IP-адреса ддосеров и спамеров, ники и IP плохих людей

aleksei · Сообщение **aleksei** » 26 сен 2015, 10:20

а что та мс этими поносо-спамерами случилось? уже неделю гдет не слыхать.

неужто выдохлись?

Мультик©™

slav · Сообщение **slav** » 27 сен 2015, 03:42

aleksei писал(а):а что та мс этими поносо-спамерами случилось? уже неделю гдет не слыхать. неужто выдохлись?

Тоже понять не могу.
Или пропали, или взломали.
Сломать не могли.
Но я этих уродов не вижу.

переподвыподверт

flylinkdc · Сообщение **flylinkdc** » 05 окт 2015, 20:05

Сегодня активировалась ddos атака с хабов
dchub://novosibirsk-forever.ru
dchub://piknik-dc.ru
атакуют хост 87.54.30.13 - на этот раз он не мой, но это ничего не меняет.

Кто знает админов этих хабов прошу сообщить им про эту проблему
и исправить уязвимость своего хаба обновлением или установкой скрипта защиты
http://dchublist.ru/forum/viewtopic.php?p=23815#p23815

Код: Выделить всё

 "error":"[3UT2YFVHXQYU4RTC2P7JGT57XGMAJYYDSHI7W2Q][19083][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 94.242.246.24://87.54.30.13:11969 F?F?0?1?H$ Hub IP = 80.93.188.135"
 "error":"[3UT2YFVHXQYU4RTC2P7JGT57XGMAJYYDSHI7W2Q][19105][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.126.252.12://87.54.30.13:41072 F?F?0?1?r$ Hub IP = 80.93.188.135"
 "error":"[6PRZVT4LCNCZJI75M6NGE2KVHURI2MJ57UZP4SY][19048][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 92.222.113.177://87.54.30.13:27365 F?F?0?1?c$ Hub IP = 80.93.188.135"
 "error":"[Q6FDBOQVFCMLOVZGATAZESPJ34W445YIZP324IY][19096][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.126.252.11://87.54.30.13:19903 F?F?0?1?P Hub IP = 178.17.174.14"
 "error":"[NIEOMKPXXPGCHB7RW2TQ4KQNYD2Q7M4SQ5L6R5Y][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 77.247.181.163://87.54.30.13:524 F?F?0?1?P$ Hub IP = 80.93.188.135"
 "error":"[NIEOMKPXXPGCHB7RW2TQ4KQNYD2Q7M4SQ5L6R5Y][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 149.202.98.161://87.54.30.13:9819 F?F?0?1?u Hub IP = 178.17.174.14"
 "error":"[E2HPSNUTHH4AFSTHQDAOD25GH3W2C7RLAXSMTKI][19040][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 77.247.181.163://87.54.30.13:38919 F?F?0?1?P Hub IP = 178.17.174.14"
 "error":"[E2HPSNUTHH4AFSTHQDAOD25GH3W2C7RLAXSMTKI][19040][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 92.222.252.206://87.54.30.13:61544 F?F?0?1?3$ Hub IP = 80.93.188.135"
 "error":"[BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 185.62.188.14://87.54.30.13:24835 F?F?0?1?b$ Hub IP = 80.93.188.135"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19011][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.31.51.199://87.54.30.13:32989 F?F?0?1?U Hub IP = 178.17.174.14"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19011][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 85.25.103.119://87.54.30.13:24965 F?F?0?1?n$ Hub IP = 80.93.188.135"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19011][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.31.51.199://87.54.30.13:32989 F?F?0?1?U Hub IP = 178.17.174.14"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 37.187.129.166://87.54.30.13:9540 F?F?0?1?R$ Hub IP = 80.93.188.135"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 77.247.181.163://87.54.30.13:32774 F?F?0?1?5 Hub IP = 178.17.174.14"
