Выборы, выборы — ддосят сайты…

Всем привет,

Продолжение темы ддоса сайтов — ЖЖ, политизированных, партийных и прочих. Итак, с проекта анти-ддос сообщают.

1. По поводу ЖЖ. По нашей информации с 28го ноября по сегодняшний день (5е декабря, после обеда) ЖЖ ддосили один раз и чуть более получаса.
Жертва: golos-org.livejournal.com, время ддоса: 4 декабря примерно с полудня до половины первого.

Еще раз. Мы, конечно же, видим не все ддос-атаки. Что-то проскальзывает и мимо нас. Но оно проскочило и мимо всех других компаний, которые занимаются изучением или защитой от ддос-атак. Т.е., если атака действительно была — то это был не ддос, а что-то другое. Но, скорее всего, атаки с использованием ботнетов просто не было.

Это предположение лишь подтверждается твитами и постами сотрудников ЖЖ и СУПа:

adagamov: IMHO Касперский в DDoS принимает самое активное участие… бывших КГБшников не бывает, точно
adagamov: Я вообще удивляюсь тем, кто ставит к себе на РС «антивирус» бывшего КГБшника. Представляю, какую инфу о владельце «антивирус» сливает.
http://dolboeb.livejournal.com/2242543.html -> «С нетерпением жду глубокомысленной аналитики от говноэкспертов — о том, что сайты Слона, Эха Москвы, Коммерсанта, Большого города и проекта Карта нарушений полегли в день выборов из-за криворукости админов и неуёмной жажды монетизации»

Если главным аргументом в дискуссии является «бывший КГБшник», то дискуссию можно считать закрытой :) А Носику передавайте, что приставка «гов…» превосходно сочетается не только со словом «эксперт».

Ну да ладно. Вернёмся к острой теме самых заметных ддос-атак на ресурсы Рунета.

2. Зафиксированные нами атаки 2-4 декабря сего года.

Жертва: zaks.ru, атака шла аж с двух ботнетов.
Жертва: kartanarusheniy.ru, атака с двух ботнетов, атака продолжается до сих пор.
Жертва: levada.ru, но, похоже, атака была слабой и ресурс не пострадал.

Ага, вот:

Жертва: forum-tvs.ru — это форум Эха Москвы. Атака продолжается до сих пор.

Тот же ботнет ддосит и контору по ремонту офисов и квартир mskrem.ru :) Похоже, что просто заказной ддос-сервис: кто заплатил — тому и ддосим.

А вот самое интересное. Тот же ботнет, что ддосил Леваду, 4го декабря ддосил еще два ресурса — ЕдРо и КПРФ: er.ru и kprf-tula.ru :)

3. В Инете сообщают, что были атаки и на прочие ресурсы, которые от этого пострадали, — но у нас этих атак не видно. А именно, на головной Web-сайт Эха (echo.msk.ru), Коммерсанта (kommersant.ru), на главный сайт Голоса (golos.org), «Большой Город» (bg.ru), Slon.ru, newtimes.ru – этих ддос-атак мы не зафиксировали.

Что это было?

3.1. Серьёзные Ддосы мы бы заметили, скорее всего.
3.2. Я с трудом верю как в то, что «пришли чекисты и выдернули шнур» — так и в то, что «устроили самострел, дабы попиариться как жертва кровавого режима».
3.3. Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией «закликали» раскрученные политизированные сайты. Т.е. эти ресурсы вполне могли стать жертвой своей популярности (кстати, с нами самими пару раз такое тоже случалось). Лечится это увеличением бюджета IT-подразделений и переводом сайта на более толстый канал, на железо получше, а еще лучше — побольше зеркал в разных регионах.

Конечно, было бы очень любопытно точно узнать — что же за это была за напасть, косившая сайты 4го декабря. И мы можем помочь. Если у пострадавших ресурсов есть желание — обращайтесь. Выделим специалистов, поможем выяснить причины и выпишем рецепт куда идти лечиться. Дабы не было рецидива весной 2012 :)

Прочитать комментарии 0
Комментарии 19 Оставить заметку

Dmitry Myachin

Мне не хочется это говорить, но Носик, по-моему, ранее ссылался на оценки ЛК. Теперь называет г..ноэкспертами. Я чего-то не понимаю?

0
Участвовать в обсуждении

Vladimir Chebotarev

Интересно, почему Касперский принял это на свой счёт? То, что у него такое же мнение, как у неких гипотетических экспертов из поста Носика и Носик называет их говноэкспертами, не означает ведь в отношении него самого ничего? Второй поинт. Откуда у Касперского полные данные о всех ботнетах? Я предполагаю, что если бы были обо всех, то можно было бы все их и вылечить легко и непринуждённо.

