myDC.ru

Здравствуйте, гость ( Вход | Регистрация )

 
4 страниц V   1 2 3 > »   
Тема закрытаНачать новую тему

> Ddos, Информация к размышлению

Теги
Нет тегов для показа
KCAHDEP
сообщение 18.3.2013, 9:39
Сообщение #1


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




С недавних пор этот "сумашедшая личность с патологией" он же Phazeus, он же Александр Карпов житель Самарской области, skype Phazeus, icq 233560855. Создатель бота для dc++ хабов Экзекутор http://phazasoft.narod.ru/ekzekutor/ поселился на моих хабах и начал вести пропаганду движения в котором он состоит "Суть времени" так же там где присутствует Его Величество, по его "Большой просьбе" было запрещено любое упоминание о курении, алкоголе. В его стиле навязывать свою точку зрения и т.д. В кругу хабоводов dc++ эта личность известная тем, что используя специальный плагин установленный в дополнение к его боту он может использовать юзеров хаба для дос атак, итог этого - ботнет в **к зомби. Но это все было небольшое отступление... Придя с ночной смены я обнаружил в почтовом ящике 2 уведомления о заблокированных вдс с причиной ддос, расспросив операторов хаба они мне сообщили что в очередной раз этот фанатик-шизофреник начал раздавать ц.у. на лево и направо, один из операторов не выдержал и забанил его на хабе, после чего последовала ддос атака, уважаемые Господа :-) выражайте свою точку зрения, может обратиться в отдел К по городу Самара для упокоения этой "личности" или будут еще какие то варианты?
Go to the top of the page
+Quote Post
Setuper
сообщение 18.3.2013, 10:23
Сообщение #2


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Я уже давно не смотрел, что там в коде в этом экзекуторе. Возможно стоит проанализировать код на наличие бэкдоров.
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 10:50
Сообщение #3


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(Setuper @ 18.3.2013, 11:23) *
Я уже давно не смотрел, что там в коде в этом экзекуторе. Возможно стоит проанализировать код на наличие бэкдоров.

Какие Вы посоветуете действия против данного субъекта? Я думаю стоит написать в отдел К по городу Самаре, благо инет заявки они принимают, в данный момент 3 хаба под досом, это те которые попытались хоть както помочь.
Go to the top of the page
+Quote Post
HackFresse
сообщение 18.3.2013, 11:09
Сообщение #4


Продвинутый участник
****

Группа: Пользователи
Сообщений: 155
Регистрация: 11.1.2009
Пользователь №: 1 772
Спасибо сказали: 29 раз




Цитата
Я уже давно не смотрел, что там в коде в этом экзекуторе. Возможно стоит проанализировать код на наличие бэкдоров.


Ситуация интересная - бота можно скачать только с сайта автора, и ничто не помешает ему на время "шухера" положить чистую сборку, если там что-то и было.
Нету системы контроля версий, чтобы можно было говорить, что именно и в какой момент было сделано

З.Ы. хотя не совсем, файлы лежат на народе, там можно найти время заливки последней версии. НО проверить всё - достаточно сложно и по времени долго.
З.Ы. 2 Не факт, что ддос идёт именно юзерами хабов, которые поставили скрипт. Нужно больше инфы
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 11:29
Сообщение #5


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(HackFresse @ 18.3.2013, 12:09) *
Ситуация интересная - бота можно скачать только с сайта автора, и ничто не помешает ему на время "шухера" положить чистую сборку, если там что-то и было.
Нету системы контроля версий, чтобы можно было говорить, что именно и в какой момент было сделано

З.Ы. хотя не совсем, файлы лежат на народе, там можно найти время заливки последней версии. НО проверить всё - достаточно сложно и по времени долго.
З.Ы. 2 Не факт, что ддос идёт именно юзерами хабов, которые поставили скрипт. Нужно больше инфы

На время шухера он уже сменил адрес откуда обновляются цели ботнета, подробности в лс
Go to the top of the page
+Quote Post
HackFresse
сообщение 18.3.2013, 11:54
Сообщение #6


