Атака на phpbbguru.net - обсуждение

[Mr. Anderson]

Я хоть и повторяюсь, но все же...

Резкое прекращение ДДоСа и молчек - очевидная вина

Еще более нелогично, чем "палить" свой ИП.

Прекращение ДДоСа и извинения вместе с логами и удаление шелла

Признание вины, пусть и непрямой. Тоже маловероятно.

Непрекращение ДДоСа и молчек - очевидная вина

Как по мне, то у вас вывод ошибочный. Точнее может быть и верным, и ошибочным. Равновероятно.

Но при всем при том - ваша история только подливает масла в огонь, не находите?

[Rayden]

Garret_Dark
Ты грамотно подготовился к вторжению
Ну и нравы у вас у фанатов - загрызть готовы
А что, в ExBB открыто пароли лежат?

[Mr. Anderson]

Итак, предисловие:
Этот пост был написан вчера (по прямому пониманию - уже ПОЗАВЧЕРА) и только сейчас, когда я уверился в верности понимания посылов от Atlanto и некоторых совпадений, я его публикую (с понятными изменениями и дополнениями)

если бы не одно НО, о котором я уже сообщал

Будьте пожалуйста конкретнее в своих словах. Я не телепат и не собираюсь им становиться. Если у вас есть что-то "конкретное основательное", а не отсылы к некоему "но" сказанному раньше, то говорите прямо. Юление, увиливание и "игра в темную" не добавляют вам очков...

то генерируемые им запросы не могли бы иметь IP сайта

Только потому , что ВЫ так говорите?
Я сведу вопрос к простой линейной логике:
если "в ответ" на запрос приходит пакет с "вашим" ип, то почему при "прямом роутинге" этот ип увидеть нельзя? Если совсем упростить - если этот ип можно использовать, то не составит труда использовать его когда и как угодно.

Вот комментарий администратора для иллюстрации сказанного на практике

Для меня ни сей администратор, ни сказанные им слова не являются авторитетными. 1 - потому что неизвестно кто он, 2 - вы, видимо, не хуже моего понимаете, что это все условно. Ссылка от Alek$ сие только подтверждает.
Так что увы, незачет.

Возникла идея проверить, не были ли обсуждаемые запросы ответными на полученные в то время с Вашего сервера

Намек на то, что это МЫ долбили вас запросами, а вы уже отвечали? Тогда объясните почему "ваши" запросы вплоть до 16-го сентября были ПУСТЫМИ?

Пакеты могли идти к вам от IP bb3x (secondary ip) только в том случае, если это уже ответ на Ваш запрос

Уже выше указано - хреновый аргумент. Я бы не стал столь безапелляционно на него ссылаться.

Давайте проверим, не было ли в тот момент запросов от Вашего сервера к нам на сайт. Укажите Ваши IP на прежнем хосте (main и сайта, если не совпадают), а также на новом хостинге. Также, возможно, ситуацию смогла бы прояснить соответствующая часть Вашего access_log.

Отличный перевод стрелок, браво. Вообще-то, это вы собирались предоставить логи и тп. Теперь так "легким движением руки" очередь сдвинулась.
Забавно будет - вот сейчас дам вам IPы и услышу в ответ прогнозируемое "ну мы же говорили!"
Господа, вы не вкуриваете? ПРЕДПОЛОЖИМ, что это все какая-то странная фигня и на самом деле это мы зловреды (что весьма проблематично, когда на сервере вырублены начисто ВСЕ сетевые сервисы кроме мыл-сервера)... Но вы мне пжалста объясните - КАК при ДНС-фильтеринге ваши якобы ответные запросы (блин, вам не кажется глупым словосочетание "ответный запрос"? ) шли не напрямую получателю, а с резолвингом хоста (и, соответственно, через днс-фильтр нашего партнера)? Вот как вы ЭТО объясните?
Вот что-то у меня в голове сия мозаика НЕ СКЛАДЫВАЕТСЯ. Поэтому - опять незачет.

Как на Ваш взгляд это может быть реализовано без конкретики?

