Атака на phpbbguru.net - обсуждение

[Alek$]

DLag
У них шаред - tosay.ru. А вот кто владелец этого шареда - другой вопрос.

[DLag]

crash, ну вы же прекрасно знаете о чем я.
Разговор в этой теме зашел в том направлении что отмазки bb3x правомерны.
А тут на лицо ложь.

Alek$, ну дык они и владельцы.

[Alek$]

DLag
Это я к тому, что тут классический случай полуправды.

[Berk]

меня в жизни не раз обманывали :)
и вот основываясь на своем грустном опыте, когда читал первый оправдательный пост атланто, почуял брехню
уверен, что когда человек говорит, а почему вы решили, что это я?
другим языком он говорит: - да это я, но я так все предусмотрел, так замел следы, что мне интересно, как вы догадались?
да еще и оброненная фраза, что чаще он предпочитает дружить

атланто - суши сухари


p.s. предлагаю в постах не писать их сайт, недостойны они рекламы

[Mr. Anderson]

Так, господа, я же просил - спокойно.
DLag
Не сказать, что вы Америку открыли, но... Спс, приняли к сведению.

[Atlanto]

Я смотрю, тут поднимаются все подряд вопросы о bb3x. Отвечаю на те, которые касаются проблемы ддоса. Думаю, большинство людей не считают, что количество времени онлайн свидетельствует об организации атаки :) Кстати, ответ на вопрос, почему я отправляю сообщения, когда Ваш сайт работает, весьма прост: когда я пытаюсь зайти на Ваш сайт, а он выйдаёт что-то типа "502 Bad Gateway", мне весьма затруднительно отправить ответ. Как и всем другим пользователям.

Не совсем понимаю, почему вас так заинтересовала форма собственности сервера. Ну ладно, расскажу, так будут понятнее и цифры о трафике. Раньше весь сервер был мой, и хостинг тоже. С июля я закрыл хостинг, а все оставшиеся сайты теперь доступны на обсуждаемом IP 77.221.157.250. Там 140 аккаунтов. Остальные аккаунты сервера имеют другие IP и не имеют ко мне отношения. Плачу я только за свои ;) ДЦ сервера - Инфобокс, хостер - мой друг. Хостинг Инфобокс не имеет к нам никакого отношения. Я сказал, что сайт bb3x размещается на обычном хостинге, чтобы было понятно, что его IP не имеет отношения к main ip, что помимо него на сервере масса других аккаунтов и что это обычный хостинговый сервер с вытекающими из этого настройками.

Вот статистика трафика по моему IP, предоставленная Инфобоксом:

15 сентября:


24 октября:


Вот ещё:


Как видите, за 15 сентября исходящий трафик 140 аккаунтов составил 4,5 Gb. Также в этот период нет никаких особых пиков.

Статистики atop за данный момент уже нет, т. к. она хранится в течение месяца. Мы сделали бэкап как только узнали об этой новости, так что данные, начиная с 22 сентября доступны. Можете запросить за любой другой день с 22 сентября. Я надеюсь, тут не начнутся разговоры о том, что на сервере должны храниться вечные логи всего и вся. Это не сервер Пентагона, а обычный хостинг, поэтому просьбу показать "статистику выделения сокетов на in/out за данный час. Если по портам/протоколам - вообще волшебно", увы, выполнить невозможно. Вообще очень странно, что такие дела начинают выяснять, когда прошло столько времени. Если Вы действительно хотите прояснить ситуацию, то должны понимать, что максимум информации можно получить только совместным наблюдением в реальном времени. На данный момент исходящих запросов с сервера на Ваш 78.46.85.70 не найдено. Если Вы таковые заметите, то сообщите, будем их ловить и разбираться.

Увы, я пока что не имею представления, какое отношение наш IP имеет к Вашему ддосу. Да, как я уже говорил, не исключено, что это взлом. Но пока что мы не нашли каких-либо его следов. Также третий раз говорю о main ip: дело не в том, что нельзя изменить IP отправителя, а в том, что это нужно делать специально. Зачем? Если даже и помещён какой-то бот, он спокойно работал бы на main ip и тем сложнее его было бы отловить. Поэтому и делаем вывод, что такой заумный бот маловероятен. Как бы то ни было, если мы что-либо найдём, то сразу же обезвредим его и сообщим Вам. Но что ещё на данный момент я могу предложить Вам? Разве что снова попросить access_log, Ваши IP и полный лог netstat -n во время атаки. Может быть это поможет что-либо найти. Если Вы, конечно, действительно хотите понять, что происходит. Но я не настаиваю, это Ваше личное дело.

Я готов далее отвечать на технические вопросы, которые помогут пролить свет на ситуацию, но только на них. Пожалуйста, решайте проблемы с теми, кто должен этим заниматься. Сервер находится в РФ, и те, кто расследуют Ваше дело, могут получить всю необходимую информацию из всех возможных источников: начиная с нас и заканчивая ДЦ.