Продвинутый участник
****

Группа: Пользователи
Сообщений: 155
Регистрация: 11.1.2009
Пользователь №: 1 772
Спасибо сказали: 29 раз




Очень нужно проверить экзекутора на возможность удалённого управления / установки доп. плагинов без ведома админа (шелл), когда

Админ поставил на хаб с одним каким-то простым функционалом
Злоумышленник, подключившись на хаб через бэкдор-команды отправил скрипту указание выполнить какие-то действия ( например, поставить такой-то плагин с такого-то адреса)
Злоумышленник, используя шелл и новоустановленный плагин, отправляет команды ддоса на неугодные ему IP жалких хабиков / стратегические сайты спиртзаводов и табачных фабрик


P.S. Тему использования дц-клиентов для ддоса надо было бы поднять среди разработчиков клиентов, всё ли там учтено (реакция на команды соединения).
Если на один IP постоянно идут команды соединения с меняющимися портами, а юзера нету на хабе и т.д.
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 12:45
Сообщение #7


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(HackFresse @ 18.3.2013, 12:54) *
Очень нужно проверить экзекутора на возможность удалённого управления / установки доп. плагинов без ведома админа (шелл), когда

Админ поставил на хаб с одним каким-то простым функционалом
Злоумышленник, подключившись на хаб через бэкдор-команды отправил скрипту указание выполнить какие-то действия ( например, поставить такой-то плагин с такого-то адреса)
Злоумышленник, используя шелл и новоустановленный плагин, отправляет команды ддоса на неугодные ему IP жалких хабиков / стратегические сайты спиртзаводов и табачных фабрик


P.S. Тему использования дц-клиентов для ддоса надо было бы поднять среди разработчиков клиентов, всё ли там учтено (реакция на команды соединения).
Если на один IP постоянно идут команды соединения с меняющимися портами, а юзера нету на хабе и т.д.

я сетаперу тоже написал, надеюсь у него будет время проверить что к чему...
Эту тему надо в отдельную перенести а уж топе я думаю ее поддержат, есть хабы запуганные этим шизофреником которые боятся ответить из за последующего ддоса, например как хаб моряк.
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 13:05
Сообщение #8


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




KCAHDEP, ох, да ладно тебе, скажи что ещё не знаешь как к тебе такой плагин попал на хаб, скажешь что тебе не давали его и что ты не Ddos'ил меня потом? big_smile.gif
P.S. Печально что паста убунты не долго хранит записи, а то у меня весь лог твоих высеров есть/был и признание твоё (знал бы что паста убунты не долго хранит записи я бы в файл лог сохранил :( )
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 13:22
Сообщение #9


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(Артём @ 18.3.2013, 14:05) *
KCAHDEP, ох, да ладно тебе, скажи что ещё не знаешь как к тебе такой плагин попал на хаб, скажешь что тебе не давали его и что ты не Ddos'ил меня потом? big_smile.gif
P.S. Печально что паста убунты не долго хранит записи, а то у меня весь лог твоих высеров есть/был и признание твоё (знал бы что паста убунты не долго хранит записи я бы в файл лог сохранил :( )

ты кое что упустил, плагин достался случайно, как, тебе знать не по рангу, а вот то что это было как только я его скачал и я тебя попросил посмотреть что будет и работает ли он вообще ты наверное случайно забыл написать? или будешь отрицать? жаль логов не сохранил...все харошь работает ко мне никто зайти не может вырубай...

