Обзор DDoS-атак Рунета: 9:1 в пользу примитива

    Отчетная статья по семинару «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва)

    Спикер: Артем Гавриченков, ведущий разработчик сети фильтрации трафика Qrator
    Тема доклада: DDoS-атаки в 2011-2012 гг.: характер и тенденции

    Приведем обзор DDoS-атак за последние полтора года и поговорим о том, чего следует бояться, а чего нет. Начнем с тривиальной статистики, данные которой основаны на клиентской базе HLL: к сожалению, ни одна компания не имеет универсального всевидящего ока. Итак, за 2011-2012 гг. мы стали очевидцами более 2 500 DDoS-атак.



    No Time for losers


    ICMP/UDP/SYN/ACK-флуд составляет всего 18%. Средняя мощность атаки – 300 Мбит/c. Более 1 Гбит/c имели 40 инцидентов. Наибольший суммарный трафик атаки на полосу – 56 Гбит/c – зафиксирован на интернет-магазин магнитных игрушек в июле 2011 года. Атака была частично направлена и на наш домен, есть основания полагать, что атакующие пытались обрушить Qrator целиком, «размазав» трафик атаки по сети.

    Количество DDoS-атак на полосу постоянно снижается. А все потому, что большинство хостинг-провайдеров среднего уровня стали к ним готовы. Небольшим атакам легко противодействовать, мощные же не могут продолжаться долго, так как даже магистральные провайдеры начинают испытывать связанные с ними проблемы.

    The Champions!


    Преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%). Они рассчитывают на исчерпание ресурсов сервера в рамках установленных TCP-соединений, поэтому важно количество IP-адресов, участвующих в атаке. Интеллектуальные атаки на приложение коварны тем, что даже при наличии стратегии защиты вы скорее всего потеряете некую, пусть мизерную, часть легитимных пользователей.

    Не менее 50% атак Layer 7 – это «долбежка» в один URI, интеллектуальных атак всего около 10%. Первый массовый робот, который имел хорошо написанный сетевой стек с HTTP и Javascript и грамотно осуществлял переходы по сайту, – это Minerbot, атаковавший прошлой осенью немецкие и российские сайты e-commerce. Количество ботов с полноценными Web browser capabilities (TCP, HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных атаках. Вероятно, индустрия движется в сторону использования полноценных браузеров для выполнения DDoS-атак.



    Отметим еще одну пренеприятнейшую тенденцию – владельцы ботнетов стали кооперироваться. За год Qrator детектировал 4 атаки, осуществляемые одновременно несколькими ботнетами с различными стратегиями нападения. Вспомним громкие случаи с «Эхо Москвы» (3 ботнета) и Хабрахабром (4-5).

    Keep on fighting – till the end


    С января по декабрь 2011 года максимальная продолжительность атаки составила 486 часов. Как это было? Ботнет из стран СНГ и Балтии атаковал интернет-магазин кедровых бочек. Первые трое суток он пытался пробить защиту, но разочаровавшись, пошел зарабатывать деньги где-то еще. Зато как только мы начинали разблокировку IP-адресов, он тут же возвращался. Атакующий держал двух-трех ботов, и как только запрос проходил, то вызывал еще 5 000. В таком режиме ботнет может функционировать вечно, осуществляя атаки на несколько сайтов при минимальных ресурсах.

    When I get older I will be stronger


    4 декабря 2011 года выяснилось, что о ресурсах ботнета заботятся не все. Максимальная продолжительность DDoS-атаки достигла 1228 часов. Если бы slon.ru не находился под защитой, то он бы лежал 2 месяца. В течение пары часов на сайт зашло более 200 тысяч ботов преимущественно из стран Южной и Юго-Восточной Азии. Таким образом, атака поставила еще один рекорд в истории Qrator – по размеру ботнета. И хотя она уже не приносила никакого результата, атакующий все равно держал трафик, причем ботов было очень много. Но самое интересное, что, по всей видимости, этот же самый ботнет размером порядка 182 000 машин вернулся на slon.ru и на tvrain.ru 6 мая 2012 года, причём пересечение «декабрьского» и «майского» стоп-листов составило около 500 IP-адресов. За полгода ботнет из пары сотен тысяч машин обновился почти полностью – либо же на самом деле он в разы больше.

