Пользователь
0,0
рейтинг
27 августа 2009 в 17:05

Разработка → Шантаж

Наша история начинается с того, что пара наших клиентов получает письма следующего содержания:

Здравствуйте.

Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно.
Внимание! начиная с 26-го августа Ваш сайт будет подвергнут Ддос атаке. Он будет недоступен до тех пор, пока вы не начнете нам платить.

В первой атаке будут задействованы 2000 ботов. Если вы обратитесь в фирму, занимающуюся защитой от ddos-атак и они начнут блокировать наших ботов, то мы увеличим кол-во ботов до 50 000, а защита от 50 000 ботов стоит очень-очень дорого.

1-й платёж (10 000р.) должен быть совершён не позднее 31 августа.
Все последующие платежи (10 000р.) должны быть совершены не позднее 31(30) числа каждого месяца начиная с 31 августа.
За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
Например, если вы не успеете произвести оплату в последний день месяца, то 1-го числа вы будете должны оплатить пени 100%, т.е. всумме 20 000р., если оплатите только 2-го числа, то будет уже 30 000р. и т.д. Пожалуйста, платите во время, и тогда сумма 10 000р. будет неизменна.
Пени касаются и вашего первого платежа — не позднее 31 августа.

Вы также получите ряд бонусов.
1. 30% скидка на заказ ддос атаки на ваших конкурентов/врагов. Средне рыночная цена ддос атаки простого сайта составляет около 100$ за сутки, для вас цена будет всего 70$ за сутки.
2. Если к нам обратятся Ваши конкуренты/враги, с просьбой произвести атаку на Ваш сайт, то мы им откажем.

Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.

Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru


В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят руками, помощи от них нет.

А теперь вопрос, кто нибудь еще получал такие письма? Какими были ваши действия?
streetche @streetche
карма
123,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (634)

  • +38
    1. Обратиться в отдел «K»
    2. Обратиться в Яндекс, чтобы пробили с какого IP адреса регистрировали кошелек.

    Если все производилось через анонимные прокси, то ничего не сделаешь. концы в воду
    • НЛО прилетело и опубликовало эту надпись здесь
      • +6
        Не знаю, как другие хостинг-компании, а от Мастерхоста помощи точно ждать не стоит. Они будут спокойно сидеть и смотреть, как утекают деньги со счета из-за превышения соотношения трафика.
        • +3
          Если сайт ddos-ят на виртуальном хостинге, то площадку переносят на карантинный сервер, где отключен зарубежный трафик. И только если DDOS продолжается и там, то отключают доступ.

          Если Вы подскажете хостинг за 500р/месяц, который справится с атакой 100к в минуту, то подскажите, буду иметь в виду.

          Если атака идет на colo-сервер, то также можно заблокировать зарубежный трафик для ip.
          • +6
            Я вам реальный случай говорю. -300 долларов со счета за 2 с небольшим часа. А техподдержка только руками разводила. Мы их попросили VPS выключить. Они его выключили так, что потом 6 часов поднимали. Это было в сентябре или октябре 2008 г. Никто нам никуда VPS не переносил и не предлагал.
            • +2
              Тогда возможно так и было, сейчас сервисы работают лучше, можно спокойно блокировать зарубежку.
              • +10
                Тем не менее, осадок неприятный остался и мы свалили оттуда так быстро, как только смогли. ))
          • +1
            мастерхост нас по такой схеме и вырубил.

            завтра может скажу про такой хостинг, если сработает.
            • +2
              Если нужно будет соотношение трафика выровнять, то напишите в этой теме и мне в личку, пожалуйста. Мне в свое время так же помогли.
        • +1
          Понимаете… они готовы предоставить защиту от ДДОС, но это оговаривается в индивидуальном порядке и зависит от того сколько вы готовы потратить на это денег.
          • +1
            Жалко, что они нам не предложили своих услуг в этом плане.
            • +1
              нам был ответ в прошлом году -что услуга защиты предоставляется только для выделенных серверов, учитывая их нынешние тарифы…
              а автору статьи обращаться в отдел К обязательно.
          • +1
            Ничего они не предоставляют, по 2м клиентам сталкивался, просто предлагают выключить. И говорят, что можно трафик до конца месяца)
            • 0
              Гм. Видимо что-то поменялось, либо нужно обращаться к конкретным людям.
        • +1
          смотря что за атака.
          с «популярным» SYN-флудом мы например обычно относительно успешно боремся )
          а так если что-то сложное то за бесплатно конечно никто не будет этим заниматься, хардаврные решения настраивать и т.д.
          Все это приличных денег стоит
        • 0
          это точно. там роботы какие-то сидят, не человеки
    • +19
      Обратиться в отдел «K» самое правильное решение
      • +10
        Или попробуйте сюда:
        email: be@hll.msu.ru
        skype: highloadlab
        icq: 551992774
        • +1
          уж не ваших ли рук это дело? :-))
      • –5
        А еще можно согласиться на их условия, но сказать что деньги налом, спрятанные в мусорном контейнере =)
        • +2
          Ага, еще предожите сказать, что деньги в ближайшем отделении ФСБ.
    • +3
      Моего знакомого в своё время в из отдела «К» послали в отделение по месту жительства аргументируя тем, что их отдел дел не заводит и работает только по запросу от людей, ведущих дело.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        Потерянные деньги в обеих случаях!
        Большие — если сайт лежит месяц, малые — платишь раз в месяц за неддос.
        Лучше среднее, заплатить и найти ублюдков, оторвать яйци
        • НЛО прилетело и опубликовало эту надпись здесь
          • +9
            Здравствуйте.

            Если вы хотите, что бы Ваш ботнет xxxxxxxxxx работал, вы должны будете платить нам $100. ежедневно.
            Внимание! начиная с 26-го августа Ваш ботнет будет переведен под наш контроль. Он будет недоступен до тех пор, пока вы не начнете нам платить.

            1-й платёж (100$) должен быть совершён не позднее 31 августа.
            За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
            Например, если вы не успеете произвести оплату в любой день месяца, то на следующий день вы будете должны оплатить пени 100%, т.е. всумме 100$, если оплатите только через два дня, то будет уже 300$ т.д. Пожалуйста, платите во время, и тогда сумма 100$ будет неизменна.

            Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.

            Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru
            • –1
              яндекс.деньги рублями оперирует…
        • +6
          По международной практике нельзя вести переговоры с террористами))
    • +4
      А вы сами то хоть раз в этот К обращашись, а? ;)
      • НЛО прилетело и опубликовало эту надпись здесь
        • +8
          Подковырка в том, что хотелось бы услышать примеры закрытых дел по таким случаем. Ну и кроме того, в таком уж контексте, хочется узнать по каким статьям таких героев можно закрыть, а главное как доказать, что именно этот херой их совершил?

          Только я говорю о реальных кибер преступниках, а не о тех сопливых кулхацерках, которые скачав какую то программу для взлома тут же пытаются её использовать с домашнего компа (при нулевом уровне знаний хотя бы основ сетевого стека) с белым IP, а потом льют слезки «мяямяяя, я больше так не будуууууу». Дело балаковской троицы? Ну извините меня, так там британцы фигурируют. Хочу примеров по родному отечеству…

          Знаю как минимум один достоверный случай, когда человек стер все сайты на площадке хостера. Его смогли не только установить, но и точно выяснили где он находится. А толку. Что предьявлять? Логи сервера? Ха, обычный текстовой файл, правиться в vim-е элементарно — подделали. Провайдер готов подтвердить наличие определенного трафика с домашней машины? 1) См. п. про логи. даже если отбросим п.1 переходим к 2) а теперь докажите, что именно в это время за этой машиной находился именно этот человек. А пусть даже и находился, ничаго-не-знаю-ничего-не-делал, может вирусы.