ну и ответный твой пост гдето о использовании скрипта супротив "злостного" ксандера я тоже помню...
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 13:25
Сообщение #10


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




KCAHDEP, ты наверное был тогда под пивом?
1 - я похож на идиоты который будет просить на своём, ЖИВОМ, хабе проверять такую срань?
2 - мои то логи все хранятся и чатов и ЛС я никогда не просил тебя и не попросил бы по Ddos'ить меня, так что не путай.
P.S. время есть у меня, пойду ща подымать лог ;) как ты вначале пьяный в чатике срал, а после чего стал ддосить...
Лог из чата, ЛС с просьбами уж точно не было.
Цитата
[2012-10-10 23:48] <Big-eyed> *** Хаб заблокирован на 15 минут.
[2012-10-10 23:49 | 91.219.227.147 | RU] <ксандер> бронекролик, кто поднял тебя из блубин автово и озерков))
[2012-10-10 23:49] • Сообщение шёпотом отправленно Dimon83: [ какой-то хуй ддосить пытается нас)) ]
[2012-10-10 23:51] <Big-eyed> *** Хаб разблокирован.
[2012-10-10 23:51 | 109.87.18.237 | [ua] Triolan Харьков] <Dimon83> проверяй
[2012-10-10 23:51] 15
[2012-10-10 23:51] <Big-eyed> *** Хаб заблокирован на 15 минут.
[2012-10-10 23:52 | 91.219.227.147 | RU] <ксандер> и что там...)
[2012-10-10 23:52 | 109.87.18.237 | [ua] Triolan Харьков] <Dimon83> бомба
[2012-10-10 23:53 | 91.219.227.147 | RU] <ксандер> дай адрес
[2012-10-10 23:54] <Apтём> ксандер: ддос выключаем, а!?!
[2012-10-10 23:55 | 91.219.227.147 | RU] <ксандер> Apтём, спортивный интерес)))
[2012-10-10 23:55 | 178.127.23.48 | [by] Beltelecom Белоруссия] <HackFresse> а я обновил http://magnetkino.ru/ , час назад файлы собраны
[2012-10-10 23:55] <Apтём> ксандер: смотри что бы боком он тебе не вышел
[2012-10-10 23:56 | 91.219.227.147 | RU] <ксандер> Apтём, толку от него как с гуся вода
[2012-10-10 23:56] <Apтём> смотри, ты сам на это пошёл...
[2012-10-10 23:57 | 91.219.227.147 | RU] <ксандер> Apтём, нет никакого шел или ехал, чтобы чтото сделать надо ебнуца три раза башкой об стенку
[2012-10-10 23:57 | 109.87.18.237 | [ua] Triolan Харьков] <Dimon83> вам чи делать не...р
[2012-10-10 23:58] <Big-eyed> *** 91.219.227.147 был забанен , наказал Артём по причине: Ddos

P.S.s ты долго игрался этой сранью, и не одного меня ддосил (ещё и спам ботами, но это фигня), а как тут тебя затронули те с кем ты занимался этой сранью, ты сразу о отделе К вспомнил, а почему ты не вспоминал о нём когда сам занимался "этим делом"? big_smile.gif
Go to the top of the page
+Quote Post
Saymon21
сообщение 18.3.2013, 13:52
Сообщение #11


Site Reliability Engineer
*********

Группа: Модераторы
Сообщений: 1 772
Регистрация: 27.6.2009
Из: Чувашия, г. Чебоксары
Пользователь №: 3 719
Спасибо сказали: 479 раз




Так. Давайте сначала. Кто в курсе, как распостраняется вредоносный плагин или скрипт? Вместе с основным дистрибутивом бота?
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 13:55
Сообщение #12


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




Saymon21, ТС как бы сам и знает, пусть не рассказывает, что он якобы его где-то случайно нашёл и скачал.
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 14:26
Сообщение #13


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(Артём @ 18.3.2013, 14:25) *
KCAHDEP, ты наверное был тогда под пивом?
1 - я похож на идиоты который будет просить на своём, ЖИВОМ, хабе проверять такую срань?
2 - мои то логи все хранятся и чатов и ЛС я никогда не просил тебя и не попросил бы по Ddos'ить меня, так что не путай.
P.S. время есть у меня, пойду ща подымать лог ;) как ты вначале пьяный в чатике срал, а после чего стал ддосить...
[expand=Лог из чата, ЛС с просьбами уж точно не было.][/expand]
P.S.s ты долго игрался этой сранью, и не одного меня ддосил (ещё и спам ботами, но это фигня), а как тут тебя затронули те с кем ты занимался этой сранью, ты сразу о отделе К вспомнил, а почему ты не вспоминал о нём когда сам занимался "этим делом"? big_smile.gif