    Кстати, при атаках 4 декабря 2011 года мы ожидали, что ботнеты будут пересекаться: ведь громили схожие по идеологии СМИ. Однако пересечения замечено не было. Зато в мае мы четко видели, как один ботнет работал и против российских, и против армянских СМИ.

    Give me freedom, give me fire


    Координация ботнетов растет. Все чаще мы имеем дело не с ботнетом, имеющим единый управляющий центр, который не может работать под большой нагрузкой, а с пиринговой сетью. Поэтому обнаружение источника атаки становится все более сложным, особенно при отсутствии зацепок нетехнического характера. Организаторов DDoS-атаки поймать практически невозможно.

    Хотя не так давно мы нашли источник одной атаки на интернет-СМИ и передали его IP-адрес владельцу ресурса (который, в свою очередь, передал его правоохранительным органам). Злоумышленник сначала использовал ботнет, но в момент, когда сайт оказался под защитой, он привлек другие ресурсы, включая список анонимных прокси. Некоторые из них оказались не столь уж анонимными и проставляли HTTP-заголовок X-Forwarded-For, в котором, собственно, и находился IP-адрес атакующего сервера. Довольно тривиально, но выясняется, что не все об этом думают. Вероятность ошибки мала: у потенциального исполнителя были найдены личные мотивы.

    And if you fall, get up, eh eh


    Говоря о распределении DDoS-атак по месяцам, отметим, что с июня по сентябрь преступники снижают свою активность. По дням недели их усилия распределены практически равномерно с некоторым спадом на выходных. Зато, как правило, на выходных как раз и случаются наиболее мощные атаки на полосу. C чем это связано? Если, допустим, атака в 56 Гбит/c случается во вторник, то есть определенные основания надеяться, что в ближайшее время кто-нибудь из магистральщиков среагирует и мы сможем с ним договориться. В выходные же техподдержка даже крупных провайдеров часто не делает ни х работает менее качественно, чем в будни.

    But it's been no bed of roses


    Пока что Россию спасает ADSL: на вход большой, на выход маленький. Поэтому много атак на полосу не происходит. Но не забывайте о такой страшилке, как работа IXP, которые всячески игнорируют поступающие к ним abuse request'ы. Как это выглядит? На одного из наших клиентов начинается крупная атака, которая создает проблемы некоторым площадкам, на которых мы расположены. Причем мы видим, что мусорный трафик идет из некоторого Internet Exchange. Чтобы лишний раз не балансировать сеть, мы вначале пишем им вежливый опус вроде «От одного из ваших клиентов идет ICMP-флуд приличного объема, это неправильно, разберитесь».

    «Today we faced several Gbps of DoS from your exchange (and at this time it hasn't stopped yet).
    It is ICMP traffic with spoofed source addresses.
    Our suggestion is that one of your clients uses IPs from other ASes, connected to *^#$^*-IX.»


    Ответ мы получаем примерно такой: «Технически ничего поделать не можем. Вообще, мы предоставляем клиенту услугу, он платит нам деньги, может, вы его пустите в null route?»

    «*^#$^*-IX only operates the L2 exchange fabric. We are not involved in routing issues ourselves. Please ask your upstream(s) to contact their relevant peers on the exchange in order to investigate this.
    One idea is that you could add a null route at the border?»


    В null route мы-то его пустим, но тогда он придет к нам не через этот IX, а через «Ростелеком», например. Толку от этого никакого. Мы довольно долго говорим о том, что у провайдеров, IXP и ISP должна быть какая-то сознательность, готовность работать с такими вещами. Но, к сожалению, пока мы ее не очень-то видим.

