[kostich]

Несколько часов назад отмониторили ботнет, который ддосит следующие сайты (первая колонка содержит текущий IP)

 

127.0.0.1 bukinfo.demo.cv.ua

127.0.0.1 klichko-obl.kiev.ua

178.208.90.66 stuffismobest.ru

178.248.234.57 diaspora.svoboda.org.ua

178.248.234.57 krym.svoboda.org.ua

178.248.234.57 svoboda.org.ua

178.79.157.208 tomenko.kiev.ua

193.104.178.4 byut.com.ua

193.178.146.186 avakov.com

193.203.48.39 stepankiskin.info

194.28.172.41 taras-ua.com

195.211.240.14 bukinfo.com.ua

212.113.34.2 tymoshenko.ua

46.23.77.189 oporaua.org

5.9.54.52 investigator.org.ua

50.62.28.45 electua.org

62.149.12.237 frontzmin.ua

62.149.9.96 grytsenko.com.ua

64.202.189.170 intv.us

64.237.104.96 maidan.org.ua

64.237.99.42 maidanua.org

66.196.66.212 m.yahoo.com

74.125.143.105 google.com

74.125.232.56 google.com.ua

77.232.66.226 cardingworld.org

77.87.192.234 batkivshina-kiev.com.ua

8.8.8.8 yug-front.info

87.240.156.164 api.vk.com

87.255.51.229 pandorum.us

88.214.193.145 grach.crimea.com

89.149.223.184 crystalab.biz

89.184.75.42 batkivschyna-kievobl.com.ua

91.194.73.47 timer.od.ua

91.205.16.68 kyrylenko.com.ua

91.206.200.162 klichko-team.org.ua

91.238.84.6 paseka.com.ua

95.163.16.41 himexpress.ru

95.67.65.143 turchynov.com

 

Отчет по DDOS-у на один из сайтов в списке -> http://stopddos.ru/9a643abadd9327f7c949b656022da616/ ... школьный ботнет, HTTP запросы написаны с ошибками, масса сайтов из списка под разными "защитами", эксперты рассказывают про сумашедшие атаки... всё как обычно.

 

---------- Добавлено 29.10.2012 в 13:27 ----------

 

В вышеприведенном списке указаны гугль, яху и апи.вк... помогите разгадать следующие загадки

 

 GET /w/bp-messenger/checkin? HTTP/1.1
Host: m.yahoo.com
Accept-Language: en-us,en;q=0.5
Cookie: [censored]
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://us.m.yahoo.com/w/login/user?.done=widget%3Abp-messenger%2Flogin%3Fc%3D%26r%3D1453701574&.intl=us&.lang=en&_httpHost=us.m.yahoo.com
X-Forwarded-For: 243.136.17.21
User-Agent: Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)
YahooRemoteIP: 243.136.17.21
Content-Type: application/x-www-form-urlencoded
Connection: Close
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

 

GET /api.php?method=auth.getTokenSecure&api_id=2023699&nonce=1752067433463092 HTTP/1.1
Host: api.vk.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Keep-Alive: 300
Connection: keep-alive

 

GET /search?q=%E4%EE%F1%F2%EE%EF%F0%E8%EC%E5%F7%E0%F2%E5%EB%FC%ED%EE%F1%F2%E8+site%3Amymozyr.info&hl=uk&source=hp&ie=windows-1251&gbv=1&num=100&btnG=%CF%EE%F8%F3%EA&filter=0&start=500 HTTP/1.1
Host: www.google.com.ua
ACCEPT-ENCODING: gzip, deflate
USER-AGENT: Mozilla/4.71 (Windows 3.95;US) Opera 3.62  [en]
ACCEPT-CHARSET: windows-1251,utf-8;q=0.7,*;q=0.7
ACCEPT: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
ACCEPT-LANGUAGE: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Connection: Close

 

зачем ддос ботам слать вот эти запросы?

[andriko]

как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие...

[kostich]

как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие...

 

не, это 100% не браузеры клиентов, это DDOS бот такие запросы слал :)

[andriko]

как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие...

 

не, это 100% не браузеры клиентов, это DDOS бот такие запросы слал :)

 

маскировка? имитировали профиль хомячка...

[kostich]

маскировка? имитировали профиль хомячка...

 

в запросе на гугль поиск идет :)

[st_re]

В гугле.. может в час икс на сайте mymozyr.info выложат страничку с искомым текстом, она проиндексится и робот что поймет.. ну или правда, маскировка. А на яхе или во вконтакте или управлялка, или от имени жертвы генерят запросы и заставляют заблочить акаунт. Вы бы в вконтакт скинули сие.

[kostich]

а стату контекстной рекламы они портить не могут?

[kostich]

А на яхе или во вконтакте или управлялка...

 

на гугле может быть, но если только чем заэнкодили... да и смысл там управлялку держать, если нужна какая-то динамичность.

[st_re]

Ну я не спамер и не ддосер, чтобы смысл знать :) может для сокрытия откуда именно управляется. Если 100500 ботов придут проверять чтото на поломанный сайт, то он перестанет отзываться (ну или, как минимум, это будет срать в логи объемами), что наведет владельцев на мысль проверить "чей та оно так". а так его гугль индексит временами (он его и так индексил) то это никаких доп проблем не создаст. А гугль сдюжит.

[andriko]

а кстати, в контакте ид один и тот же или меняется?

[adnull]

Обычно запросы шлют на наиболее загружающий сервер элемент. Например, на поиск по форуму.

А то что выше - это школьный бред который автоматом будет уходить на 404.

[kostich]

так а зачем они этот бред слали на гугль, яху и апи.вк?

[flx]

Всем привет.

 

Спасибо Константину за проявленый интерес к ситуации с ВО "Свобода".

 

Прокомментирую следующей ссылкой: http://habrahabr.ru/company/highloadlab/blog/155667/

 

От смены кантри-кода мало что меняется :-/

Edited October 29, 2012 by flx

[adnull]

Так они эти запросы не на атакуемый сайт делали? Тогда логично, боты ведь они не в сферическом вакууме существуют, они на зараженных машинах работают.

[kostich]

Так они эти запросы не на атакуемый сайт делали?

 

и на атакуемый в т.ч. :)