Я вам дал конкретику. Даже даты. Одну дату - с точностью до получаса. Такая большая проблема за ПЯТЬ (да, я проследил ваше появление у нас на конференции с инициализацией формы ответа в ЭТОЙ теме) часов получить все логи за какие-то плевые ПОЛчаса?
Или может вы все это время их редактировали? По бритве Оккама какой вариант вероятнее?

И желательно задавайте не нам, а третьим лицам, например, сразу датацентру

Ваш ДЦ уже ответил мне, что такими данными не располагает. То ли потому, что давно, то ли потому, что... просто нет их. ХЗ. Я не спец по инфобоксу - как у них там что устроено. Да и не хочется с ними связывать после этого.

И ещё: я не склонен тратить время на эти пустые разговоры.

И еще: я не склонен терпеть ТАКОЙ тон разговора от людей, которые не могут доказать свои слова элементарными действиями и ссылаются в качестве доказательств на эфемерные конструкции. Я пытался быть мягким и обтекаемым в новости, пытался держаться в первом вам ответе... Но не стоит пытаться использовать это против меня же...
Да, наши логи и нетстаты - не сильно лучше, но они хотя бы частично предъявлены. Если вам так хочется, то и без предъявления ваших логов (что там было про конкретику?) - мы предъявим и свои. Открыто и максимально быстро (я, понятное дело, не 24/7 в сети). Без отмазок и глупых затягиваний.
Но это лирика пока... У меня вызывает большой вопрос вот такое "совпадение":
1 - 21.10 в 22:35 ВСЕ! боты чудесным образом отвалились. Сами. Как-то так совпало, что спустя 4 минуты был зарегистрирован пользователь Atlanto.
2 - 21.10 же спустя еще 7 минут от пункта 1 - боты ВДРУГ понеслись с удвоенной силой
3 - 22.10 аккурат в 00:12 боты ринулись на нас толпой... как-то так странно совпало, что это было ровно через минуту после сообщения пользователя Atlanto
4 - 22.10 боты до 10:24 долбили и долбили... И вдруг опять исчезли. И надо же так совпало, что в 10:27 появился в онлайне пользователь Atlanto. Боты не появлялись вплоть до пункта 5
5 - 22.10 в 15:45 боты опять повалили. Странное дело - всего за пару минут до того (ОПЯТЬ?) пользователь Atlanto запостил очередное сообщение.
6 и 7 - 23.10 дважды появление пользователя Atlanto совпадало с "откатом" ботов...
Как-то все это ну оооооочень странно. Да, я понимаю, что для выводов статистики мало, но... Но все же - как вы ботов заклинаете? Научите?
Если что - все логи имеются.
И еще - опять-таки повторю, вы писали свое сообщение 5 часов. При этом ваш статус сменялся на просмотр FAQ, поиск по конференции, просмотр кто онлайн, просто серфинг по форумам... Может расскажете - ЧТО вы так долго писали и ЧТО вы искали?

версия о взломе ни в теории, ни на практике пока не подтвердилась

Как вы это проверяли?

Если у Вас есть конкретные технические вопросы - ответим

Пффф... Вы реально хотите "съехать" на "бинарных логах" и тп? Не выйдет, там мало что конкретного увидеть можно.
Касательно "есть конкретные технические вопросы - ответим" - "пажаласта", но вы сами напросились. Полный отказ будет расценен как... сами понимаете.
Итак, я хочу видеть следующие данные за 15.09.2009 в период с 23:00 по 00:00 по Москве:
Технические (то есть мне не нужны полные подробности) логи ВСЕХ сетевых процессов/демонов, исключая почту (и возможно другие побочные, если укажете)
Статистику трафика в этот час хотя бы по http/ssh/rcp/scp/rsync с распределением по in/out.
И основное - статистику выделения сокетов на in/out за данный час. Если по портам/протоколам - вообще волшебно.
Это то, что вы практически не имеете шансов подделать, и оно скажет ой как много о действительном положении вещей. А в "общем и целом" - я говорил, что на шареде многого не получить... Так вот если вы действительно на шареде - последнего и основного вам взять просто неоткуда. Если же получите - значит вы не на шареде и ваши прошлые слова автоматически становятся... эм... "недействительны". И что же вы выберете?