 "error":"[IHJLDVSHPJNRXPPDUEATW3RDINHUONUMWOQF2GY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 37.187.129.166://87.54.30.13:43243 F?F?0?1?w Hub IP = 178.17.174.14"
 "error":"[BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.126.252.11://87.54.30.13:28907 F?F?0?1?2 Hub IP = 178.17.174.14"
 "error":"[BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 37.187.129.166://87.54.30.13:30272 F?F?0?1?K$ Hub IP = 80.93.188.135"
 "error":"[FM7SYKIKKX52C2I6RLQNWF43FHXZ52ICSCZWOWA][r4xx-19009][BUG][20] NmdcHub::onLine DDoS $Search command: $Search 104.232.3.33://87.54.30.13:9402 F?F?0?1?V Hub IP = 178.17.174.14"
 "error":"[FM7SYKIKKX52C2I6RLQNWF43FHXZ52ICSCZWOWA][r4xx-19009][BUG][20] NmdcHub::onLine DDoS $Search command: $Search 37.187.129.166://87.54.30.13:56660 F?F?0?1?M$ Hub IP = 80.93.188.135"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 37.187.129.166://87.54.30.13:56295 F?F?0?1?0$ Hub IP = 80.93.188.135"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 46.182.106.190://87.54.30.13:14868 F?F?0?1?d Hub IP = 178.17.174.14"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 176.126.252.11://87.54.30.13:4202 F?F?0?1?i$ Hub IP = 80.93.188.135"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 91.109.247.173://87.54.30.13:43155 F?F?0?1?1 Hub IP = 178.17.174.14"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 185.62.188.14://87.54.30.13:26154 F?F?0?1?k$ Hub IP = 80.93.188.135"
 "error":"[TSWFM3D2QIC5KDIMOGOKPHB33W23DRFB6GJXJSY][19106][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 96.44.189.100://87.54.30.13:52689 F?F?0?1?N Hub IP = 178.17.174.14"
 "error":"[ILT2PGEMVBMMRACYSYAEVGDYAOEM4WM63DZFOMI][19099][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 85.25.103.119://87.54.30.13:52574 F?F?0?1?R Hub IP = 178.17.174.14"
 "error":"[ILT2PGEMVBMMRACYSYAEVGDYAOEM4WM63DZFOMI][19099][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 78.41.115.145://87.54.30.13:13169 F?F?0?1?K$ Hub IP = 80.93.188.135"
 "error":"[SBJPIGIZW6XT2NBQYUZGRC4I5N4Y5II24OEBDOI][19011][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 94.242.246.23://87.54.30.13:60944 F?F?0?1?E Hub IP = 178.17.174.14"
 "error":"[SBJPIGIZW6XT2NBQYUZGRC4I5N4Y5II24OEBDOI][19011][BUG][20] BufferedSocket::all_search_parser DDoS $Search command: $Search 77.247.181.163://87.54.30.13:1117 F?F?0?1?H$ Hub IP = 80.93.188.135"

alex-yx · Сообщение **alex-yx** » 06 окт 2015, 14:30

врубил скрипт

flylinkdc · Сообщение **flylinkdc** » 06 окт 2015, 15:26

alex-yx писал(а):врубил скрипт

Спасибо!
На хабе dchub://novosibirsk-forever.ru теперь все ок.
Атакующие оседлали еще на один крупный хаб dchub://dc.tiera.ru
я вчера пообщался с админом хаба dchub://piknik-dc.ru
он пока не горит желанием закрывать уязвимость

Теперь буду искать админа dchub://dc.tiera.ru

dimetro · Сообщение **dimetro** » 06 окт 2015, 18:37

я вчера пообщался с админом хаба dchub://piknik-dc.ru
он пока не горит желанием закрывать уязвимость

сам наверно эти мы дырами пользуется

Кандидат на удаление\перенаправление(как в случаи с Андромедой) из flylink?