[DLag]

В общем если пройтись по пунктам заявления Atlanto, то получается примерно такая картина.
Начнем с конца:

4. Сайт bb3x.ru размещается не на собственном сервере и пользуется услугами обычного хостинга. Но при этом у него собственный IP. Почему Вы считаете, что мы могли бы производить ддос-атаку с собственного аккаунта хостинга? Почему считаете, что пакеты будут отправляться от IP аккаунта, а не main ip сервера? Или мы специально использовали особый софт, чтобы в качестве IP отправителя был именно наш личный IP? А если этот чудо-бот умеет модифицировать IP отправителя запросов, то зачем нам прописывать в нём себя, а не кого-то другого? Это уже абсурд.

Для сайта действительно выделен отдельный IP, но не смотря на это общий IP сервера определить не трудно.
Как я уже написал ранее хостинг принадлежит Atlanto полностью и безоговорочно.
Т.е. п.5 - ложь. (У Atlanto видимо проблемы со счетом, т.к. у него в п.4, по счету этот 5-й)

4. С Вашей стороны в качестве обвинения пока что предоставлен только один лог, который к тому же явно является неполным. Команда
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
должна в топе показать IP сервера самого владельца атакуемого ресурса, т.к. во время ддоса должна быть масса коннектов от самого сервера. А, как мы видим, в списке даже нет Вашего IP, и даже нет 127.0.0.1. Если выкладываемые Вами логи модифицируются, то, пожалуйста, предупреждайте об этом, а лучше размещайте скриншот.

127.0.0.1 будет только при кривой настройке проксирующих демонов, например nginx.
Видимо на хостинге Atlanto он настроен таким образом и он привык видеть у себя 127.0.0.1 в списке коннектов.
Так что это только проблема администрирования Atlanto, а не поддельный лог.
п.4(настоящий п.4) - обычная некомпетентность смешанная с попыткой отмазаться.

3. Мы готовы ответить на все технические вопросы, которые позволят Вам убедиться в нашей невиновности. Можете сообщить, какие логи для Вас в таком случае будут доказательством. Также прошу Вас предоставить даты и время описанных атак и простоев, мы сравним их с нашими данными и приведём все возможные логи и скриншоты.

Мы располагаем следующими доказательствами:
1) выделение IP (подтверждается датацентром)
2) статистика трафика (подтверждается датацентром)
3) бинарный лог atop'a всех процессов за текущий месяц

Этих логов нет, датацентр их давать не хочет или не может.
Потому никакого подтверждения быть не может.
Верить на слово Atlanto смотря на предыдущие пункты нет смысла.
п.3 - еще одна попытка отмазаться на почве того что данные якобы есть только у них.

2. Официально заявляю, что никем из лиц, имеющих доступ к хостинговому аккаунту сайта, никакие ддос-атаки никогда не предпринимались. Кроме того мы никогда не проявляли каких-либо враждебных действий по отношению к Вашему сайту.

Исходя из того что хостинг принадлежит Atlanto непричастность bb3x к этой ситуации - сомнительна.
Можно конечно поюлить и сказать что те кто ддосили с хостинга Atlanto не имеют доступа к этому аккаунту, но это уже будет просто софистика.
п.2 - еще один пункт в копилку отмазок и вранья.

1. Просьба уточнить, почему я узнаю об этом обвинении от людей, которые посещают Ваш сайт и, благо, сообщили мне о публикации этой новости. Контактные данные владельца домена bb3x.ru доступны в сервисе Whois. Отправлялось ли на мой e-mail официальное обвинение от Вашего имени? Сайт bb3x.ru объединяет множество постоянных пользователей, для которых подобное заявление является оскорблением. Я думаю, логично было бы сперва запросить технические подробности инцидента у меня как владельца домена.

Очень правильный ход, начать с встречного обвинения чтобы сбить столку другую сторону.
Из вас получится отличный политик-коррупционер, отгавкиваться от служб правопорядка.
п.1 - нелепые наезды на пострадавшую сторону. Гадко.

Т.е. по большому счету Atlanto только подтверждает обвинения и продолжает врать.

[Mr. Anderson]

Думаю, большинство людей не считают, что количество времени онлайн свидетельствует об организации атаки

Просто конкретно я считаю, что появится онлайн со статусом "размещает ответ в форуме..." и потом Н часов (про сегодня я вообще молчу) "рожать" ответ - это... несколько мутно. Либо вы что-то пишете (и ответ появляется быстро), либо мутите (ну и понятно)...

Кстати, ответ на вопрос, почему я отправляю сообщения, когда Ваш сайт работает, весьма прост: когда я пытаюсь зайти на Ваш сайт, а он выйдаёт что-то типа "502 Bad Gateway", мне весьма затруднительно отправить ответ. Как и всем другим пользователям.

Давайте не будем фигню городить. Если я за вами наблюдаю (что-то "замечаю и записываю"), то в это время нет никаких проблем с доступом к сайту. А если доступа нет - то нет и выводов, потому что делать их не из чего...

ДЦ сервера - Инфобокс, хостер - мой друг

Так, стоп. Вы закрыли хостинг "или где"?