В любом случае по факту ддоса передавайте дела в соответствующие органы

Как уже было указано ранее - передано было. Однако, интереса не вызвало. Хотя это не значит, что руки уже опущены и ничего более предприниматься не будет.
Tarus_2
Вы кто такой? Вас забанили вообще-то. Какого черта вы себе дабл зарегали? Одного бана мало - хотите еще?
И как вы при этом себя показываете - думали?

активным участникам движения phpBB в Рунете были отправлены приглашения посетить данный ресурс

Ну да, ну да... Только выборка - сомнительнее некуда... Я не беру себя - я понимаю, что вы осознавали, что вам грозит после такого ЛС... Не беру многих других кому вы прислали свою "копипасту"... Но извините, при всем уважении, к Смайликсу - он УЖЕ ДАВНО (года 1,5-2) не "активный участник движения phpBB", и на сайт зашел только из-за вашего ЛС. И я еще молчу про тех, кого вы проигнорировали...
В общем... Копипаста как она есть... И кроме того - вас кто-то просил о таком извещении? Нет? Тогда это спам и есть. Незапрошенная навязчивая реклама.
Помимо прочего, про рекламу у нас есть отдельный пункт правил.
Возражения есть?

Я имел в виду позиции в поисковиках. Сейчас, например, BB3x.ru занимает в Янденсе 3-е место по запросу "phpbb". Месяц назад эти позиции были ниже.

Вспоминая историю с дорвеями на myphpbb и учитывая "купленные" ссылки... Я бы был осторожнее в упоминании слова SEO.
SvS
Не хочу повторяться. Для подобных измышлений есть тема Модераторам данной конференции (или Добро пожаловаться). Там можете поделиться. Но сначала её прочитайте - может станет понятнее и наша позиция. А то таких однобоких суждений даже в той теме было "мильён".
Что до остального высказанного вами (в том числе про полных идиотов) - так никто же не отрицает, я уже не раз говорил о беспрецедентной глупости ситуации. И ИМЕННО поэтому хочется разобраться...
Но чем дальше в лес, тем больше дров... А сколько странных совпадений вскрывается и пересекается - страшно подумать. И все же... пока я не склонен расценивать это однозначно.
И главное... Ну ОК - атакуют обиженные и недовольные. Непонятного все равно не меньше:
1 - какой им толк от нашего выпадения или даже исчезновения как ресурса?
2 - почему использовался вышеозначенный ИП
3 - почему при бекфорварде (учитывая особенности IP-роутинга) убило именно bb3x?
и так далее...
Пока ответов нет. А вопросов все больше. И как Я вижу - администрация bb3x не настроена на позитивный диалог и дружественные действия. Сужу по тону сообщений (весьма странно слышать требовательно-недовольные нотки от "потенциально виноватых"), по нулевому фидбеку и попыткам просто отбрыкаться-оправдаться (при том, что никто не обвиняет и бочку не катит - смотрится странно) и... ну и хотя бы по отношению к недружественным нам членам сообщества, чьи "речи" на страницах их ресурса принимаю порой совершенно неадекватные формы. Да, ребят, я про луната. И кстати - мне в чем-то даже нравится сравнение с крысой (животное в разы умнее юзверя, отзывающегося о ней негативно)... Хотя на аватаре и хомяк
Или может для вас нормальны прочие его выходки - от счета денег в чужом кармане (смешно слышать это от человека, который то и дело вставляет фразы о своей финансовой (не)состоятельности, но все же - сам факт) до фактически прямых оскорблений?
Послушайте... Вам самим не претит, что юзеры активнее и "сильнее" осуждают высеры этого субъекта, чем вы сами? Вы всем сразу понравиться хотите? Вы не сто-баксовая банкнота, чтобы нравится всем... А мягкотелость... На myphphbb мы все видели чем это заканчивается.