          Любое преступление оставляет финансовый след, берем злодея при получении денег? А, ну да, так он сам и пришел их забирать.
          • +3
            Такие дела не всегда получают огласку. Но это не значит, что их нет (я знаю как минимум один случай). «Закрывают» по статьям 273, 274 (это только как минимум, могут еще 163, наверное).
            И, судя по всему, у вас довольно скудное представление о системах безопасности, логах и подобном.
            • 0
              Разочарую (обрадую?) о логах представление у меня более чем достаточные.
              Системы безопасности обсуждать не буду, разные они достаточно.
            • 0
              Подводя итог: одно дело? )
          • 0
            В епреступлениях более удачна не «постфактум»-практика, а наоборот, когда оперативники представляются потенциальными заказчиками нелегальной услуги и «ловят на живца». Тут можно было бы провернуть аналогичное.
    • 0
      В Яндекс пусть лучше обращается отдел К — у них быстрее и лучше получается.
      Все электронные системы легко идут на сотрудничество с ними.
      Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.

      Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.

      Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
  • +71
    интернет гоп-стоп процвевает…

    осталось завести себе интернет-крышу
    • +32
      лучшая интернет крыша это хороший сис. админ ;)
      • НЛО прилетело и опубликовало эту надпись здесь
        • +17
          без хорошего админа это просто металлолом
      • +4
        По своему опыту могу сказать, что каким бы не был сисадмин, в общем случае ддоса без должной поддержки со стороны хостера ничего нельзя сделать. Я хоть и не претендую на роль мага в администрировании, но могу сказать, что когда канал забивается на 90%, то уже можно забить на какие-то попытки вытащить сервер без хостера или же каких-то специальных защит. Мы в своё время воспользовались услугами компании по антидос защите, потому что количество запросов, просто вырубало сервер в любом раскладе.
        • –11
          хороший сисадмин отобьётся от любой атаки, вовремя узнав про неё… часть — предотвратит.

          Ах да — флуд траффиком сейчас не рулит (дорого, заумно, сложно). Eгопники используют флуд HTTP запросами.
          • +12
            И как админ защитит при потоке в 800мбит, допустим(случай из практики)?
            Дай контакты этого чудо-админа.
            • –13
              Два варианта, выносят канал, это проблема хостера, прям им жалобы на не удолетворительные услуги и тп. И соотвенсвенно законный отказ оплачивать не полностью оказанную (ненадлежащего качества) услугу. И вообще акты не подписывать, на одного клиента хостер может и забить (правда через договор их можно нагнуть все равно) разорвав договор, на пачку начнут шевелиться, ну и поболее инфы сюда у кого из хост провайдеров проблема со спецами и рамещаться не стоит. Второй выносят сервис, тот же апач ресурсоемкими запосами и тп, тут уже как раз админ и фаир который их будет отбрасывать. В любом случаи положить сайт не получиться. Правда стоить все это дорого будет, ибо входящий трафик.
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                хм, по первому варианту у Вас оплаченый трафик быстро закончится да и все, и хостер Вам уже ничего не должен будет ))
            • 0
              выше был пример, с сылкой на комбатс, это реально.
          • +1
            Имеется ввиду DDoS в общем случае, HTTP-flood это лишь малая часть того что могут сделать. В общем случае рассматривается именно объём входящего трафика, при определённых величинах уже не имеет смысла защищаться на самом сервере. Когда за сутки тебе в канал по отчёту хостера влетает несколько терабайт, то нужно задуматься о альтернативе.
    • +88
      Слышь, у тебя электронные деньги есть? А если найду?
      • +86
        эээ, пацанчик, дай пасс от скайпа — позвонить.
        • +43
          друган откинулся с чампа по CS, привет передать надо
        • +41
          дай ноут, по скайпу позвонить. акк у меня свой!
          • 0
            Не… эт больше на класических гопов похоже… просто продвинутых =)
            • 0
              знаю, хабра односторонний инструмент. Редактирования нема (
        • 0
          эээ, эскейпь базар)
      • +6
        Варианты ответов:
        — А ты чо, Яндекс штоле?
        — А ты Васю Яндекса с раёна знаешь?
        :)
        • 0
          я и есть Вася с раёна, ты кто такой, а?
          • +4
            Платона знаешь?
            • +2
              Еленинышны сынок
            • –5
              а ты Лебедева знаешь???
        • 0
          А ты Серегу Брина знаешь, слыыш?
      • +14
        А ты ваще с этого сервера или ччо?
        • +17
          тебя чо отпарсить?
          • +50
            регулярка не отросла
          • +15
            с какой целью запрос отправляешь?
            • +7
              да чота тэги перебить руки чешутся