    Choosing your battles


    Поговорим о целях атакующих. К традиционным финансы-политика-социальный протест-кража данных-самореклама ботнетов добавилась новая цель – вымогательство биткойнов. Преступники отправляют письмо с требованием выдать определенную сумму в биткойнах, а в случае непослушания угрожают крупной DDoS-атакой. И, как правило, бездействие жертвы действительно сопровождается интеллектуальной атакой на приложение. Все уже, наверное, привыкли к письмам от школьников из серии «Переведите мне 1000$ на Яндекс.Деньги, или ваш сайт будет лежать две недели». Это то же самое, но на качественно новом уровне, и этого уже следует опасаться. А поскольку биткойны не являются официальным платежным средством, то привлечь за вымогательство в данном случае практически невозможно.

    Every nations, all around us


    Напоследок мы хотим всем напомнить, что не нужно иметь атаку в 6-7 Гбит/c, чтобы сложиться. Опасна как раз таргетированная атака на приложение даже с небольшим ботнетом. До 2010 года борьба с DDoS-атаками для российских веб-приложений заключалась в блокировке зарубежного трафика. Сегодня любой желающий может приобрести ботов с геопривязкой по любым регионам. Да, российские ботнеты немногочисленны, но они есть.

    Achtung!


    Акцентируем внимание еще на одном важном пункте. Если на приложение пришла атака в 5000 ботов и оно «легло в спячку», то это не значит, что у атакующего не было в запасе дополнительных ботов. Как только ресурс не складывается под небольшой нагрузкой, как правило, 1-2 раза происходит наращивание мощности атаки, бывает и десятикратный прирост. Поэтому готовьте сани летом. И помните, что в случае DDoS-атаки вам придется заплатить за неработающий сайт. Если обычно вы платите провайдеру за 2-3 мегабита, то после инцидента будьте готовы к счету до пяти нулей. Согласитесь, будет обидно.

    Let's rejoice in the beautiful game


    90% DDoS-атак – это довольно примитивные, безынтересные игры. Численное превосходство «гостей» – не повод для паники. Спасение бегством – не лучшая стратегия. Тренируйтесь загодя, постройте плотную защиту, вооружитесь тактикой, импровизируйте. Играйте по своим правилам. В конце концов, игра идёт на вашем поле.

    Qrator Labs 98,20
    Знаем всё о доступности в интернете
    Поделиться публикацией
    Комментарии 49
    • +4
      Интересно, есть какие то перспективы на законодательном уровне обязать провайдеров резать такой паразитный трафик на своих маршрутизаторах? И делать это в международном масштабе?
      Меня пугает то, что ширина каналов пользователей очень быстро растет и атаки в 56Гб могут стать отнюдь не рекордными
      • 0
        В международном масштабе перспективы обязать нулевые. Вопрос: кто определит, где и какой трафик «паразитный»? Какая-то коммерческая организация? Или некомерческая?
        • +1
          Согласитесь, что каждому арендатору сервера ждать прихода атаки в несколько Gb это уже как-то слишком. Какой-то выход от такого сетевого рэкета должен существовать, помимо варианта «спасайся кто может?»
          • +3
            При подключении к оператору владелец сервера видит список услуг. Если в них нет защиты от «нескольких Gb», то владелец сервера сам виноват, если они на него польются. Например, если подобрали пароль к SSH этого сервера и в договоре не было предоставление услуги защиты от взлома SSH, то разве оператор виноват в этом?

            Некоторые операторы, подключающие сервера к своей сети, предлагают услугу защиты от DDoS. Не хотите последствий? Платите дополнительные деньги.
      • 0
        >> Количество ботов с полноценным сетевым стеком (TCP, HTTP/1.1, JS)
        С каких пор JS относится к сетевому стеку?
        • 0
          Справедливое замечание, исправил.
          • 0
            Да и вообще интересно, как умение выполнять JS может помочь боту? JS ведь на клиенте выполняется. Ну разве что там какую-то хитрую авторизацию пройти или линк сгенерить…
            • +4
              — неумение бота выполнять JS может помочь серверу отличить ботов от обычных браузеров
              — умение бота выполнять JS может помочь боту пройти через проверку типичных (давайте я второй раз попытаюсь адекватно воспроизвести это по-русски) возможностей Web-браузера. Такая проверка, конечно, загребёт под одну гребёнку как DDoS-ботов, так и поисковые краулеры и иже с ними, но сайт спасёт.