Добавлено спустя 6 минут 16 секунд:
Дополню этим:
http://virusinfo.info/showthread.php?t=57585
Тут хайджек ну ооооооочень интересный. Инфобоксу запрос опять отправлен, Кшникам инфа тоже слита...
Поэтому, если это все же вы - брыкаться уже поздно. Но сохранить лицо, сознавшись, можно...

Если это, конечно, вы... В противном случае - см. выше. Список необходимых доказательств есть...

[Berk]

А вообще я больше предпочитаю дружить ;)

чем что? чем ддосить? ;)

[FelexS]

Обвинение? Мы, вообще-то, не в суде.

тем не менее вы как бэ обвиняете.

Я не хочу спорить и защищать тот или инной проект. Дело ваше.

[Mr. Anderson]

тем не менее вы как бэ обвиняете.

Если бы я кого-то обвинял, то это никогда бы не приняло такой формы. Как я уже писал - было бы прямое безапелляционное утверждение и все.

[Garret_Dark]

Mr. Anderson
Пример "выведения на чистую воду", возможно, я привел неудачный, но в любом случае нужно было стараться вынудить совершить ошибку, а то сейчас пришли к патовой ситуации, когда в ход идут только слова "Это не я - это ты" и т.п.

Возможно моя история и подлила масла, но пример он никогда небывает лишним, а раз хотелось без "масла" то темы обсуждения вобще не нужно было создавать - достаточно объявления с логами и переписки админов гуру с бб3хпо емейлам и последующего обнародования результатов темже объявлением.
Я заинтересован в том, чтобы виновные были, если не наказаны, то хотябы обнаружены и чтобы пользователи сделали соответ. выводы. Я не злой, просто именно во время атак мне срочно нужно было коечто прочесть на этом форуме и я точно знал где (тоесть даже спрашивать никого не нужно было), а вот попасть сюда немог

Rayden
Я к вторжению не готовился и не буду готовится (Все буду делать спонтанно на импровизации )
И нравы здесь непричем. Я же писал, что ушли с первого форума изза беспредела тамошнего админа, беспредел был основан на его фанатизме, в результате страдала половина форумчан и на форуме постоянно возникали конфликты в результате банились неугодные админу, а не те кто неправ. В итоге в очередной свой бан я создал свой форум, много народу перешло на него окончательно, а все остальные всеравно стали на него заходить, что ессно не понравилось админу. Вот и искал пути, даже предлагал модерство у себя взамен закрытия (Хотя до этого я сам просил и за меня просили), а потом начал играть грязно.
Сорри за оффтоп, просто прояснил момент

Что касается движка ExBB, то пароли там хранятся в хэше и с этим все впорядке, просто там в админке есть такой лог:

10:44:57 :: ник :: Выполнен вход :: ХХ.ХХ.ХХХ.Х - Юзер ввевший верно ник-пароль и его ИП
10:47:52 :: ник :: ник :: ХХХ.ХХХ.ХХ.ХХХ - Юзер с галочкой "Автоматически входить на конференцию"
10:51:11 :: Гость :: Вход с неверными данными (ник :: здесь_указан_неверный_пароль) :: ХХ.ХХХ.ХХ.ХХХ - "Неверный пароль или ник"

Он меня очень выручил в свое время (Какраз тогда когда пароли подбирались т.к. вражеский админ не гнушался входом под юзерами своего форума у меня используя пароль взятый у себя [на вобле, галочка стоит "Отсылать данные новых пользователей", а большинство использовало туже пару логин-пароль, что и у него], в результате в ЛС сыпались письма типа "Ты урод, пошел ....." и т.п. от человека с которым пять минут назад переписывался нормально в аське.
Вобще очень было бы неплохо ввести такую вещь и на phpBB.
Еще раз прошу прощения за офтоп.

[crash]

Юзер ввевший верно ник-пароль и его ИП

тогда нет смысла в хэшировании пароля.