Вот статистика трафика по моему IP, предоставленная Инфобоксом:

Ай как красиво-то! Так чисто "случайно" в районе 23-х часов просаживание всего трафа в "НОЛЬ", а потом в районе половины 12-го - пик исходящего (без особого роста входящего!) и весь этот исходящий - рашенский (писать на поисковики не получится).
Вы вообще поняли подо что сейчас подписались?

Также в этот период нет никаких особых пиков

Ну да, никаких. Особенно в обозначеный мною период - вообще никаких... График - ровнее некуда. Спасибо, поржал.

увы, выполнить невозможно

Никаких претензий, но как раз-таки то, что я просил - хранить не проблема. Ну дело-то ваше... Я же говорил - вам решать про что вы в следующем посте вещать будете - про шаред/нешаред/итп...
Вы сделали свой выбор, а читатели пусть сделают свои выводы...

Вообще очень странно, что такие дела начинают выяснять, когда прошло столько времени

С какого момента, позвольте спросить? Мы до сих пор испытываем проблемы из-за непрекращающегося ДДоСа. Правда, недавно открытые подробности позволяют слегка пролить свет на природу управления этими атаками... О чем, собственно, и речь...

Да, как я уже говорил, не исключено, что это взлом

Вот как раз этого вы и не говорили. Это я говорил - что мол не исключено ли и тп... На что получил конкретный ответ:

Официально заявляю, что никем из лиц, имеющих доступ к хостинговому аккаунту сайта, никакие ддос-атаки никогда не предпринимались.

и в качестве уточнения:

В моём заявлении чётко сказано, что я отвечаю за "лиц, имеющих доступ к хостинговому аккаунту сайта". Что касается вариантов взлома и атаки от нашего имени, то это действительно было бы правдоподобно, если бы не одно НО, о котором я уже сообщал.

То есть извините, но вы категорически отмели вариант взлома сразу же... Не надо "гнать". Сейчас уже поздновато искать обходные пути...

На данный момент исходящих запросов с сервера на Ваш 78.46.85.70 не найдено

Еще бы они были, ага... Вы сами-то понимаете о чем разговор?
Как я уже говорил - ваш ИП давно больше не светится, было бы странно ловить черную кошку в темной комнате, особенно если её там нет...

заумный бот маловероятен

Но, видимо, все же возможен? Вы ведь не отрицаете того....

Я готов далее отвечать на технические вопросы, которые помогут пролить свет на ситуацию, но только на них.

Удобно, особенно учитывая сколько вы проигнорили из моего предыдущего поста... Клево, приму к сведению...

[Atlanto]

Судя по ответам, конкретных вопросов по поводу ддоса уже нет. Официальные ответы bb3x я Вам дал, так что больше не вижу смысла в присутствии на данном форуме.

Но Вы просто не представляете, как забавно это всё выглядит для тех нескольких человек, которые знают, что никакого ддоса мы не делали :P Я пока так и не могу понять, кто же может спонсировать такое мероприятие и каким образом туда вплели нас, но, право, для нас это большая честь, что Вы так серьёзно думаете о нас. Нужно неслабо верить в наш сайт, чтобы приписать ему такие действия и рассказать о нём всем, кто не знал о нём раньше. Это просто удивительно, учитывая, что я не потратил на это ни копейки. Жаль, что Вы видите врагов там, где их нет. От этого страдают обычные посетители, которым полезны и Ваш, и наш сайты.

Если возникнут технические подробности, касающиеся нашего IP, - пишите мне, я, как и обещал, дам максимально исчерпывающий ответ на основе всей той информации, которой мы обладаем.

[Alek$]

Прокомментирую лишь один момент.

Также третий раз говорю о main ip: дело не в том, что нельзя изменить IP отправителя, а в том, что это нужно делать специально. Зачем? Если даже и помещён какой-то бот, он спокойно работал бы на main ip и тем сложнее его было бы отловить.

Если это действительно был целенаправленный взлом с целью подставить ваш ресурс и вызвать тот конфликт, который мы имеем, то это очень даже оправданно - ведь чем проще будет заметить участие вашего сервера в атаке, тем больше вероятность, что цель взлома будет достигнута в полном объеме.

[Mr. Anderson]

конкретных вопросов по поводу ддоса уже нет

Есть, и я их задал. Но некоторые вы проигнорировали или списали на то, что мол давно было (и если честно - я этому не верю. Вы не храните логи больше, чем за месяц? Экономите место на спичках?)
Ну а предоставленный вами график трафика - красноречивее некуда. А без логов - тем паче.

[zloyweb]

жаль что только нормальный ответ неполучишь ни тут ни там.
Война она ведь дело такое. некогда!!!

[Berk]

zloyweb, спрашивайте, я отвечу ;)

[Makc666]

Читал, читал (несколько раз тему просмотрел), так и не понял, какой тип атаки был...
Или много воды и углядеть это между строк тяжело, или так об этом никто и не писал.
Если писали, то, пожалуйста, ссылку на сообщение, если не затруднит.

[Mr. Anderson]

Makc666
Писали, вроде...
а - атак было несколько
б - та, в причастности к которой подозревается bb3x.ru, - это http flood