              См. также habrahabr.ru/post/141989/.
              • +3
                Используя принцип проверки возможностей веб-браузера можно строить весьма эффективные наколеночные решения, на основе например вот этого модуля nginx.
              • +2
                Сетевой стек, уровень приложений.
                • +1
                  Говорим «Ливерпуль», подразумеваем «Манчестер». Я на самом деле не имел в виду сетевой стек как таковой, интересуют только возможности бота в сравнении с распространёнными Web-браузерами. Чуть позже оформлю и выложу запись другого доклада на RIGF, посвящённого борьбе с атаками своими силами, там эта тема более подробно освещается.
              • 0
                Проблема, IMHO, все же не в IXP, а в операторах на IXP. IXP честно вам ответили, что технической возможности нет. А вот у операторов, присутствующих на IX нет как минимум доверия к abuse сотни других участников.
                • +3
                  Отличный отчёт, читал с большим интересом.

                  З.Ы. Привет!
                  • +1
                    Спасибо, очень интересно, но то что я не совсем в теме сказывается. Не понял кому выставят счёт в сумму с пятью нулями? Насколько я понял счёт выставят, в случае, если я оплачиваю за ограниченный канал/объем переданных данных?

                    • 0
                      Да. Ну или, как вариант, ваш сайт отключат, сообщив, что вы 1 июня израсходовали объём трафика за весь месяц.
                      • 0
                        обычный вариант.
                      • 0
                        Вы ВСЕГДА оплачиваете канал или передачу данных. Если вам кажется что это не так — ознкомтесь с текстом мелким шрифтом в вашем контракте на коло.
                      • 0
                        Но самое интересное, что, по всей видимости, этот же самый ботнет размером порядка 182 000 машин вернулся на slon.ru/ и на tvrain.ru/ 6 мая 2012 года, причём пересечение «декабрьского» и «майского» стоп-листов составило около 500 IP-адресов. За полгода ботнет из пары сотен тысяч машин обновился почти полностью – либо же на самом деле он в разы больше.

                        А может дело в том, что у большинства ботов динамический ip? Или в течение первой атаки в 1128 часов у большинства из 200 000 ботов не менялись адреса?
                        • 0
                          В первой атаке следует разделять две фазы: активную (200000 ботов, около недели) и деградацию (75000 -> 500 ботов, полтора месяца). В течение второй фазы IP-адрес источника у большинства ботов не менялся.

                          В мае у хозяина ботнета был контроль над сетью, не уступающей в размерах декабрьской. При этом характер затухания зимней атаки (постепенный уход ботов на протяжении почти полутора месяцев, несмотря на факт успешного отражения атаки) говорит о том, что, вероятно, автор ботнета по какой-то причине перестал контролировать эту часть сети. Здесь меня могут поправить специалисты по исследованию тела ботнета и контрольных центров, если у них иное мнение.

                          Кроме того, вероятность того, что у 200000 машин выдаваемые в декабре (в течение недели) и мае (в течение суток) динамические IP-адреса совпадут лишь в 0,25% случаев, как мне кажется, невелика.

                          Наконец, у целого ряда IP-адресов (к сожалению, не могу назвать точное число, в районе 7-10 тысяч) имелись различного вида HTTP proxy, выставлявшие HTTP-заголовок X-Forwarded-For из различных подмножеств подсети 10/8. Как правило (хотя, опять же не всегда), такие подсети имеют выделенный внешний IP-адрес для доступа к сети Интернет.

                          По сумме этих замечаний мы делаем вывод, что тело ботнета действительно столь быстро обновилось.
                          • 0
                            По деградации все просто, ботнет «работающий» себя проявляет активностью, причем ненормальной.
                            Пользователи так и провайдеры замечают такую ненормальную активность и чистят.

                            Кроме того антивирусы не сидят на месте, ведь ботнет как правило состоит из одинаковых билдов (бинарных) и чейто 1 сабмит тела бота на антивирусную песочницу за несколко дней приводит к заметному вымиранию ботнета.