[Garret_Dark]

crash
Вы не поняли... Если юзер ввел верно ник-пароль, то пароль НЕ отображается в логе и остается недоступным админу, а отображается только что "Выполнен вход".
А вот если неверно, то отображается вводимый ник и вводимый пароль (Я кстати так отловил одного юзера пытавшегося подобрать мой пароль )
Вещь очень полезная

[DLag]

Чуть поразмыслим.

Регистрируемся на _bb3x.ru.
Получаем письмо о регистрации.
Смотрим отправивший письмо сервер:
77.221.131.162 - server17.say.net.ru

Соответственно это main ip сервера и видим хостинг-прова.

Стучим хостинг-прову, описываем ситуацию и просим предоставить логи по входящему/исходящему трафику по аккаунту _bb3x.ru.
ДЦ Инфобокс может дать логи за 3 месяца в общем по серверу и по каждому IP, потому можно попросить прова чтобы он запросил логи у Инфобокса по IP 77.221.157.250.

[crash]

Чуть поразмыслим.

чуть поразмыслив, читаем первую страницу и знаем что хостинг инфобокс.

[DLag]

crash
Не стоит сразу наезжать.
Хостинг не Инфобокс, ДЦ Инфобокс.

------------

Размышляем дальше.
whois say.net.ru

Код: Выделить всё

domain:  SAY.NET.RU
type:    CORPORATE
descr:   Servers
admin-o: AGT22-RIPN
nserver: ns2.say.net.ru. 77.221.131.162
nserver: ns1.say.net.ru. 207.210.67.132
created: 2003.09.22
state:   Delegated
changed: 2009.09.22
mnt-by:  ATLANTO-MNT-RIPN
source:  RIPN

person:  ALEXANDER G TATSENKO
nic-hdl: AGT22-RIPN
address: 51910,Ukraine,Dnieprodzerhinsk,Sirovets street, 14-23
phone:   +38 05692 35087
fax-no:  +38 05692 35087
e-mail:  admin@atlanto.ru
changed: 2003.09.22
mnt-by:  INTV-MNT-RIPN
source:  RIPN

Видим чей хостинг. :D

Выходит это далеко не шаред.
Это выделенный сервер Atlanto.
Соответственно все коннекты с этого сервера в любом случае причастны к ним.

Долбим Инфобокс до потери сознания их саппорта.
Угрожаем обращением к их начальству и разбирательством.
Помогает отменно, проверено.

Получаем в итоге логи нагрузки каналов в интересующее нас время.
А если еще и хорошо помучать поддержку и замороженный сервер Atlanto (Александра Татсенко).

P.S.: Я вам даю по сути доказательства, не нужно хамить.

[crash]

Не стоит сразу наезжать.

а кто наезжал? я предложил прочесть сначала, где по русски написано инфобокс.
Честно сказать, я даже вам завидую, что вы умеете пользоваться такими сервисами, как whois.

Добавлено спустя 1 минуту 44 секунды:
это на первой странице, то есть регистрироваться нигде не надо было:

# telnet bb3x.ru 25
Trying 77.221.157.250...
Connected to bb3x.ru (77.221.157.250).
Escape character is '^]'.
220-server17.say.net.ru ESMTP Exim 4.69 #1 Wed, 21 Oct 2009 23:32:38 +0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
^]
telnet> q
Connection closed.
# telnet server17.say.net.ru 25
Trying 77.221.131.162...
Connected to server17.say.net.ru (77.221.131.162).
Escape character is '^]'.
220-server17.say.net.ru ESMTP Exim 4.69 #1 Wed, 21 Oct 2009 23:32:51 +0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
^]
telnet> q
Connection closed.
#

[DLag]

crash, тут по всей теме написано что хостинг Инфобокс.
Я еще раз повторю, это не хостинг Инфобокса.
Представители bb3x утверждают что у них шаред и они не отвечают за него.
А на деле оказывается что их сервер, соответственно за все происходящее ответственность на них.

В ответ Exim не вчитался, каюсь.

[crash]

DLag
я на вас "наезжаю", а вы придрались к слову, что инфобокс обозвали хостером. Но в принципе раз он предоставляет свои каналы, то чем он не хостер, пусть и дедик сервера.