              :]
              • +7
                ты попутал, у меня брателло тут админ
                • +33
                  слыш, у меня папа хостер!
                  • +3
                    не, эта, пацаны, ну вы еще диаганалями моников померяйтесь
                    • 0
                      41
                      • +9
                        в холодной воде))))
    • –1
      интернет-крышу — доброго (злого) провайдера? :)
  • –26
    забей
    • –18
      Все правильно говорите
  • НЛО прилетело и опубликовало эту надпись здесь
  • +24
    В первом комет все правильно сказано.
    Можно указать в днс главную страницу хостера — скорее всего тогда он начнёте принимать меры =))
    Или конкурентов — пусть думают вместе с вами что делать с этой напастью.=))
    Ну а серьёзно — надо проанализировать откуда идет атака, иногда удается минимизировать наносимый ущерб путем отсекания какой нибудь страны или даже региона.
    • +27
      Если указать страницу хостера — то он, конечно, зашевелится и подаст на вас в отдел «К» сам.
    • +33
      Помнится можно было указывать в ДНС — страницу угавного управления ФСБ. Бот нет прикрывались за три часа.
      • +5
        Ссылки?
        • +10
          Сейчас не могу вспомнить, но некотрое время назад имел место прецедент перенастройки DNS то ли ФСБ, то ли на администрацию президента. Атака прекратилась за три часа.
          Был прецедент атаки на сайт ЯБЛОКА, когда они редирект на сайт президента сделали — тоже очень быстро всё прикрыли, но тут уже политика. Ссылки сходу не нашёл :(
      • +1
        собственно, сайт они сами дали — fsb.ru вот туда можно и перенаправить :)
        $100 за сутки. Т.е. каждые сутки их 50K ботнета, это -$100 для них. Можно и с этой стороны посмотреть. :)
        • 0
          Ну это ж рыночная. Если это реально их ботнет, то есть и время простоя, в которое они занимаются таким вот гоповством.
        • 0
          Вот ФСБ удивится дикой полупярностью их сайта.
      • +3
        Осталось дело за малым — предупредить всех клиентов о внеплановой первоапрельской шутке, отключить сервер от интернета (ибо ddos по ip еще никто не отменял) и заняться offline рекламой своей продукции…
        • 0
          Если вас DDOS'ят 50k ботов, то про клиентов можно пока забыть :) Вот с IP сложнее, но это нужно смотреть, что за атака. Пока атакующий поймёт, что происходит половину его сети уже положат. Если атака более-менее сложная, то можно и редирект настроить.
      • +1
        Кстати! как идея — довольно интересная…
        но вот чем это обернется для владельца домена — не понятно.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            угу, максимум, что светит — мелкое хулиганство. Никаких санкций за ущерб впаять не могут, ибо его не вы наносите. Это все равно, как знать, что придут рекетиры и поменять номера на дверях квартир.
            • +1
              Нее… Это как место для стрелки забить в холле ОВД…
    • +75
      а я помню, когда нас ддосили, мы прописали в днс ip адрес 127.0.0.1
      • +3
        гениальное рядом ;)
      • 0
        жестоко =)
        и так можно?
        • 0
          Достаточно в домене изменить A запись на 127.0.0.1
          • –1
            Вот только что толку редиректить всех в пустоту???
            • 0
              Вы правы, толку от этого нет. Я просто ответил на вопрос freeAKK
              >и так можно?
              :)
      • 0
        Может проще было просто выдернуть сетевой шнур? :)
      • +1
        О, я тоже помню. 2 года назад башоргру так поступил при ддосе.
        Zoi, перелогиньтесь.
        • +1
          Баш тогда в Норвегию свалил на Хостэкс. Сами они ничего не делали. Там (в хостэксе) люди грамотные очень. Лично знаю. Там мозги еще те.
          • +1
            Верно, и вопрос в том не _где_ отражают атаку а _кто_ отражает.
            Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
          • +2
            Мы тогда много чего делали, в том числе и несколько дней находились в хостексе, да.
        • +5
          У вас детектор барахлит.
      • 0
        За то есть бесплатная возможность задосить кого угодно.
        Вопрос, что будет если их натравить на боольшой проеrт, или на айпишник fsb.ru ?)
        • 0
          Большой проект и fsb.ru, в основном, располагаются на устойчивых к такому ддосу площадках.
      • +2
        Говоришь на меня, а переводишь на себя!
  • 0
    Кстати, их угрозы вполне реальны, так как даже если вы и вычислите IP атаковавших компьютеров, то это будут только зомби. Ботнет может быть очень большой. От его размера зависят ваши действия. Если машин немного — вносите в блеклисты IP. Также необходимо правильно настроить сервер. Ограничить кол-во подключений с одного IP и т.д. Если ботнет большой, то вам мало кто сможет помочь.
    • 0
      Насколько мне известно, пара кисок должна фильтровать, если не забьют канал.
      • 0
        есть еще оборудование от TippingPoint… цена внушительная но с подобными «шутниками» отлично справляются, плюс еще кучка всяких «бонусов» в комплекте, типа проверка трафика антивирусами, выявление подозрительного исходящего трафика и прочее и прочее…
      • 0
        Тут вопрос цены решения.
    • 0
      А нельзя использовать white list, как временную меру?
      • +1
        Нверное нереально. Если это работающий корпоративный сайт или просто какой-нибудь популярный ресурс. Откуда знать кто имеет право попасть в «white list»?
        • +2
          Логи поднять, с каких IP раньше ходили. И включить некоторые маски, с которых маловероятна атака.
        • –1
          Смотря какой, конечно, корпаративный сайт, но с теми что я встречался месяцок полежать — потери не будут огромными.
      • –2
        А если IP динамический?
  • НЛО прилетело и опубликовало эту надпись здесь
    • +7
      В нашу доблестную? Смешно, однако. У них компьютеры только как печатные машинки.
      В «К» обращаться и, в общем, выше на эту тему уже написали грамотную инфу.
      • НЛО прилетело и опубликовало эту надпись здесь
        • –1
          Вот тут не решусь комментировать, какие государственные учреждения какую юридическую силу имеют.
          Просто такая мысль, что тут нужна вовсе не милиция, а, допустим какой-нибудь суд…

          Но это уже юристов спрашивать.
        • 0
          Сейчас модно по форумам спамить текстом с предложением пирамиды и указанием кошельков на Яндексе (раньше на WebMoney было обычно). Так вот, если отправить даже простой копипаст и ссылку на размещенную информацию, меры уже начинают принимать.
        • 0
          По простой жалобе яндекс тоже реагирует. Для начала кошелёк лочится, то есть не совсем лочится, деньги на него поступают, нигде ничего не написано, а вывести деньги с кошелька нельзя. Так что есть некоторое время в запасе, чтобы написать заявление куда следует…
      • +1
        Отдел «К» не работает с «физическими лицами»
        • +2
          А Вы думаете, что написавший «физик»?
          • +8
            Имеется ввиду, что нельзя «написать» или «позвонить» в К, они занимаются только делами по завявками самой миллиции, переданными «внутри» конторы.

            То есть единственный способ предусматривается — писать заяву в отделение милиции по месту жительства, а они уже внутри передадут в К.
            В теории это работает так.
            По крайней мере милиция считает, что работает, не надо ухмыляться. :-|
            • +1
              Все зависит от отдела «К» в вашем городе. У нас и по аське принимают жалобы. Другое дело, что если проблема действительно подпадает по статью, просят придти и написать официальное заявление.
  • +5
    Мне кажется стоит задуматься о смене хостинга, если этот не принимает никаких мер.
  • +56
    напиши e-mail, я им лучей поноса пошлю
    • 0
      e-mail легко подделать. Если бы всё было так просто…
      • +2
        так может они ждут моего лучезарного ответа?
        • 0
          Денег они ждут :)
      • –1
        А HELO-запись заголовка легко подделать? :)
        • 0
          Первый раз об этом слышу, если честно :)
          • 0
            Я не специалист, но почтовые сервера ставят записи в заголовках письма при пересылке.
            И запись с тегом «HELO» ставит тот сервер, с которого отправляется письмо.

            И вроде почтовые сервера верифицируют логи, чтобы письмо с сервера «А» по логам не пришло с сервера «Б». Защита от спама, ага.

            А ещё, они по-идеи верифицируют домен в записи «FROM», и чтобы оно тоже совпадало с сервером, с которого отсылается письмо.

            Попробуйте отправить письмо сами себе с обратным адресом bil.gayts@microsoft.com
            Только не со своего почтового сервера на свой же, а куда-нибудь на gmail или yandex
            • 0
              А потом посмотреть в заголовки — и в записи HELO увидеть свой сервер, с которого отправляли))
              • 0
                если дойдёт))
        • 0
          Может быть FROM?
          • 0
            Ну почти. Поле FROM указывает на почтовый адрес для ответа.
            А HELO на адрес сервера с которого ушло письмо.

            Вообще, я здесь написал то, как я себе это представляю.