P.S. время есть у меня...
да да логи...логи...
тут кусок вырезали там недописали...
91.219.227.147 | RU] <ксандер> Apтём, нет никакого шел или ехал, чтобы чтото сделать надо ебнуца три раза башкой об стенку...тогда помнится у меня было юзеров 100? ))) тебя так просто задосить?)
"чтобы чтото сделать надо ебнуца три раза башкой об стенку..." - да и то я так понимаю не получилось и постом выше я соврал о успешном ддосе
о просьбе попробовать ддос я естественно писал в личку, твой дальнейший высер лога личек (ты его конечно не ведешь))) мне не интересен, тема абсолютно не об этом.

Цитата(Saymon21 @ 18.3.2013, 14:52) *
Так. Давайте сначала. Кто в курсе, как распостраняется вредоносный плагин или скрипт? Вместе с основным дистрибутивом бота?

распространяет phazeus, распространял до сегодняшнего, сейчас его http://phazasoft.mine.nu/ под паролем, ранее все было в открытом доступе, он скрины кидал аля http://phazasoft.mine.nu/1.png но никто не мешал перейти по http://phazasoft.mine.nu/ где все лежало бери не хочу.
и опять же разговор не о том, что делать с ддосером который терроризирует хабы навязывая свою точку зрения, а неугодные получают пинка в виде дос атак?
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 14:28
Сообщение #14


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




Цитата(KCAHDEP @ 18.3.2013, 14:21) *
91.219.227.147 | RU] <ксандер> Apтём, нет никакого шел или ехал, чтобы чтото сделать надо ебнуца три раза башкой об стенку...тогда помнится у меня было юзеров 100? ))) тебя так просто задосить?)

а кто сказал что ты меня за ддосил, просто сама процедура не приятна, а точнее то, что ты долгое время пасся рядышком и тут на тебе, плевок в спину.
Цитата
"чтобы чтото сделать надо ебнуца три раза башкой об стенку..." - да и то я так понимаю не получилось и постом выше я соврал о успешном ддосе
о просьбе попробовать ддос я естественно писал в личку, твой дальнейший высер лога личек (ты его конечно не ведешь)))

ведётся всё, что пишется, а твоих/моих просьб якобы "поддось меня" не было, не выдумывай и не оправдывайся, а если есть лог, прикрепляй, только не "рисованный".
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 14:45
Сообщение #15


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




[quote name='Артём' date='18.3.2013, 15:28' post='45085']
а кто сказал что ты меня за ддосил, просто сама процедура не приятна, а точнее то, что ты долгое время пасся рядышком и тут на тебе, плевок в спину.

Слушайте господин хороший...Я не пасся это кто то очень любит денежки, а именно 300р за редирект и 1 раз купленный и в дальнейшем получив отказ снова, и снова околачивал порог в мольбах...ну дай 300р за редирект ну хоть 100р за рекламу в мотд...
Не позорьтесь сударь...
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 14:50
Сообщение #16


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




KCAHDEP, не спорю, редирект ты сам захотел купить, но где были мольбы и просьбы 100 рублей, доказательства есть или это такая тактика защиты?И вообще, не уходи от темы big_smile.gif
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 15:06
Сообщение #17


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(Артём @ 18.3.2013, 15:28) *
а кто сказал что ты меня за ддосил, просто сама процедура не приятна, а точнее то, что ты долгое время пасся рядышком и тут на тебе, плевок в спину.

Слушайте господин хороший...Я не пасся это кто то очень любит денежки, а именно 300р за редирект и 1 раз купленный и в дальнейшем получив отказ снова, и снова околачивал порог в мольбах...ну дай 300р за редирект ну хоть 100р за рекламу в мотд...
Не позорьтесь сударь...

