kostich Опубликовано 29 октября, 2012 · Жалоба Несколько часов назад отмониторили ботнет, который ддосит следующие сайты (первая колонка содержит текущий IP) 127.0.0.1 bukinfo.demo.cv.ua 127.0.0.1 klichko-obl.kiev.ua 178.208.90.66 stuffismobest.ru 178.248.234.57 diaspora.svoboda.org.ua 178.248.234.57 krym.svoboda.org.ua 178.248.234.57 svoboda.org.ua 178.79.157.208 tomenko.kiev.ua 193.104.178.4 byut.com.ua 193.178.146.186 avakov.com 193.203.48.39 stepankiskin.info 194.28.172.41 taras-ua.com 195.211.240.14 bukinfo.com.ua 212.113.34.2 tymoshenko.ua 46.23.77.189 oporaua.org 5.9.54.52 investigator.org.ua 50.62.28.45 electua.org 62.149.12.237 frontzmin.ua 62.149.9.96 grytsenko.com.ua 64.202.189.170 intv.us 64.237.104.96 maidan.org.ua 64.237.99.42 maidanua.org 66.196.66.212 m.yahoo.com 74.125.143.105 google.com 74.125.232.56 google.com.ua 77.232.66.226 cardingworld.org 77.87.192.234 batkivshina-kiev.com.ua 8.8.8.8 yug-front.info 87.240.156.164 api.vk.com 87.255.51.229 pandorum.us 88.214.193.145 grach.crimea.com 89.149.223.184 crystalab.biz 89.184.75.42 batkivschyna-kievobl.com.ua 91.194.73.47 timer.od.ua 91.205.16.68 kyrylenko.com.ua 91.206.200.162 klichko-team.org.ua 91.238.84.6 paseka.com.ua 95.163.16.41 himexpress.ru 95.67.65.143 turchynov.com Отчет по DDOS-у на один из сайтов в списке -> http://stopddos.ru/9a643abadd9327f7c949b656022da616/ ... школьный ботнет, HTTP запросы написаны с ошибками, масса сайтов из списка под разными "защитами", эксперты рассказывают про сумашедшие атаки... всё как обычно. ---------- Добавлено 29.10.2012 в 13:27 ---------- В вышеприведенном списке указаны гугль, яху и апи.вк... помогите разгадать следующие загадки GET /w/bp-messenger/checkin? HTTP/1.1 Host: m.yahoo.com Accept-Language: en-us,en;q=0.5 Cookie: [censored] Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Referer: http://us.m.yahoo.com/w/login/user?.done=widget%3Abp-messenger%2Flogin%3Fc%3D%26r%3D1453701574&.intl=us&.lang=en&_httpHost=us.m.yahoo.com X-Forwarded-For: 243.136.17.21 User-Agent: Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html) YahooRemoteIP: 243.136.17.21 Content-Type: application/x-www-form-urlencoded Connection: Close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 GET /api.php?method=auth.getTokenSecure&api_id=2023699&nonce=1752067433463092 HTTP/1.1 Host: api.vk.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Keep-Alive: 300 Connection: keep-alive GET /search?q=%E4%EE%F1%F2%EE%EF%F0%E8%EC%E5%F7%E0%F2%E5%EB%FC%ED%EE%F1%F2%E8+site%3Amymozyr.info&hl=uk&source=hp&ie=windows-1251&gbv=1&num=100&btnG=%CF%EE%F8%F3%EA&filter=0&start=500 HTTP/1.1 Host: www.google.com.ua ACCEPT-ENCODING: gzip, deflate USER-AGENT: Mozilla/4.71 (Windows 3.95;US) Opera 3.62 [en] ACCEPT-CHARSET: windows-1251,utf-8;q=0.7,*;q=0.7 ACCEPT: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 ACCEPT-LANGUAGE: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3 Connection: Close зачем ддос ботам слать вот эти запросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 29 октября, 2012 · Жалоба как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 октября, 2012 · Жалоба как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие... не, это 100% не браузеры клиентов, это DDOS бот такие запросы слал :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 29 октября, 2012 · Жалоба как вариант, запросы шлют браузеры клиентов, там плагины, панели всякие... не, это 100% не браузеры клиентов, это DDOS бот такие запросы слал :) маскировка? имитировали профиль хомячка... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 октября, 2012 · Жалоба маскировка? имитировали профиль хомячка... в запросе на гугль поиск идет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 29 октября, 2012 · Жалоба В гугле.. может в час икс на сайте mymozyr.info выложат страничку с искомым текстом, она проиндексится и робот что поймет.. ну или правда, маскировка. А на яхе или во вконтакте или управлялка, или от имени жертвы генерят запросы и заставляют заблочить акаунт. Вы бы в вконтакт скинули сие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 октября, 2012 · Жалоба а стату контекстной рекламы они портить не могут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 октября, 2012 · Жалоба А на яхе или во вконтакте или управлялка... на гугле может быть, но если только чем заэнкодили... да и смысл там управлялку держать, если нужна какая-то динамичность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 29 октября, 2012 · Жалоба Ну я не спамер и не ддосер, чтобы смысл знать :) может для сокрытия откуда именно управляется. Если 100500 ботов придут проверять чтото на поломанный сайт, то он перестанет отзываться (ну или, как минимум, это будет срать в логи объемами), что наведет владельцев на мысль проверить "чей та оно так". а так его гугль индексит временами (он его и так индексил) то это никаких доп проблем не создаст. А гугль сдюжит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 29 октября, 2012 · Жалоба а кстати, в контакте ид один и тот же или меняется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 29 октября, 2012 · Жалоба Обычно запросы шлют на наиболее загружающий сервер элемент. Например, на поиск по форуму. А то что выше - это школьный бред который автоматом будет уходить на 404. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 октября, 2012 · Жалоба так а зачем они этот бред слали на гугль, яху и апи.вк? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flx Опубликовано 29 октября, 2012 (изменено) · Жалоба Всем привет. Спасибо Константину за проявленый интерес к ситуации с ВО "Свобода". Прокомментирую следующей ссылкой: http://habrahabr.ru/company/highloadlab/blog/155667/ От смены кантри-кода мало что меняется :-/ Изменено 29 октября, 2012 пользователем flx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 29 октября, 2012 · Жалоба Так они эти запросы не на атакуемый сайт делали? Тогда логично, боты ведь они не в сферическом вакууме существуют, они на зараженных машинах работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 октября, 2012 · Жалоба Так они эти запросы не на атакуемый сайт делали? и на атакуемый в т.ч. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...