                            А вот когда владельцы ботнетов не сидят на попе ровно и постоянно наращивают свои мощности не линейно, а отдельными сетями, с разными билдами, по разному криптоваными, то есть с разными сигнатурами, вот тогда у них и появляется возможность по мере нужды вводить запасные легионы…

                            А в приведенном примере или был факто продажи ботнета заинтересованной стороны, не имеющей возможности наращивать число ботов, или возможно был утрачен контроль за ботнетом, и он просто выполнял последнее задание, постепенно деградируя по вышеприведенной схеме.
                        • +3
                          DDOS — это эдакая форма интернет-гопничества…
                          Даже слабая атака кладет мелкие сайты на дешевых шаред-хостингах (провайдер в этом случае даже не думает разбираться-помогать, а сразу кладет зону атакуемого домена).

                          Сам сталкивался разок, было письмо «у вас низкие цены, ниже наших? мы вас будем досить, если через 3 дня цена не поменяется на такую-то».
                          Проект мелкий, как раз дешевый шаред хостинг, все по вышеописанному сценарию, правда 3 дня не дождались,.

                          Досить стали в пятницу вечером, пришлось на нормальный хостинг срочно переехать и забыть об этой проблеме (испортили вечер пятницы, ушлеки), через сутки где-то атаку сняли, судя по логам, на нормальном хосте уже ничего не лежало и никто зону не трогал =).
                          У коллег-конкурентов аналогичная шляпа случилась, кто-то несколько дней лежал (ситуация «мне сделали сайт, а как он работает я не знаю»)…
                          • –1
                            "Организаторов DDoS-атаки поймать практически невозможно."
                            Что за чушь? С каких пор Интернет стал анонимным? Почему бы не называть вещи своими именами — «Поймать организаторов DDoS-атаки можно, просто это очень дорого, и никто по-настоящему в этом не заинтересован».
                            • 0
                              Расскажете, как?
                              • –2
                                Тупо, в основном ручками и совсем мало-мало головой. Нудная, неблагодарная работа, на которую нужно, увы, хорошо потратиться — привлечение специалистов соответствующего уровня, организация сбора логов и анализ их, налаживание связей с провайдерами всех уровней по всему миру, просмотр форумов и досок объявлений и т. д. и т. п. — все старо как сам Его Величество Интернет. Зачем Вы задаете такие глупые вопросы?
                                • +1
                                  Для начала, давайте успокоимся. Вопросы не глупые, они помогают мне понять, что, когда речь идёт о десятизначных суммах в конвертируемой валюте, я говорю — " это практически невозможно", а вы говорите — «это очень дорого». Чего стоит одно только «налаживание связей с провайдерами всех уровней по всему миру» с учётом отсутствия законодательной базы, принуждающей провайдеров к «налаживанию связей» (в посте есть об этом, кстати) и с учётом уровня работы техподдержки в странах третьего мира.

                                  Мне, поверьте, тоже грустно оттого, что никто не планирует заниматься этим глобально. На недавней встрече ENOG3 Пол Викси поднимал вопрос об ответственности организаций, обеспечивающих работу сети Интернет, за сознательные (или несознательные :-) действия пользователей, и ряд представителей бизнеса операторов даже выразил согласие прорабатывать этот вопрос — но это капля в море. И это только начало длинного пути.

                                  Читайте процитированную вами фразу как «В данный момент — с учётом ресурсов, которыми располагает подавляющее большинство компаний, включая HLL и любого из наших клиентов — организаторов DDoS-атаки поймать практически невозможно».
                                  • 0
                                    С такой формулировкой больше согласен, чем с предыдущей. А вообще мне Ваш пост в свете наездов на Интернет очень не нравится. Даете лишний повод оправдать законников, закручивающих гайки совершенно не в том месте, где надо бы.
                                    • 0
                                      Тот, кто захочет оправдать «законников», оправдает их и без меня. Аболютно бесполезно рассчитывать каждое своё действие с учётом того, что кто-то может использовать это действие во зло — поскольку вообще всё, что угодно, можно использовать во зло.