0
Участвовать в обсуждении

e_kaspersky

1. Из контекста.
2. Как раз нет — мы видим многое, но, конечно, не всё. Что-то наверняка пропускаем. Но не думаю, что много.
И как я буду лечить ботнет, обладая всего-лишь знаниями о его существовании и о командах, которые он получает??

0
Участвовать в обсуждении

Vladimir Chebotarev

Там у Вас в посте отличная логика. Раз ЖЖ ДДоСили полчаса (по данным ЛК), значит это с большей вероятностью технические проблемы и криворукость админов, чем у других сайтов, которые вообще не ДДоСили (по данным ЛК)? Носиковский троллинг нашёл-таки цель. :)
Слишком акцентировано внимание на «Не исключён сценарий» при большом количестве «скорее всего» и «конечно же, видим не все».
Получать образцы и лечить, какие тут варианты ещё?

0
Участвовать в обсуждении

e_kaspersky

Присылайте образцы — вылечим.

0
Участвовать в обсуждении

Alex

Буду сносить у себя каспера после этого поста..

0
Участвовать в обсуждении

Dmitry Dulepov

Не обращайте внимания на Агадамова. Этот человек кроме копи/пастинга ничего не умеет.

КГБ или не-КГБ сейчас уже не важно. Точнее, не важно для тех, кто не живет в СССР последние 20 лет. А те, кто всё ещё там… Что ж, это диагноз. Нет смысла с ними спорить, они – упертые и непобедимые, как Советский Союз и Красная армия. Пусть сидят в своих выдуманных кошмарах. Им же хуже.

0
Участвовать в обсуждении

KGB

Г-н adagamov ошибается.
Касперский к КГБ не имеет ни какого отношения.

0
Участвовать в обсуждении

e_kaspersky

Периодически сотрудничаем с кибер-подразделениями ФСБ на тему раскрытия различных кибер-преступлений. И что?

0
Участвовать в обсуждении

KGB

Та я ж про я про альма матер, на которую все ссылаются.

0
Участвовать в обсуждении

e_kaspersky

Тогда всё верно. Никаких, увы, отношений. И уже очень-очень давно. А как учебное заведение Академия Криптографии — весьма и весьма достойное место.

0
Участвовать в обсуждении

KGB

Бывших не бывает ;)

0
Участвовать в обсуждении

KGB

На счет «говноэкспертов»
‘эксперты (ударение на э) а-ля adagamov и Носик являются в ДДоС, безопасности, сетях, передаче данных такими же ‘экспертами как бабушки на лавочке в геополитике. Лично знают всех представителей ZOG и имеют копию теории заговора в домашней библиотеке.

Один уролог, другой историк-полиграфист, а лезут в профтематику Касперского. Смешно.

0
Участвовать в обсуждении

KGB

Есть другая фича: приезжаешь в махонькое село в Швейцарии. Заходишь в махонький магазинчик аудио-видео. А нем: заморские диски-музыка, заморские игры и наши коробочки с «КГБшным» (вот почему буква К!) антивирусом.

Так если антивирус КГБшный и если собирает данные пользователей, при чем НАТОвских пользователей, так ведь это хорошо для нас?

А то, что гугл, Эппл и прочие ОТКРЫТО и ЯВНО собирают ТОТАЛЬНО ВСЕ данные о ВСЕХ действиях пользователя якобы «только для рекламы и только для статистики» — это нормально?

0
Участвовать в обсуждении

Noskov Vlad (@switchmanV)

Рад, что Вы не стали ввязываться в бессмысленный «срач» с теми чьи цитаты опубликованы выше.

0
Участвовать в обсуждении

Alex

Анализ видимо делается на основе данных с известных ботнетов. (или ботнета)

А что, Касперский получает информацию со всех ботнетов ?

0
Участвовать в обсуждении

e_kaspersky

Нельзя объять необъятное (с).
Но видим мы очень многое.

0
Участвовать в обсуждении

Василий Пупкин

Откуда у вас информация по поводу того какие ботнеты кого ддосили и насколько серьезная была атака? ОБС?

0
Участвовать в обсуждении

e_kaspersky

Эээ… Не понял вопроса. «Откуда информация» — глаза видят логи. Вот бот, его видно. Вот бот кого-то досит, это тоже видно. Размер бота тоже можно примерно прикинуть. Вот и всё.

0
Участвовать в обсуждении
Обратные ссылки 4

What Wired Is Not Telling You – a response to Noah Shachtman’s article in Wired Magazine | Nota Bene

«Сила в правде» – мой ответ на статью Ноа Шахтмана в журнале “Wired” | Nota Bene

Eugene Kaspersky: What Wired Is Not Telling You | Ameya Karve's Weblog

A Response to Noah Shachtman | Eugene Kaspersky

Оставить заметку