1 IPs) dump •TIS-DIALOG-AS AS31214 (1 IPs) dump •TATTELECOM-AS AS28840 (1 IPs) dump •RU-CTSRND-AS AS6767 (1 IPs) dump •ROSINTEL-AS AS24689 (1 IPs) dump •INTERPRO-AS AS49291 (1 IPs) dump •ER-TELECOM-AS AS12768 (1 IPs) dump •ANTENNA-GARANT-AS AS44895 (1 IPs) dump если кто в наглую может посмотреть по нетфлоу где они этого бешенства обожрались, то более детальную статистику можем предоставить. в /current/ суммарная, я из отдельного отчета по автономкам выкусил... позже еще свежее по RU посмотрим. интерисует конкретно деталка абонентов, лучше конечно флоу, но может и аккаунтинг. можем рассказать что посмотреть надо. •Страна: Others (415743 IPs)•Unknown Unknown (415743 IPs) txt xml json в Others у нас всё что не RIPE. по тексту запросов и сигнатурам можно у поляков глянуть, к примеру тут -> http://stopddos.ru/current/as-PL-AS44176-dump.txt ... забавно что там язык в браузерах французский... точнее он либо en-us, либо fr. причем с каждого IP участвующего в атаке подрандоммливается в небольшом диаппазоне язык, версия браузера, accept... на больших хорошо видно -> http://stopddos.ru/current/as-PL-AS29314-dump.txt ... алилуя полная в общем. пысы. веселья мало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 4 августа, 2011 · Жалоба Траф африкансий, раз льют его в больших количествах видимо он полное Г. Что не пробила связка, сливают на вас. Как наберут нормально количество ботов пойдет уже другая атака. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 4 августа, 2011 · Жалоба А нам пока пофигу... стата только подглюкивает. В стате уже под 780к айпишек отсветило... скоро апдейт будет... но надо искать контрол-центер, потому как если UDP включат опять гиг 100 будет... или больше :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 4 августа, 2011 · Жалоба да, это, на графике кол-во IP хитрых http флудильников в пакетнике :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 12 августа, 2011 · Жалоба Хм, а как вы головы ботнетов тогда отлавливаете добрые люди с этого форума в наглую анализируют поведение своих абонов относительно инфы на stopddos.ru и блочат у себя/сливают нам головы. так же они вносят инфу в IDSы свои и вынимают там новых абонов, которых надо оповестить и почистить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 12 августа, 2011 · Жалоба пятничная тема в самом разгаре === Time: 2011-08-12T15:38:29+0400 IP: 84.111.119.213:26120 Server: [hidden] Length: 204 Redirect: [hidden] ===GET /ru/info/personnel/main/ HTTP/1.0 Host: www.yota.ru Keep-Alive: 300 Connection: keep-alive User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 декабря, 2011 · Жалоба если кому интересно, то зафиксирован первый ботик с нормальной эмуляцией жабаскрипта... отчетик по атаке тут -> http://stopddos.ru/grimuar.info/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 2 декабря, 2011 · Жалоба /уЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхъуЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхърьёЄъруёЄъЁурёЄєую°ўё№єЁЄуръёЄъэьшёъэЁуЄёруєёЄєъэрЁушяёшярёЄърёъ°ўєёюўуърёрюъэьЁёърюёўъру8ўёюєутўёюЁърэьЁюърёыўюєутёюьЁёюъруёыъруёЁюр7эёЁюъруЄюу°ърёу°ъёЁэъяёъхёрэЁю8уёюь5х8юрёуъхЄёьЁэяхьёюъруэЄЁёърёръ°ь№яу°ьюяьЁэёяъєхўтєтўъьЎрў ьvЎрьщ vщv щ• ф•чї.v ї.¦Ўvфў¦фчтў¦сыєё№рюёЄрЄьЁяхЄЁуяьЄхёшєяэўшьєхтрььўшьтЄєЁёЄършяьхэшяхърьёЄъруёЄъЁурёЄєую°ўё№єЁЄуръёЄъэьшёъэЁуЄёруєёЄєъэрЁушяёшярёЄърёъ°ўєёюўуърёрюъэьЁёърюёўъру8ўёюєутўёюЁърэьЁюърёыўюєутёюьЁёюъруёыъруёЁюр7эёЁюъру8ёюрэьЁёэях7ьюъруёюърЁуююуъёюъу8рюё8уърюю5яр8уёрюу8ъэюЁё7эъхЁёъюэърЁёэхЁ7эъЁюёэ7ъЁюёэ7Ёу8ёюрэьЁёэях7ьюъруёюърЁуююуъёюъу8рюё8уърюю5яр8уёрюу8ъэюЁё7эъхЁёъюэърЁёэхЁ7эъ А что это за хрень они спрашивают? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 декабря, 2011 · Жалоба А что это за хрень они спрашивают? х.з... у ботовода обдолбанного спросить надо. он мож в админку чо закопипастил и не посмотрел. а в клипешнике текст какой был :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...