                                      Мы всего лишь хотим, чтобы насущная проблема стала видна общественности и чтобы люди поняли, насколько важно найти для неё решение в ближайшее время. Само собой, что у этой проблемы есть не одно решение, но выбирать наиболее оптимальный способ глобального противодействия и навязывать его другим мы не в состоянии и не вправе. Я полагаю, что и те, кто «оправдывает законников», также не вправе. Стратегия должна вырабатываться сообществом, но сообщество в целом пока не готово — ни в моральном, ни в материальном (оборудование, кадры) плане.
                            • –5
                              Я думаю что Qrator эти письма от школьников и рассылает. Потому что а) письмо с предложением анти-DDoS-услуг тут же — это рояль в кустах. Причём два раза. Первый это пост в жэжэшечке, а второй — упоминание анти-DDoS-услуг в теле письма. Никомк больше это не нужно. b) Текст письма школьника по ссылке и текст предложения своих услуг написаны одним и тем же человеком. Сравните сами:

                              Вымогатель: После оплаты 7 000 рублей своевременно, мы не будем трогать Ваш сайт. Отвечать на это письмо не нужно.

                              Куратор: Отлично. Давайте реализуем ровно то, что Вам нужно, без лишних затрат.

                              ximaera.livejournal.com: Это ерунда. Не верьте мошенникам.

                              Это писал один и тот же человек стилистически. Категоричное наклонение и Вы — с большой буквы. Вот ещё:

                              Вымогатель: Мы предлагаем Вам заплатить 7000 рублей на счет в системе яндекс деньги xxxxxxxxxxxxxxx [..] Если же и после этого Вы откажетесь платить, то следующая атака будет уже 30 дней, но после этого Ваш сайт уже будет никому не нужен, т.к. из поисковиков вылетит, а клиенты про него забудут, но атаки будут продолжаться, пока он окончательно не вылетит. Хостинг с защитой от DDoS стоит от 30 000 рублей в месяц, но и он не спасет Ваш сайт.

                              Куратор: Мы поговорим о Ваших задачах на Вашем языке. Я возьму на себя всю работу с деталями, постановку задач дизайнеру, программисту, верстальщику, тестировщику, и т.п. Мы предметно обсудим состав и стоимость работ, чтобы Вы могли выбрать наиболее подходящий для Вас вариант. Я очень быстро отвечаю на письма, обычно в течение часа. Доступен для разговора в скайпе и по мобильному телефону. Я передам в Ваши руки рычаги управления и исходные материалы сайта с тем, чтобы Вы могли свободно распоряжаться результатами оплаченной работы.

                              Понятно, да? «Компания» одного человека.
                              • +1
                                «О себе: Являюсь менеджером». Сочувствую. Это гораздо более серьезный диагноз чем тот который вам можно поставить прочитав ваш комментарий.
                                • –2
                                  Няшка flx. До меня очень сложно докопаться. Я никак не аффилирован с авторами треда, не являюсь конкурентом и вообще никогда в жизни их не видел. Моё мнение — мнение человека проходившего мимо и увидевшего наглое разводилово шитое белыми нитками даже на уровне подхода.

                                  Читаем на qrator.net/rates/ и читаем: В том случае, если Ваш ресурс находится под DDoS атакой, стоимость подключения составит 6 000 р. Превентивное подключение к системе QRATOR осуществляется бесплатно.

                                  Какая разница находится ресурс под DDoS или нет? Да никакой. Зато это ровно то же самое что и в письме: не пришёл «превентивно» — заплати больше. Уши-то торчат! =)
                                  • +2
                                    С одной стороны я понимаю, что обяснять и доказывать что-либо Вам — занятие абсолютно контрпродуктивное. С другой стороны, вопрос «почему подключение под атакой стоит дополнительных денег?» достаточно популярен и думаю не повредит дать на него развернутый ответ.

                                    Строя QRATOR мы строим систему способную автоматически реагировать на DDoS (и не только DDoS) инциденты, но как любой обучающейся системе нам нужна нормальная выборка.

