sitty
0
+ Забыл в предыдущем комменте сказать — Ваш регексп не берёт адреса типа ***tot.co.th
На примере того же 101.51.110.248 сравните вывод:

whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | sort | uniq
whois 101.51.103.66 | grep -E -o "[a-zA-Z0-9_.-\S]+@[a-zA-Z0-9_.-\S]+.[a-zA-Z0-9_.-\S]+.[a-zA-Z\S]{2,6}" | sort | uniq

И адреса в доменах типа .travel тоже мимо кассы пойдут
sitty
0
Забавно, сам не так давно озаботился подобным (на базе логов Apache).
Конструкцию whois IP | grep mail не использую, т.к.:

а) это приводит к отправке бесполезных абуз на адреса ripe.net, ripe.net и т.п.;
b) пропускаются некоторые адреса из whois (например, для 77.239.176.4 будет пропущен адрес abuse@vegatele.com)

+ время от времени адреса в полученном списке будут дублироваться, а "… | uniq", используемый в mail_send.sh, без предварительного "… sort | " мало помогает делу:

$ whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | uniq
arin@apnic.net
apipolg@tot.co
abuse@totisp.net
apipolg@tot.co
abuse@totisp.net
ap@gmail.com

$ whois 101.51.103.66 | grep mail | awk '{print tolower($0)}' | egrep -o "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" | sort | uniq
abuse@totisp.net
ap@gmail.com
apipolg@tot.co
arin@apnic.net

Поэтому использую громоздкое, самописное, кривое и избыточное, но зато рабочее:

$ whois 101.51.103.66 | sed -e 's/^.*ripe.net//' -e 's/^.*@apnic.net//' -e 's/^.*@lacnic.net//' |
grep -E -o "[a-zA-Z0-9_.-\S]+@[a-zA-Z0-9_.-\S]+.[a-zA-Z0-9_.-\S]+.[a-zA-Z\S]{2,6}" | sort | uniq
sitty
+2
Пресекать ДДоС — это ж запросто! Если есть возможность пресечь — какой провайдер откажется? Никто ж специально не будет пропускать ДДоС мимо пальцев.

Администраторы сами забанят пару десятков обнаглевших ip, с которых идёт больше всего запросов. Если уровень атаки выше, чем «навались ребята всем раёном!», то можно забацать банилку по обращениям с таких-то ip средствами htaccess. Можно даже парсить логи и банить ip-адреса, с которых идёт больше всего запросов. Впрочем, этих методов клиент обычно просто не замечает, т.к. они бесплатные.

Ещё можно поставить или пiднастроить дорогую спец.железку. Но серьёзные пацаны нанимают других серьёзных пацанов для предоставления вип-сервиса — «Реальная защита от ДДоС!». Можно даже нанять вместо Апача девушку на телефон, с томным голосом: «индекс точка пэхапэ не найден… перевожу Вас на страницу 404 точка пэхапэ ...»

Но, увы, для организации более-менее масштабного ддоса, когда счёт идёт на тысячи ip-адресов, не нужно ни много знаний, ни много денег. Оборудование для защиты даже от средней силы ддос-атаки будет стоить на 4-5 порядков дороже, чем организация такой атаки. При том 99% клиентов провайдера не подвергнутся такой атаке никогда. Они с радостью заплатят за защиту от возможной ДДоС-атаки?

По поводу «должен разбираться». Провайдеры в РФ не выступают в качестве органов, уполномоченных проводить оперативно-розыскную деятельность. То есть, сам по себе провайдер не может кого-то преследовать и подвергать санкциям, или заниматься расследованием ддос-атаки (за пределами своей компетенции); тем более — не может заниматься установлением заказчика ддос-атаки.

Да, прекрасно было бы, если б всё, что нам хочется, происходило бы само собой. В Вашем случае — всегда можно вписаться в тот самый 1%, которым реально нужна защита от ддос. Вы платите деньги и получаете защиту; в большинстве случаев Вы эту защиту действительно даже не заметите.
sitty
+1
Проблема владельца сайта с точки зрения провайдера заключается не в том, что владелец кого-то обидел и его сайт атакуют, а в том, что владелец расстроен плохой работой сайта. Решение проблемы — провайдер делает хоть что-то для того, чтобы владелец не расстраивался — например, лечит симптомы; владелец, как пострадавшая сторона, делает хоть что-то для легитимного преследования виновника. Например, обращается в милицию. Милиция дальше разбирается сама, и нередко вполне успешно, какие такие данные может дать провайдер, чтобы наказать виновника.

Провайдер не может обращаться в правоохранительные органы с заявлением «моего клиента ддос-атакуют! примите меры!». Провайдер по Закону о связи либо предоставляет милиции сведения (какие есть) о нарушении, либо приостанавливает работу ресурса (разумеется, если к тому есть предписание от той же милиции). Какую ещё юридическую поддержку Вы бы хотели от провайдера? Вызов спортсменов на IP-адрес виновника?
sitty
+1
Круто!

Кроме шуток, идея реально же оригинальная.
Если проверить Яндексом запрос типа «sql bash», то ничего умного по этой теме не найдём, только весёлое:

«кто-нибудь знает как загнать значение переменную, получено из командной строки в базу SQL»
«Кто нибудь знает как запихнуть в беш скрипт sql запрос»
sitty
0
в случае с валуем на сервере вируса нет, он подгружается со стороннего ресурса.
там в индексных страницах бот дописывает код в виде ифрейма. а уже код загружает вирус.