            Да, не все почтовые клиенты показывают RFC заголовки.
            • 0
              против mutt'а нет приёма (:
              • 0
                ))
        • 0
          Ну только сервер узнаешь. А не %юзернейм%.
  • 0
    Я бы начал с ограничения количества подключений на IP. Так же самых активных DDOSеров нужно просто заноситься в черный список.
    • +3
      Если атака распределённая, подключений на IP может много и не быть.
      • 0
        Всегда есть наиболее активные. Читай пользователи с наиболее широким каналом и мощным PC. Таких нужно в первую очередь отсевать.
        • +1
          Есть и «ленивые» ботнеты. Они большие и каждая машина ведёт себя как юзер.
    • 0
      А если канал положат? или сервак упадет от обработки блек листа?
      • +4
        Простите, что это за сервер такой, если он падает от обработки черного списка?
        • +31
          маленький, слабый- болел много в детстве )
        • +3
          Был недавно ддос на 50кппс. Этим вполне реально могут нагрузить фаер любого линуха или бсд + очередь tcp, буферы и т.п. Сервер коре дуо ляжет, а если еще и до бэкэнда доходить запросы будут…
          • 0
            А на оборудовании хостера блочить нельзя было?
            • +10
              Мы сами себе хостер. Ничего не пришлось блочить, отдавал ботам пустышку с javascript редиректом на рабочий сайт.
          • 0
            Можно прописать роуты. Несколько десятков тысяч роутов средняя машинка нормально довольно разруливает. роут на злобный ip черезщ 127.0.0.1
            Каналу, правда, может и не помочь. Тут, как вариант блочить страны, что в не в ЦА, если атака или часть атаки будет не из них. Настроить лимит запросов с одного ip итд. Соединения не будут приниматься и канал будет меньше засираться.
            • 0
              Да, это как вариант обработки без фаера очень хорошо себя зарекомендовал.
        • НЛО прилетело и опубликовало эту надпись здесь
  • +28
    Жалко у них нет сайта, можно было бы накрыть хабраэффектом. :)
    • 0
      Сейчас поищу, мне кто-то такие услуги уже предлагал. Должны были письма в треше остаться.
    • –1
      Что-то такое: ddzakaz@yahoo.com
      • +6
        Яху не накрыть хабраэффектом =)
        • +4
          Знают, где мыло хостить, сволочи.
  • +9
    ddos за 10 тысяч рублей? Кризис чтоль?
    Накатать заяву в мастерхост во все отделы, а лучше выйти напрямую на их руководство. Пусть сами ловят того мудака-админа, который у них там зарабатывать пытается подобным образом.
  • +8
    Брать ребят с УБОП и идти по следу денег. Налицо вымагательство, а еще группой лиц…
  • +131
    идея! можно шантажировать хабраэффектом. все легально, никаких ботов. платите мне 10 000 рублей в месяц и я не буду размещать статью на хабре с адресом вашего сайта.
    • –1
      Я согласен! Я не буду платить!
      Посетители лишними не бывают. Особенно с хабры :)
  • +24
    Такое чувство, что текст писали дети.
    • +4
      не у вас одного сложилось такое впечатление))
      • 0
        Скорее не дети, а люди, для которых русский — не родной язык (и причем тут китайцы с индусами?; Р )…
        • +1
          Насяльника! Ддос, насяльника! Платить Жамщюта многа рублей!
    • +5
      дети они всякие бывают… кто-то в 14 лет рвет всех на олимпиадах про программированию, а кто-то растит сеть ботов… в общем возраст не может быть критерием определения серьезности или несерьезности угрозы :(
      • +6
        Я знаю людей, которые сначала побеждали в олимпиадах, а потом занимались порно-рассылками…
        • +6
          — Света, как же ты стала валютной проституткой?!
          — Повезло наверное…
    • +3
      Очень похоже. 14-ти летние ксакепы, накопавшие скрипты для управления. Может и кошелек не догадались через прокс регистрировать? Писать в Яндекс нужно в любом случае.
    • –1
      школота детектед!
    • 0
      Точняк студенты младшекурсники или школьники. Человек по-старше и по-умнее написал бы завуалировано, чтобы нельзя было докопаться за вымогательство
  • +3
    Однако-ж.

    >В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят
    >руками, помощи от них нет.

    Вы извините, но это подтверждённые данные?
    • –1
      Совершенно
      • +1
        Как-то сомнительно. Потому что по идее ложатся соседи по серверу. Или у вас выделенный?
        • 0
          нет был не выделенный. думаю, легли вместе с соседями. нас быстренько от них отселили, в случае мастерхоста.
          • +2
            Похоже на хитрый способ апгрейда. :)
        • 0
          А выделенный лег также сразу )
        • +6
          Могу сказать про masterhost (опыт «сотрудничества» около 3х лет).
          Если ДДОСят виртуальный хост, то блокируют сайт и предлагают единственный вариант — переезд на выделенный сервер (а там уже сам разбираешься). Если ДДОСят сервер на colocation, то в лучшем случае заблокируют или UDP, или зарубежные IP (и то, после нескольких десятков писем в разные отделы и множества гневных звонков).

          Более того, при ДДОСе нарушается соотношение входящего трафика к исходящему и бывает, что за час набегает пара сотен долларов за принятые гигабайты (посчитайте убытки недельной атаки), которые в любом случае придется платить, если не удастся выровнять до конца месяца (самый простой способ — запустить в ответ мощный UDP Flood).

          Из договора:
          3.3 При «паразитном» трафике (dos атака, иные злоупотребления третьих лиц по отношению к серверу, хостингу Абонента) трафик оплачивается в порядке, указанном в настоящем договоре.

          Пример письма от MX:

          Здравствуйте!

          Уведомляю Вас, что огромным количеством запросов по протоколу HTTP к Вашему домену example.ru была вызвана критическая нагрузка на сервер виртуального хостинга, что могло крайне отрицательно сказаться на его работоспособности.

          Мы вынуждены были отключить доступ по HTTP к данному домену.

          Если у Вас есть информация о том, когда активность данных обращений спадет, просьба ее предоставить, после чего мы сможем включить сайт.

          Также уведомляю Вас, что подобная нагрузка уже не первая, и при следующем таком инциденте будем вынуждены отключить домен example.ru без возможности включения на виртуальном хостинге, поскольку не можем рисковать работоспособностью серверов.

          Всего доброго.
          • 0
            Так если, почти ничем не помогут? обидно ;(
            • 0
              вообще ничем
          • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        1-й платёж (10 000р.) должен быть совершён не позднее 31 августа.

        Тогда как это подтверждено?
  • 0
    Банить IP наврядли получится, т.к. это могут быть зараженные машины клиентов, т.е. если всех банить — забанятся посетители. Кошельки они создают скорей всего через прокси сервера, так что IP от яндекса ничего не даст. Можно договориться с Яндексом, чтобы по IP отследили способ вывода, хотя и там замыть следы не сложно… Yandex -> Money Bookers ->… -> какая-то пластиковая карта какой-то страны… Мде, грустно…
    • +1
      Вполне возможно что программа яндекс.денех на стороне клиента может смотреть внешний ip.
      p.s. К сожалению не имел дела с яндекс.деньгами посему это чисто предположение.
      • 0
        Возможно… Но даже если может, эти люди хоть и пишут как дети, но так просто себя впоймать не дадут.
        Вполне возможно аккаунт яндекс денег создаётся из виртуальной машины, которая получает доступ в интернет через мост прокси серверов. Причем создание аккаунтов скорей всего поставлено на поток…
        • 0
          А что даёт виртуальная машина то?
          • 0
            Она каждый раз чистая?
            • 0
              А для зареганья в яденьгах надо иметь чистую винду? :)
              • 0
                Просто нет следов. NeonXPуже написал.
                • 0
                  И как проявляется макадрес при регистрации в яденьгах?
                  • +1
                    Ну не надо строить из себя идиота. Никак он не проявляется. Имеется ввиду, что на твоей машине нет следов того, что ты вообще когда-то был на яндексе.
                    • 0
                      Private browsing?
                      • 0
                        А где гарантии? С виртуалкой можно быть на 100% уверенным, насчет приватного режима не уверен.
          • 0
            Как минимум поддельный мак адрес и в случае чего инфу с неё легче уничтожить, чем с «большого брата». На самом деле просто предосторожность.
            • +3
              Да, занимать шантажом в одной локалке с яндексом довольно ссыкотно :)
          • –2
            нет привязки к железу (mac сетевухи, № винта). одно из немногих доказательств, если найдут
        • 0
          Возможно, что они сами и не создают аккаунтов.
          Недавно было на фрилансерском сайте объявление «Нужно создать 100 почтовых аккаунтов, оплата 5 руб./шт.» — большая вероятность, что тут что-то не чисто. Также может быть и с кошельками вполне.
          • 0
            Народ просто поспамить решил и к террористам никого отношения не имеют. ;)
            • 0
              Я это к тому, что подобного рода способ может использоваться и для регистрации кошельков. А к террористам и шантажисты из топика тоже отношения не имеют :)
        • 0
          ответ прост — vpn
          анаонимный vpn, все так же с зараженного компьютера, а дальше сверху еще проксик навешивается, а вообще можно еще сходить в интернет кафе, или в wi-fi зону. Вариантов куча, так же можно скинуть деньги на обменники, и за 30-40% очистить деньги и получиться уже на свой кашелек чистые деньги.
          • 0
            Да, ломать не строить…
      • +2
        Не может — вся работа с Я.деньгами идет через веб-интерфейс
  • +51
    Проверенный веками совет — никаких переговоров с шантажистами. Сразу бейте.
    • +8
      По почкам
      • +7
        ломом
        • +30
          Урановым.
          • +20
            Измазанным ртутью.
            • +2
              и утопить там вместе с ними
    • –21
      Один не будет вести переговоров. А второй заплатит, чем и простимулирует вымогателей к дальнейшим действиям.
      Поэтому здравый смысл подсказывает: «Заплати и живи спокойно»

      Хотя за такое надо вешать публично.
      • +4
        Нет, не может *здравый* смысл подсказывать «стань лохом» :)
  • –4
    Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно.
    Внимание! Начиная с 26-го августа ссылка на Ваш сайт будет размещена на Хабре, а сам сайт подвергнут хабраэффекту. И всё, пиши-пропало!
  • +8
    свой сервак + грамотный админ
    • +13
      [irony]тоже будет лежать. но лежать будет красиво, брыкаясь и сопротивляясь :)[/irony]
      • 0
        Ну это смотря кто админ ;)
  • –4
    Хм, наверно поэтому я на vremenno.net зайти не могу. Парни как раз на мастерхосте хостятся. Жаль 8(

    Будет интересно прочитать чем все закончилось и какие действия предпринимались.
    • 0
      Причин неработоспособности сайта может быть масса.
  • +5
    Кстати, ещё вариант — связаться с Яndex-деньги и пусть те блокируют кошелёк. Если во всех случаях поступать так, а не чесать репу, то сей вид промысла сдохнет сам собой.
    Я уже не раз это говорил — не надо платить всей этой сволочи — тем, кто заказывает спам-рекламу, кибесквоттерам, такой вот забавной херне как в теме поста. Вымрут как динозавры.
    • 0
      А при личной встрече еще неплохо бы наносить травмы, желательно без свидетелей.
      • +4
        Или же заранее оповестить окружающих кто это, тогда свидетели присоеденятся и будут говорить что он сам накинулся.
        • +5
          Почему-то напомнило www.xkcd.ru/562/
        • +1
          >… тогда свидетели присоеденятся и будут говорить что он сам накинулся.

          Из милицейского протокола: "… и тогда он разозлился и 38 раз ударил почками по ногам присутствовавших рядом людей..."
          • 0
            И ничего прикольного. Весной моего соседа судили — пьяный вдрабадан побил двух здоровых, трезвых ментов. И ведь осудили… Мальчик щюпленький, из спорта тока пивболом занимался… Причем у ментов была справка от медиков, что никаких повреждений не обнаружено и полное отсутствие свидетелей…
            • 0
              А теперь вопрос: какая связь между ментовским беспределом (из Вашего рассказа) и праведным народным гневом, обращённый против того, кто это заслуживает более, чем полностью (из моего «рассказа»)?
              • 0
                А какая связь вашего «38 ударов» с этой темой тогда?

                Причем беспредел тут явно не ментовской, а судебный. Я говорила-то о том, что у нас в суде правды не найдешь, даже если все бумажки будут за тебя.
                • –1
                  Ну, если Вы не видите связи «38 ударов» с цитатой из того же поста — то у меня вопросов больше нет.
    • +2
      Кошелек, скорее всего, индивидуальный для каждого клиента (я бы так делал — так безопаснее). И на счету там 0.000 Если такой кошелек заблокируют, то шантажисты просто станут злее.
      • +3
        Начхать сколько там денег. Требуют денег — информируем Яndex. Ничего не платя.
        Злиться могут сколько угодно, а вот наглеть не стоит.
        • –1
          Такая жалоба ничего не даст, если кошельков очень много. Более того, если кошелек заблокируют, это исключит любую возможность в будущем проследить, куда идут деньги.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +2
            И чего вы рассчитываете добиться такими действиями? Это же не преподаватель в универе — «ой, дискета не прочиталась/файл не открылся». Если хотели заддосить и не понравится ответ — заддосят от нечего делать, и все.
      • +23
        «Слыш вась, тут на Хабре неплохое замечание сделали, надо применить» — лениво крикнул через экран своего монитора один ддосер другому :)
    • +2
      Полностью согласен, необходимо выбивать у них базис — доходы. Кто бы они не были, но без доходов рано или поздно им приддется заняться другим делом, найти работу
  • +1
    А вариант со сменой хостинга не катит? Посмотрите в сторону www.secureservertech.ru/ (не реклама)
  • –32
    На всякий можно поставить обычные php-антиддос скрипты.
    Мне это помогало. Погугли.
    • +4
      интересно при чем тут php, если сервак от ddos атаки тормозит и ложится уже на уровне вебсевера, а не скриптов.
      • 0
        или на уровне ядра ОС
        • 0
          Полтора года назад сайт ныне покойной Ультры электронникс заддосили на уровне зафлуживания канала хостера. Так что серверы даже нагрузки особой не испытывали.
          • 0
            После чего ультра свалила за бугор и ей прекрасно помогли против ддоса :)
            • 0
              но это уже совсем другая история:)
      • +1
        Рискну поддержать столь жестоко заминусованный коммент -)
        Если от ddos достигнут лимит соединений вебсервера, скрипт, который каждую минуту берёт из логов IP атакующих, заносит в блэк-лист iptables и перезагружает Апач, вполне может помочь. PHP или не PHP тут абсолютно неважно.
        • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Вопрос не так надо ставить — надо делать так, чтобы это самое максимальное количество не было достигнуто. Ставьте Nginx для блокировок динамики, а еще лучше просите хостера блокировать на фаерволле до того как трафик попадет на сетевую карту вашего сервера. Если нужны варианты — пишите в личку.
          • 0
            Хотел сказать динамики трафика, не динамического контента.
    • 0
      Это только для битриксов поможет.
      Нормально спроектированная система будет грузит сервер меньше, чем такая «защита».

      Но это поможет лишь для детских ддосов ) Что-то подростковое уже не остановить на уровне приложения.
      • +1
        Та ладно меньше, помню обычным скриптом удавалось отбивать весьма нехилые атаки (правда были запасные аэродромы в виде нескольких серверов, которые раздавали файлы).
        Сразу атака ложила сайт полностью, решили с js не мудрить, просто запускать скрипт как демон, который парсит логи nginx, добавляет нужные правила в фаервол, ждет 10мс и снова парсит. Скрипт крутился по кругу, банил по 100-150 адресов в минуту (за первые 10 мин забанил, правда, больше 10К) и нормально себе отбивал атаку. Со временем фаервол помер, исправили на роуты и все. Я не знаю сколько ботов атаковало но если изначально они ложили даже 7 серверов без шансов, то после запуска скрипта посетители через время даже не замечали атаку.
    • –1
      Шутник :)
  • +3
    Содержимое статьи не фэйк, где ни будь кроме хабра подобное проскакивало? В подобных случаях по идее нужно обращаться в правоохранительные органы т.к это откровенное вымогательство. Могу предположить, что силовики заинтересуются этой проблемой.
    • +1
      А что ты сделаешь, если ты и твой сайт в Москве, вымогатель — на Украине (или в любой другой стране мира), а ддосят ботнетом со всего света?

      • +4
        Какая разница? По вашей логике, если вас ограбил кавказец и сбыл награбленное китайцу, то обращаться в органу нет смысла (вопрос эффективности их работы не будем обсуждать )
        • +2
          Не приписывайте мне свою логику.
          Дело не в национальности.
          Что может сделать московская милиция против мелкого шантажиста в Эквадоре (ещё попробуй угадай, где он) и исполнителей в США?
          • +1
            В теории, если из другой страны, то этим занимается интерпол.

            Из моей практики общения с милицией, с трудом они у вас заявление примут и то, только потому, что отказаться они не могут. Да и толку, напишут отказное. Милиция, по моему опыту, работает так: найди зломышленника, привези его к ним, тогда они только заведут дело, а тут не факт, что даже приложив усилия их можно найти.

            Украина. Днепропетровск.
          • 0
            Я вот не раз слышал, когда наш отдел К помогал американцам ловить таких вымогателей, покусившихся на сайты американских компаний
            • 0
              есть разница: американцам не лень поднять жопу и попытаться что-то сделать для гражданина своей страны, права которого нарушены
              • 0
                Да, но американцы вышли на то, что хакеры в РФ сидят, а уже наши их тут нашли. Не лень и им было (если нам про этот случай правильно рассказывал препод).
                • 0
                  возможно и наши из отдела К молодцы и я зря о них плохо думаю. Но, почитав выше про то, что напрямую до них не достучатся — всё равно очень огорчён
                  • +2
                    Есть мнение, что профессионализм и желание работать представителей отдела зависит и от региона.
                • +1
                  а это уже политика. Если бы наш отдел забил на официальный запрос из Асашай — вот тебе и содействие терроризму.
          • 0
            По косвенным признакам (стиль письма) здесь замешан россиянин-студент или россиянин-школьник.
            ЯД обналичивать всё-равно как-то надо, а значит словить человека можно. Тут уж смотря какой ресурс. Если деньги будут потеряны большие — нужно заморочиться и словить, а если нет — то полежать некоторое время — работа ботнета стоит денег и если шантажист поймёт, что денег ему не дадут — он пойдёт к другим жертвам вместо того, чтобы тратить деньги. Платить полюбому нельзя — дороже получится.
  • –1
    Хостинг смените, да и всего делов.
    • +2
      на какой? сколько денег в месяц?
      • –1
        На некоторое время можно перенести в европейские датаценты, с адекватным суппортом. Там и цена поменьше и защита обычно лучше.

        Но конкретно по ддосу ниего не скажу, самого не атаковали.
  • +36
    Вах, какой маркетинг! И бонусы, и скидки, и разные пакеты, и тарифы…
    И для корпоративных пользователей, и для малого бизнеса, и для среднего…
    Красота!
    Надо ждать, когда партнёрку прикрутят :)
    • +8
      Приведи 10 клиентов — получи месяц бесплатного ДДоса…
    • +5
      Через год дадут дисконтную карту…
    • 0
      Ни чего красивого, в 90-х это называлось рэкет, тарифы — плата за спокойствие или просто дань, пеня — счетчик.
  • +29
    Недавно совсем пиарился Центр телекоммуникаций и технологий Интернет МГУ имени М.В. Ломоносова.
    Они бесплатно защиту от ДДОС делают

    Контакты:
    email: be@hll.msu.ru
    skype: highloadlab
    icq: 551992774

    С ними кто то работал? Как успехи?
    • +6
      забавно, в первых комментах тоже давали эти адреса, но без объяснения кому они принадлежат. за что нахватали минусов. а тут с объяснениями, видимо поэтому «плюсики» :")
      развернутые ответы рулят :D
    • –3
      Думаю, не просто так они второй раз уже в ленте комментов… Явно эти парни. Всё на них указывает. Опять же «Дети писали»
    • –3
      Ну еще варант — встать на соседнюю стойку с Яндексом. Его-то не завалят… Только это дорого… Вообще интересно как деятели выбирают получателей «письма счастья». Сайт должен быть критичным ресурсом для бизнеса, а бизнес приносить существенно больше 10000 чистыми.

      А вообще, дураки они. Есть куча компаний для которых интернет (но не сайт) критичный ресурс. В этих компаниях до чертиков денег и 10 тыс. наликом для них не проблема… Только я наводок давать не буду, пусть сами голову ломают что это за бизнес-клястеры…
      • 0
        Биржевики?
        • 0
          У этих хорошая Защита. Брокера далеко не каждого можно завалить. Так разве что немного замедлить совершение сделок не на долго. ТАм сис-админы быстро вычисляют атаки и принимают меры… Ищите дальше :)
          • 0
            «немного замедлить совершение сделок не на долго.» для труброкера замедление сделок-повод рвать не голове волосы. на памяти недавний скандал на нью-йоркской бирже
            • 0
              Досеры даже замедлить не могут. У ведущих брокеров стоить мощное магистральное оборудование фильтрации пакетов. Там по-другому атаковать надо. Не буду распространяться как…

              P.S. У нас тоже такое случается. Вот недавно сбер тоже сообщал о замедлении сделок. По Москве решили проблему за пару часов. А уж у сбера ивестиционных сделок кот наплакал. По оборотам в сотню не попадает.
      • +2
        я полагаю – эти бизнесмены решать эти вопросы будут не через милицию какую-нибудь :D а тупо найдут организаторов и их же самих на деньги «поставят» :D
      • –12
        Любой работающий и прибыльный интернет-магазин не пожалеет 10к рублей(всего лишь!) в месяц на поддержку работоспособности своего единственного источника дохода.
        • +2
          Увы, суровая жизнь устроена так, что второй ежемесячный платеж будет уже не 10т.р., а 100т.р.
          • 0
            не факт. не все режут куриц несущие золотое яица.
        • +2
          А вот и автор письма объявился = ))))
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Эта пачка, стоит в определенном месте. У нас не так много узлов, где можно разместить подобны дата-центр…
          • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Я работал. Атака правда практически закончилась к тому моменту, как я перенастроил DNS на них.

      Но помогли советами постфактум. Теперь я во всеоружии.
  • +16
    Привет. Сталкивался и я когда-то с подобной ситуацией, тоже ложили под ддос ни за что, ни про что, и не требовали первое время не чего, просто баловались. Я нашёл слабенький, но выход из ситуации
    Маленький Perl скрипт (простите, перл знаю крайне поврхнастно)
    #!/usr/bin/perl
    
    use strict;
    
    my @BAD_BROWSERS = (
    'ZyBorg',
    'vaginamook@inktomi.com',
    'FAST-WebCrawler/3.8',
    'www\.lolyousuck\.com',
    'Opera/9.02',
    'Gecko/20061204 Firefox/2.0.0.1',
    'Mozilla/4.75',
    );
    
    
    my %banned = {};
    while ( <> )
    {
    my ( $ip, $date, $core, $request, $browser ) = m/^(.*?) .*? .*? (\[.*?\]) (\d+) "(.*?)" .*? ".*?" "(.*?)" ".*?"$/;
    for my $bad_browser ( @BAD_BROWSERS )
    {
    next if exists $banned{$ip};
    if ( $browser =~ m/$bad_browser/ )
    {
    $banned{$ip} = $bad_browser;
    print "Banning $ip [browser match $bad_browser: $browser]\n";
    system( "iptables -A INPUT -p tcp -m tcp -s $ip -i eth0 --dport 80 -j DROP" );
    }
    }
    }
    


    где пункт

    ZyBorg',
    'vaginamook@inktomi.com',
    'FAST-WebCrawler/3.8',
    'www\.lolyousuck\.com',
    'Opera/9.02',
    'Gecko/20061204 Firefox/2.0.0.1',
    'Mozilla/4.75',
    );
    

    меняйте под себя, смари в логах какие юзерагенты юзаются для ддоса и вносите их.
    Собственно, как видно по скрипту он, по айпитаблам работает.

    Так как у меня собственный сервер, меня это спасло, если у вас тоже свой сервер, попробуйте поставить себе модули к Apache
    модули mod_iplimitcon + mod_evasive.

    Меня данный метод очень спас, надеюсь и вам поможет.
    • 0
      А нельзя автоматом добавлять в случае ахтунга?
    • 0
      Против небольших атак можно так же использовать javascript pre-инициализацию кукесами с последующей проверкой на уровне веб-сервера. Так сказать проверка на наличие интерпретатора Javascript.
  • –7
    Так нагло даже в лихие 90-е не шантажировали…
    • +18
      у моего отца магазин отняли, да он и не мог сопротивляться — уже был я в то время и он не мог рисковать детьми и женой.
      да, в лихие 90-е такого не было.
  • +1
    это не шантаж, это рекет. Напоминает «лихие девяностые». Есть смысл переносить сайт / представительство компании в места, не подверженные DDoS-атакам (например, использовать сервера Google).
    • +5
      то же самое хотел сказать.

      если сайт простой или написан на Java/Python, то смело сливайте его на Google AppEngine.
      С одной стороны, это *дешевле* чем ваш нынешний хостинг (бесплатно)

      С другой — абсолютно резиновая масштабируемость. Они заддосятся вас ддосить =)
      • 0
        Если использовать cloud hosting, то при DDoS-атаках счет за услуги хостера будет неприятным, если я ничего не спутал.
        • 0
          Из их faq:
          Если вы считаете, что ваше приложение находится под угрозой атаки отказа в обслуживании, обратитесь в нашу службу поддержки и предоставьте фрагмент журналов запросов, указывающий на это, и объяснение, почему вы так думаете. На это время вам может быть предоставлен кредит на услугу.

          Если ДДОС подтвердят, за него ничего не заплатите, как на форуме ребята из app.team говорили, nick johnson по-моему.
  • 0
    Фэйком за километр попахивает пост.
    • +1
      Хм, анти-реклама мастерхоста?
      • 0
        х/з, может автор имел ввиду возможное развитие событий?
        • 0
          возможное? нет. реальность — да.
          сейчас принимаем меры, завтра напишу отчет, как победили. если конечно случится такое.
          • 0
            Прилагайте переписку с тех. поддержкой уж тогда.
          • 0
            Как успехи?
            • 0
              боремся. 2 сайта — 2 пути.
              оба пока в дауне.
      • 0
        нет, не антиреклама. просто предупреждение скорее
    • 0
      Не фейк, уверяю.
  • +1
    терроризм :(
  • +2
    Про Максакова уже забыли видимо. Восемь лет строгого.
    • +1
      Погуглил, толком ничего не нашел. Можно поподробнее, плз?
      • +3
        Плохо гуглите :) держите
        • 0
          Да, забыл добавить в запрос слово «ddos». Видать, конец рабочего дня сказывается. :) Спасибо!
        • 0
          Круто! Но вообще, имхо, совсем другой «коленкор». Во-первых, дело международное; во-вторых суммы совершенно другие. И да: «За четыре месяца удалось установить IP-адреса». Сомневаюсь, что службы рьяно пойдут на такое из-за 10 килорубей.

          P.S. «Потери из-за хакерских атак пострадавшие оценили в 2 млн. долларов. Еще столько же компании, по их расчетам, потратили на ремонт испорченного оборудования...»

          Я, походу, хреновый специалист, но как ддосом можно было повредить оборудование, еще и на такие суммы?
          • 0
            Харды только так улетают.
          • 0
            Читаете через строчку
            Пострадавшие компании относятся к числу сетевых: вся их деятельность — от приема ставок до выплаты выигрышей — проходит в Интернете.
            Т.е. в данном случае потери — это потерянная, из-за ддос, прибыль. Рассчитывается как средняя прибыль за тот же период в прошлом, минус в текущая прибыль. В «нормальных» странах является заявительной — джентльменам верят наслово.
            • 0
              Ну вот не надо — было ясно и недвусмысленно сказано о поврежденном оборудовании.
              • 0
                В соответствующей статье УК РФ под повреждениями оборудования подразумевается не только нанесение физических повреждений, но и «ненормальная работа», системные сбои, отказы в обслуживании в том числе.
                • 0
                  При чем тут УК РФ, если речь о иностранном оборудовании?
                  • 0
                    При том, что в данном случае местом совершения преступления будет считаться место регистрации компании, которой нанесён ущерб (у которой вымогали деньги и чей сайт заDDoSили), а соответственно правовая оценка будет дана в соответствии с УК РФ.
      • +1
        www.kommersant.ru/doc.aspx?DocsID=709912

        Студент Балаковского института техники, технологии и управления 22-летний Иван Максаков, по версии обвинения, в 2003 году написал несколько программ-роботов (ботов) и создал хакерскую сеть. Программы инициировали DoS-атаки на сайты букмекерских контор, принимающих ставки в интернете, блокируя эти сайты. По данным следствия, контролировал проведение DoS-атак 24-летний выпускник Астраханской академии права Александр Петров, а подготовку к атакам проводил 25-летний Денис Степанов из Санкт-Петербурга.
  • +1
    Ну платить как то совсем бесперспективно. Остается отдел К — неглупые люди вроде там сидят.
  • +14
    Нижайше прошу вас держать общественность в курсе дальнейшего развития ситуации.
  • +1
    Или действительно попробуйте применить DNS forward на тот же мастерхост, я думаю они станут шевелиться чуть быстрее. С другой стороны это всё равно не выход, сайт-то работать не будет, но вероятность того, что кулхацкер получит по ушам несколько увеличивается.
    • 0
      а если по айпи ддосят?
      • 0
        Постоянно менять IP?
  • 0
    У нас была подобная ситуация, было натравлено около 150 000 ботов. Легла вся подсеть у хостера, анти-ддос защита вообще никак не справлялась. Хостер просто отключил сервер на несколько дней. Как это ни печально — пришлось заплатить, хоть и цена была небольшая ~150$. ДДосер оказался не русский, так что отдел К просто развел руками.

    Больше не повторялось.

    • +4
      Если заплатили, повторится. Будьте уверены.
  • +3
    >> хостеры мастерхост и русоникс — разводят руками, помощи от них нет

    Это было еще одним пунктом в принятии решения о смене хостера буквально недавно.
    • +1
      А вы думаете что когда к вам придет ДДОС который будет забивать бОльшую часть каналов хостера — он вас будет долго терпеть? нет.
      ибо от атаки страдаете не только вы, но также и другие клиенты.
      это суровая реальность.
      • 0
        >>А вы думаете
        Я думаю совсем не так, как вы описали :)
        За 5 лет, будучи клиентом, уже понял как устроен хостинг Х, и кто работает в службе поддержки.
        Приехав однажды в датацентр, ждал 20 минут, пока оператор договорит по аське со своей девушкой.
        А за те деньги, которые платятся в Москве за коллокэйшн вполне можно обеспечить клиентов минимальной поддержкой в случае хакеров-ддосов и прочих неприятностей.
  • +1
    А что спрятано за фразой «Х и У разводят руками»? Как выглядит это процесс? С кем велась переписка\разговор?
    • 0
      Писали на почту, а потом общались по телефону с ТП. От обоих хостеров ответ был таков «У нас нет способа вам помочь»
      • +1
        «Мы можем отключить ваш траффик-порт, на какой-нибудь срок» — еще вариант ответа.
        • 0
          Я так понял в начале нас отселили на карантийный сервер доступный тока из РФ. Ну собственно он тоже лег)
          • 0
            У нас был коллокэйшн, отселять было некуда,
            в нашем случае решилось разворотом А записи в днс на небольшое время (видимо, просто шутил кто-то)
      • +1
        ммм. я бы для начала вышел на кого-нить выше чем ТП. Любым способом хоть до приезда лично в офис и поиска нужной персоны. Это если отвлечься от технических вариантов, как более сложно реализуемых ) Когда в письменном виде получил бы за подписью ответ от кого-то поважнее чем сотрудник ТП, со спокойной душой продолжил бы дальше перебор вариантов.
        • 0
          работаем и в этом направлении
  • +3
    Как раз вчера анализировал DDoS-бота. Напишите в личку, есть пара вопросов по этим атакам.
  • –5
    Как страшно жить! :)
    • 0
      Да что-то и не смешно уже. Ни… совсем не смешно.
  • 0
    подавайте заявление в отдел «К», как вариант развития — оплата под присмотром Кшников и пробивание путей вывода денег к конечному владельцу сети
  • –3
    [offtopic]
    «Фальшивые зеркала» Лукьяненка вспоминается.
    [/offtopic]
  • –9
    Когда-то Крылов писал: ай, Мося, знать она сильна, коль лает на слона… Скорее всего тут пахнет каким-то пиаром, пока непонятно в чью сторону. Дальнейшее развитие ситуации покажет кому было выгодно шум поднимать.
    • 0
      ага, голос получит тот, кто щас нам поможет.
      • 0
        Ребята, я уже написал, что у меня сейчас есть информация по одной из бот-сетей, занимающейся DDOS'ом. Час назад написал…
        • –1
          Я видел. Чем вы можете нам помочь? В вирусе есть ключи к его хозяевам?
          • 0
            Если вас атакует именно та сеть, бот от которой у меня есть, вынос контрольного сервера наверное решит ваши проблемы, вы так не считаете? А вот для того, чтобы знать, та это сеть или нет, нужно знать какие именно сайты DDoS'ят.
            • 0
              написал
            • +16
            • 0
              Требую продолжения банкета.
              Какие новости? :)
              • 0
                Не те. Сутки уже их мониторим — нет тех доменов, что у топикстартера…
                • 0
                  ясно… у нас пока ддос идет. хостер нам сказал что он настока масштабен что силенок у него не хватает. мы нашли человека в помощь но тут бац и наступили выходные)
                  • 0
                    А мы все мониторим, собираем, так сказать, доказательную базу.
      • –1
        короче, похоже что это пиар в пользу фсб
        потом пойдут крики: сажать их, вешать, на кол…
        а потом всех дружно заарестуют, например, чтоб какие отпечатки пальцев взять )))
      • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Ждем в коментах ссылки на хостера где подобные проблемы «оперативно решаются сотрудниками техподдержки»? :)
  • +4
    Господа, позвольте… а не для этого случайно СОРМ придумывали. Ведь всех провайдеров обязали его себе ставить.

    При правильном обращении в ФСБ, а не в отдел «К», который в этом случае неэффективен, можно легко и беспрепятственно накрыть этот детский сад вместе с воспитателем :)
    • +2
      сорм бесполезен, если мошенники с презервативом под впн-ом/проксей сидят. А они не думаю, что настолько тупы под своим ип-ом темные дела делать.
      • +2
        Это вопрос времени и ресурсов.
        • 0
          Не понял. Чтобы рскрыть цепочку впн-ов? Нереально. 3-5-7 vpn-ов в разных странах типа китая и т.п, и менять ее периодически, и все, без концов тут.
          • 0
            это может быть дорого и все совершают ошибки (может быть очень легко с перепою например забыть включить впн) и т.д
            Так что замечание в силе — Это вопрос времени и ресурсов.
      • +1
        В том и дело, что сначала вычисляется до проваедера, а потом поднимаются логи выдачи на район, квартал, дом. Для ФСБ это достаточно.

        Один раз спровоцировать DDOS-еров и привет, уже сидят!
        • 0
          Не, я не спорю, но их спровоцировть еще надо. Крайне маловероятно.
          И такие люди обычно даже новости под впн-ом читают с рабочих машин…
          • +1
            Эсли это дети, то да. Хотя на моей практике такие случаи были. И наша доблестная милиция очень оперативно срабатывала.
            • 0
              Ну вот и интересно, школьнички это развлеются, али нет… Если нет, тогда усложняется задача, особенно если вдруг биз развернется на иные порядки. Свободных то ботнетов много нонче стало с затуханием рынка адвары имхо…
              • 0
                А адвара тут при чём? Это просто софт, легально зарабатывающий на показе рекламы. Если происходят какие-то злобные действия со стороны софта, это уже malware.