                                    В случае с подключением под атакой эту выборку получить не представляется возможным, поэтому мы вынуждены затрачивать некоторое количество человеко часов на контроль того как обучились фильтры и при необходимости корректировку их реакции. Отсюда и возникает эта дополнительная стоимость.

                                    На мой взгляд вполне справедливо и оправданно.
                                    С уважением,
                                    Ваша Няшка…
                                    • +1
                                      Думаю что ваши объяснения найдут своего благодарного читателя в сноске к тарифам.
                                • 0
                                  Во-первых, цитируя якобы «Куратор», вы на самом деле приводите цитаты из ЖЖ совсем другого человека. Любой, кто умеет пользоваться Google, легко в этом убедится.

                                  Во-вторых,

                                  > Это писал один и тот же человек стилистически

                                  То есть вы являетесь дипломированным экспертом-филологом, я так понимаю? Или анализ стилистики письма — это ерунда, которую может осуществить каждый? :-)
                                  • +1
                                    Ага, Касперский пишет вирусы (вместе с ESET, DrWeb и Symantec), врачи по ночам заражают больных etc.
                                    Да видно же что товарищ жирный тролль, чего оправдываться то? :)
                                    «Собака лает, караван идет»
                                    • 0
                                      Дружище: из того что Вы не верите в Большого Брата вовсе не следует что за Вами не следят. Попробуйте доказать что антивирусным компаниям невыгодны вирусные эпидемии, а фармацевтам невыгодны эпидемии гриппа. ж)
                                      • 0
                                        Выгода — это понятно, но выгода не порождает поступки сама по себе. Например, любому прохожему на улице выгодно ограбить меня — но никто не грабит же. :)
                                        • 0
                                          Можно по разному относится. Можно к этому относится как к виду продвижения. Для меня он по ряду причин такие методы неприемлимы, поэтому среагировал. Как правильно там было замечено в комментариях: «я нашел ваш сайт mail.ru в поиске, но он не очень красивый и малопосещаемый» © спамеры-сеошики.

                                          Внимание, вопрос: а может ли ximaera показать: «письма приходят разным людям». А был ли мальчик? Google находит всего 2 (два!) совпадения. Угадайте какие? Никому эти письма не приходили. И группа поддержки неумело «общающаяся» на заданную тему в комментариях это лишний раз подтверждает.
                                          • +4
                                            Ээээ… простите, но вы вообще «в адеквате»?
                                            Это кагбэ письма, они кагбэ не обязаны в индекс Гугла попадать.
                                            Хотя кого я спрашиваю, сам вроде ж диагноз ставил выше…
                                            • 0
                                              Диагност знатный выше был няшка flx, за вами по треду не замечено.

                                              Серьёзно? Т.е. вы получив такое письмо ни с кем не поделитесь радостью? Да ладно вам. Весь спам такого рода немедленно становится достоянием общественности и обсуждается испуганными читателями. Я лично получал такое:

                                              Здравствуйте администратор сайта site Я, почетный член арбитражной комиссии, электронной платежной системы WebMoney, псевдоним — FrichX, заявляю Вам, как представителю Интернет-ресурса site.ru, о том, что располагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостинг-провайдер provider.ru.
                                              Мною, на сайте WebMoney, уже была создана персональная страница претензий arbitrage.webmoney.ru/asp/claimsurl.asp?procurl=http://site.ru/, предназначенная для публикации жалоб на Ваш ресурс, и я предлагаю Вам, добровольно внести пожертвование, направленное на развитие платежной системы WebMoney, для отмены этого негативного процесса.
                                              Пожертвование от Вас, должно быть передано лично мне, ответом на данное сообщение, в виде реквизитов Paymer-чеков, на общую сумму 800 WMZ, не познее 30 апреля 2010 года, иначе, помимо публикации на вышеуказанной странице претензий всех поданных нам претензий на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, таким образом, помимо блокирования вашего WMID, вместе со всеми Вашими электронными денежными средствами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе полное блокирование домена site.ru на стороне реестра.
                                              Вот ссылка на одну из многочисленных моих работ:
                                              habrahabr.ru/blogs/infosecurity/85817/ (сотни подобных документов найдете через поиск ключевых слов «FrichX» и например «gullon»)
                                              Здесь, как видите, обсуждается ставший вдруг скандальным сайт gullon.eu, некогда безупречной и процветающей испанской кондитерской фирмы Gullon, который был полностью блокирован арбитражным сервисом WebMoney и лично мною, теперь его место вполне может занять SITE.RU!
                                              Так что не тяните, потому что потом это будет гораздо дороже, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною.
                                              Также хочу Вас предупредить о том, что я не намерен вступать с Вами в переговоры, и в виде ответа на данное предупредительное сообщение, Вы можете отправить мне только реквизиты Paymer-чеков в выше оговоренной сумме, и ничего больше!

