kostich

ключевой момент:

думаю после этой строки не так принципиально

ну вот тут конект виден... очевидно кто-то из пехапе скрипта что-то сосёт упорно, предположительно с:

INWAP.ru

SIDEX.ru

XTR.ru

DIAMONDELECTRIC.ru

GSMCOM.ru

MOBILPORT.ru

MOSGSM.ru

MPLAZA.ru

SOTMART.ru

WAPAUTO.ru

WAPMARKET.ru

Судя по количеству доменов мобильной тематики могу предположить что крутится какая-то партнерка (на что ТС намекал в первом посте), которая по сути как web-proxy работает и на каждый запрос к себе скачивает ответ с какого-то из тех доменов... ну и соотношение там соответствующее получается, т.к. возможно скачивает больше чем отдает конечному клиенту.

ps. спасибо за внимание.

Кстати по поводу Вебпланеты.

эксперты жгут...

kostich добавил 04.03.2008 в 07:40

Знакомые NATы или NATы к которым есть доступ? Еще раз повторю - сама атака с 20 - 50 тыс компьютеров для проинсталированных нами решений не страшна. Если есть доступ к NATам и Вы сотрудник ISP или же домашней сети, то Вы можете сами прекрасно все посмотреть.

kostich добавил 04.03.2008 в 07:46

так понял абоненты за NAT могут делать все что угодно и никакой статистики по трафику не сохраняется?

http://webplanet.ru/interview/security/2008/03/04/stopddos.html

ps. раскрывать информацию о таргетах можем, но только тем кто реально может оказать помощь в установлении центра управления ботнетом... а вообще tcpdump можете включить и посмотреть кто там такое HTTP шлет, было бы желание... если NAT на циске, то трафик заверните и посмотрите там.

kostich добавил 04.03.2008 в 06:34

GAZPROMBANK AS35022 (1 IPs) dump, start/stop list

ps. а кто-то говорит что проект абсолютно бесполезен 😂

грешно смеяться конечно, но валяются сейчас вместе с решениями от стаминуса...

ps. завтра стаминус скажет что была авария на оптоволоконном кольце... или не скажет, т.к. валяться будут.

мне доподлинно известно, что там публикуются статьи из воздуха... проанализируйте эти статьи и поймете о чем речь.

стучитесь в аську или скайп... в скайпе у нас конф-чат, скоро еще один ботнет прибьют... надеюсь и далее будут прибивать с таким же рвением.

там не определяется по юзер агенту...

не понял... сервер где хостится стопддос.ру физически стоит в питере, но трафик на него идет через европейские IXы... что тут такого? и айпи адреса там фирмы, партнеров, которая использует наше решение для очистки трафика... чего тут левого? реальный айпи сервера где это стоит Вы врядли узнаете.

А что Вы знаете про RBN? Вы в курсе, что ярлык RBN вешают на любую сеть которая по тем или иным причинам была засвечена спамхаусом в том или ином контексте? Вы в курсе, что той RBN про которую писали изначально давным давно уже нет? Современный RBN это МИФ придуманный буржуями для запугивания клиентов. Сидят вот два дибила в блеклотусе и пишут клиентам про русский кибер-криминал, про RBN, про еще что-то... а что тут такого? Они на этом с клиентов на 5k$ в месяц берут больше ... это при учете того, что никого там не атакуют. Буржуи на эту тему ведутся. После их статей прибегает очередной шизик и просит защитить их от RBN. Вы знаете, что те кто это пишут не имеют на руках каких либо реальных данных и пишут все это из воздуха? исходя из своих же форумных постов, которые были сделаны из под одноразовых ников?

Если интересно более предменто, то потратьте 400WMZ на покупку абузоустойчивых хостингов у граждан с никами Abdullah (житель Украины представляющийся Романом или Михаилом) и RedLine... попросите по два хостинга в разных ДЦ у каждого и так чтобы в РФ. В данный момент их абузоустойчивые хостинги сейчас и называют RBN-ом... IMHO когда RBN исчезла, то клиентура ушла к ним... купите 4-6 хостингов абузоустойчивых в разных российских ДЦ и сообщите нам пожалуйста те места где все это стоит... чо языком трепать... возможно для Вас это будет сенсацией, а для лиц разгребающих грязь вполне обычно.

Мы поступательно действуем... после стопддос будет стопбадваре, стопмалваре и т.д... поддержка со стороны антивирусных фирм есть и как только будем готовы то с их стороны будут офицальные релизы.

ps. шо там еще про RBN?

kostich добавил 03.03.2008 в 02:57

только мне сказки не рассказывайте 😂 читайте - публично пойманы на лжи.

kostich добавил 03.03.2008 в 04:59

Добавили разбивку по городам на основе базы GeoIP (благо за вебмани её продают). В данный момент делаем daily в который будет идти текущий current и новый current будет полным реалтаймом... т.е. не флудящих в данный момент там IMHO вообще не будет.

лол... ну поддось, может полегчает.

а если трейсы кинуть из США, то скажешь что в США... и что? сервер где этот сайт сидит вообще на других айпи... и к бордерам очищающим трафик отношения не имеет :)))

ps. Вы в курсе что RIPE на левак ASки не оформляет? сетки обычной белой европеской фирмы с физическими офиса в лондоне и софии... и если заметили, то там страна BVI, что совсем не в компетенции RIPE, но т.к. у RIPE были причины, то они это оформили. RIPE не оформляет ASки на фирмы зарегистрированные не в Европе. Доступно?

юзера через тебя ходят?

----

Какие кросавцы:

GET /search/?search=DDOS? HTTP/1.0

Connection: Keep-Alive

User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)

Host: [cenzored]

Accept: */*

Authorization: Basic FEb