Цитата(Артём @ 18.3.2013, 15:50) *
KCAHDEP, не спорю, редирект ты сам захотел купить, но где были мольбы и просьбы 100 рублей, доказательства есть или это такая тактика защиты?И вообще, не уходи от темы big_smile.gif

Какая тактика, я в инет еле смотрю роутер виснет, комп виснет "комуто" неугодны мои посты, а мольбы ты в своих "логах" поищи, а тема у нас была одна тебя абсолютно не качающаяся, так что читай молча и пиши строго по теме из первого поста либо обращенная к тебе лично.

я смотрю тут неугодные посты подтирают...ну всех благ вам господа
Go to the top of the page
+Quote Post
Setuper
сообщение 18.3.2013, 15:11
Сообщение #18


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Действительно проблема имеет место быть.
В принципе автору экзекутора ничто не стоит подсунуть вместо новой версии вполне обычного плагина вредоносный плагин. Админы хабов ведь не разбираются и качают что попало.
Go to the top of the page
+Quote Post
KCAHDEP
сообщение 18.3.2013, 15:22
Сообщение #19


Глубина-глубина, я не твой… Отпусти меня, глубина…
****

Группа: Пользователи
Сообщений: 199
Регистрация: 13.10.2010
Из: Михайловск
Пользователь №: 7 882
Спасибо сказали: 23 раза




Цитата(Setuper @ 18.3.2013, 11:23) *
Я уже давно не смотрел, что там в коде в этом экзекуторе. Возможно стоит проанализировать код на наличие бэкдоров.

Что тут анализировать, устанавливаете плагин DDOS.rar к экзекутору и пользуйтесь, установивший плагин получает возможность досить "неугодных" + бонус! Вы становитесь частью ботнета ["info"]="PhazaSoft, Nickolya. Плагин DDoS атак/DDoS plugin.", дерзайте парни! пока пост не потерли
Go to the top of the page
+Quote Post
Артём
сообщение 18.3.2013, 15:23
Сообщение #20


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




"умно", выложить плагин в паблик)))
Go to the top of the page
+Quote Post

4 страниц V   1 2 3 > » 
Тема закрытаНачать новую тему
4 чел. читают эту тему (гостей: 4, скрытых пользователей: 0)
Пользователей: 0

Collapse

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщение
No New Posts KCAHDEP DDoS & Flood на "Озерки"
ВЫГНАТЬ В ШЕЮ!
0 Болото 6 632 2.12.2015, 4:09 Посл. сообщение: Болото
No New Posts Topic has attachmentsDDoS Detector
Скрипт, ссобщающий операторам о DDoS-атаках на хаб
8 alex82 14 145 11.11.2014, 22:49 Посл. сообщение: Ksan
No New Posts От: DDoS Detector
От темы с ID: 5628
0 Артём 4 914 26.3.2014, 14:46 Посл. сообщение: Артём
No new Topic has attachmentsОт: phazeus ddos
От темы с ID: 5434
31 Cyber_voodoo 25 647 25.7.2013, 20:17 Посл. сообщение: Артём
No new Topic has attachmentsphazeus ddos
ddos phazeus
158 mariner 125 222 23.7.2013, 17:41 Посл. сообщение: Aлзим
No New Posts DDoS с помощью YnHub
Средство защиты от DDoS на YnHub
2 Enyby 9 095 20.4.2011, 6:45 Посл. сообщение: Enyby
No New Posts DDoS
1 strongo 6 059 9.4.2011, 17:06 Посл. сообщение: Damaks
No New Posts Защита от DDoS атак
Защита в первую очередь
7 Master-Grow 14 846 27.10.2009, 16:23 Посл. сообщение: Setuper
No New Posts Ddos Атаки
Отказ в обслуживании
9 Mr.Smit 13 919 12.12.2008, 1:07 Посл. сообщение: Delion
No New Posts Внимание Всем! Слабость Птоки Перед Ddos Атаками
0 MEXAHuK 5 738 8.12.2008, 21:18 Посл. сообщение: MEXAHuK

 



RSS Сейчас: 23.11.2024, 5:23