                                              Пожалуйста, вбиваем в гугл и видим что тысячи их — попавших в индекс. Это же спам. А обсуждаемый фрагмент «письма злоумышленника» почему-то ограничен одной жэжэшечкой и этим нашим обсуждением. Фантастиш!
                                    • 0
                                      Извините, что я не участвую в онлайновом бизнес-интенсиве «100 дней роста прибыли», не составляю «основной рекламный текст, написанный и переписанный по результатам первых заданий», не веду «мой список рекламных каналов».

                                      Я имею в прошлом опыт работы техническим редактором на протяжении 5 лет. ;)
                                      • 0
                                        Я ещё раз обращаю ваше внимание, что вы путаете меня ( ximaera.livejournal.com/ ) и неаффилированного с HLL и Qrator Павла Сутырина из МГУ ( spacediver.livejournal.com/ ). Перестаньте уже выставлять себя в дурном свете :-)
                                        • 0
                                          Я путаю? Павел Сутырин судя по всему отличный системный администратор фрилансер.

                                          Ровно год назад, когда Qrator ещё находился в публичном бета-тестировании и размещался на мощностях МГУ, на один из защищаемых ресурсов пришла атака мощностью около 10 Гбит/с, которая просто забила предоставленный нам канал университета. © ximaera.livejournal.com/77003.html#cutid1

                                          rutracker.org собрался отключаться от Qrator по экономическим соображениям. Так что если в течение дня будет недоступен — это не мы. © ximaera.livejournal.com/81120.html

                                          Злоумышленник: Как вы могли заметить с 6 по 9 февраля сайт rutracker.org был недоступен, т.к. находился под DDoS атакой. У нас хватило бы сил, чтобы держать такой сайт в недоступности не один месяц, но мы смогли с ними договориться о цене. © ximaera.livejournal.com/80486.html
                                          • 0
                                            Я не распарсил ваше сообщение. Однако, как я понимаю, в целом краеугольным камнем доказательства моей «причастности» к пресловутому школолописьму является проведённый вами на основе трёх абзацев, хм, стилистический анализ.

                                            В таком случае предлагаю вам нанять признанного дипломированного эксперта по стилистике и вместе с ним сотворить сенсацию в СМИ, опубликовав срыв покровов. Все исходники перед вами, включая весь контент моего Живого Журнала под CC-BY-NC-SA, а также Живого Журнала spacediver (которого вы так упорно цитировали), — перед вами. Дерзайте!
                                            • 0
                                              Да ну его нафиг, покровы вам ещё срывать. Если бы я сразу догнал что весь возбудивший меня пост ограничен собственно самим постом и отражения в реальности не имеет, я вообще не стал бы Вам ничего писать.
                                              • 0
                                                Ваши догадки не соответствуют реальности, но я расписываюсь в своей неспособности вам это доказать. Извините уж.
                                                • 0
                                                  Напомнило:

                                                  — Да я тебя по IP вычислю и морду набью
                                                  — ххх.ххх.ххх.ххх
                                                  — У меня тут утилитка потерялась, дома адрес пробью
                                                  — г. Город ул. Улица дом Дом кв. Квартира
                                                  — Да не я не приеду далековато
                                  • +3
                                    Вижу свой затылок на фотке. )

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое