• 0
    + Забыл в предыдущем комменте сказать — Ваш регексп не берёт адреса типа ***tot.co.th
    На примере того же 101.51.110.248 сравните вывод:

    whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | sort | uniq
    whois 101.51.103.66 | grep -E -o "[a-zA-Z0-9_.-\S]+@[a-zA-Z0-9_.-\S]+.[a-zA-Z0-9_.-\S]+.[a-zA-Z\S]{2,6}" | sort | uniq

    И адреса в доменах типа .travel тоже мимо кассы пойдут
    Наносим удар по ddos ботнету своими силами
  • 0
    Забавно, сам не так давно озаботился подобным (на базе логов Apache).
    Конструкцию whois IP | grep mail не использую, т.к.:

    а) это приводит к отправке бесполезных абуз на адреса ripe.net, ripe.net и т.п.;
    b) пропускаются некоторые адреса из whois (например, для 77.239.176.4 будет пропущен адрес abuse@vegatele.com)

    + время от времени адреса в полученном списке будут дублироваться, а "… | uniq", используемый в mail_send.sh, без предварительного "… sort | " мало помогает делу:

    $ whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | uniq
    arin@apnic.net
    apipolg@tot.co
    abuse@totisp.net
    apipolg@tot.co
    abuse@totisp.net
    ap@gmail.com

    $ whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | sort | uniq
    abuse@totisp.net
    ap@gmail.com
    apipolg@tot.co
    arin@apnic.net

    Поэтому использую громоздкое, самописное, кривое и избыточное, но зато рабочее:

    $ whois 101.51.103.66 | sed -e 's/^.*ripe.net//' -e 's/^.*@apnic.net//' -e 's/^.*@lacnic.net//' |
    grep -E -o "[a-zA-Z0-9_.-\S]+@[a-zA-Z0-9_.-\S]+.[a-zA-Z0-9_.-\S]+.[a-zA-Z\S]{2,6}" | sort | uniq
    Наносим удар по ddos ботнету своими силами
  • +2
    Пресекать ДДоС — это ж запросто! Если есть возможность пресечь — какой провайдер откажется? Никто ж специально не будет пропускать ДДоС мимо пальцев.

    Администраторы сами забанят пару десятков обнаглевших ip, с которых идёт больше всего запросов. Если уровень атаки выше, чем «навались ребята всем раёном!», то можно забацать банилку по обращениям с таких-то ip средствами htaccess. Можно даже парсить логи и банить ip-адреса, с которых идёт больше всего запросов. Впрочем, этих методов клиент обычно просто не замечает, т.к. они бесплатные.

    Ещё можно поставить или пiднастроить дорогую спец.железку. Но серьёзные пацаны нанимают других серьёзных пацанов для предоставления вип-сервиса — «Реальная защита от ДДоС!». Можно даже нанять вместо Апача девушку на телефон, с томным голосом: «индекс точка пэхапэ не найден… перевожу Вас на страницу 404 точка пэхапэ ...»

    Но, увы, для организации более-менее масштабного ддоса, когда счёт идёт на тысячи ip-адресов, не нужно ни много знаний, ни много денег. Оборудование для защиты даже от средней силы ддос-атаки будет стоить на 4-5 порядков дороже, чем организация такой атаки. При том 99% клиентов провайдера не подвергнутся такой атаке никогда. Они с радостью заплатят за защиту от возможной ДДоС-атаки?

    По поводу «должен разбираться». Провайдеры в РФ не выступают в качестве органов, уполномоченных проводить оперативно-розыскную деятельность. То есть, сам по себе провайдер не может кого-то преследовать и подвергать санкциям, или заниматься расследованием ддос-атаки (за пределами своей компетенции); тем более — не может заниматься установлением заказчика ддос-атаки.

    Да, прекрасно было бы, если б всё, что нам хочется, происходило бы само собой. В Вашем случае — всегда можно вписаться в тот самый 1%, которым реально нужна защита от ддос. Вы платите деньги и получаете защиту; в большинстве случаев Вы эту защиту действительно даже не заметите.
    Локальное и удаленное предотвращение атак класса DDoS: особенности, преимущества, недостатки, мониторинг
  • +1
    Проблема владельца сайта с точки зрения провайдера заключается не в том, что владелец кого-то обидел и его сайт атакуют, а в том, что владелец расстроен плохой работой сайта. Решение проблемы — провайдер делает хоть что-то для того, чтобы владелец не расстраивался — например, лечит симптомы; владелец, как пострадавшая сторона, делает хоть что-то для легитимного преследования виновника. Например, обращается в милицию. Милиция дальше разбирается сама, и нередко вполне успешно, какие такие данные может дать провайдер, чтобы наказать виновника.

    Провайдер не может обращаться в правоохранительные органы с заявлением «моего клиента ддос-атакуют! примите меры!». Провайдер по Закону о связи либо предоставляет милиции сведения (какие есть) о нарушении, либо приостанавливает работу ресурса (разумеется, если к тому есть предписание от той же милиции). Какую ещё юридическую поддержку Вы бы хотели от провайдера? Вызов спортсменов на IP-адрес виновника?
    Локальное и удаленное предотвращение атак класса DDoS: особенности, преимущества, недостатки, мониторинг
  • +1
    Круто!

    Кроме шуток, идея реально же оригинальная.
    Если проверить Яндексом запрос типа «sql bash», то ничего умного по этой теме не найдём, только весёлое:

    «кто-нибудь знает как загнать значение переменную, получено из командной строки в базу SQL»
    «Кто нибудь знает как запихнуть в беш скрипт sql запрос»
    TBDB, или пишем базу данных на BASH
  • 0
    в случае с валуем на сервере вируса нет, он подгружается со стороннего ресурса.
    там в индексных страницах бот дописывает код в виде ифрейма. а уже код загружает вирус.
    Сервера хостинг-провайдера Valuehost инфицированы троянцем JS.Psyme