переподвыподверт

dimetro писал(а):перенаправление

Любопытно, каким образом выбираются для него цели - владельцы этих хабов донатят или показывают сиськи по скайпу?

flylinkdc · Сообщение **flylinkdc** » 09 окт 2015, 10:41

Перенос юзеров с андромеды был выполнен бесплатно и без скайпа.
Решение было принято после игнора неоднократной просьбы обновить хаб или поставить скрипт защиты с весны этого года.
Пользователям флая нечего делать на хабе, где админ не заботиться о их безопасности.
чата с общением там нет - бан за слово озерки на 24 часа - это ведь п%здец.

А тем временем список уязвимых серверов расширился
https://yadi.sk/i/NwrpOvXBjcePp - хабы с аптечками это те через кого шла атака сегодня ночью.
Кусок лога:
https://yadi.sk/i/Hk8IVgrCjcePZ

dchub://unformal.interzet.ru
dchub://nsk154hub.ru (Установили скрипт защиты)
dchub://info.yarhub.ru
dchub://tsdhub.info
dchub://dc.yarhub.ru
dchub://hub.magnet.211.ru
dchub://dc.tiera.ru
dchub://favorite-hub.net
dchub://dc.unionbest.org

переподвыподверт

flylinkdc писал(а):хабы с аптечками это те через кого шла атака

А с градусниками - атаки не было, но она возможна ввиду наличия уязвимости?

flylinkdc · Сообщение **flylinkdc** » 09 окт 2015, 11:50

Градусники - это там, где я оператор и баню вирусных ботов.
с помощью клиента вот так http://www.flylinkdc.ru/2015/08/blog-post_14.html
но если там будет атака, градусник затрется аптечкой - у нее приоритет выше.

SergSat · Сообщение **SergSat** » 09 окт 2015, 11:57

Из утреннего лога

[09:44:37] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:23681
[09:46:08] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:29224
[09:48:28] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:46985
[09:48:29] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:46894
[09:48:38] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:714
[09:48:39] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:23953
[09:48:49] <Друг> User nWJeZ (217.12.204.104 ??) sent $Search command with invalid argument: 95.211.101.231://178.17.174.126:29835

переподвыподверт

Кстати программка "PeerBlock" тоже на андромеду не пускает.

flylinkdc · Сообщение **flylinkdc** » 09 окт 2015, 14:24

Ну про PeerBlock - не знаю... я никуда не жаловался на хаб.
но я с ними солидарен.

Renegade · Сообщение **Renegade** » 05 дек 2015, 21:26

2015-12-05 17:40 @dchub://dc.maxnet.ua <[RO]BOZIH> Hi Renegade! Please Welcome dchub://world-inhub.no-ip.org и добавляем его в избранные хабы командой в чат /fav и ставим галочку около хаба --- nYFIc
2015-12-05 19:22 @dchub://dc.maxnet.ua <[RO]WXEYd> Hi Renegade! Please Join: Welcome to Hub Adress: dchub://speed-gamers.sytes.net:411 Please type: -> /fav <- in main chat. Thank you..!!! --- jtRyb

с первой сороковки топа хаблиста в ЛС спамят только с макснета
сами ЛС я не вижу и ничего не всплывает в трее (стоит заглушка). кагбэ не напрягает, а вот ради интереса: как чтобы даже в лог файл игнора спама не попадало ничего с этого хаба? быстрый ответ "не запускать этот хаб" предвижу, но это флуд ессно.

Мультик©™

[3:10:12] <Hub-Security> User adc://adc.podryad.tv:411 (109.110.45.70 RU) sent $Search command with invalid argument: Hub:adc://adc.podryad.tv:411
[3:10:31 | 94.143.41.163 | RU] <Мультик©™>
[3:12:13] <Hub-Security> User adc://adc.podryad.tv:411 (109.110.45.70 RU) sent $Search command with invalid argument: Hub:adc://adc.podryad.tv:411
[3:14:13] <Hub-Security> User adc://adc.podryad.tv:411 (109.110.45.70 RU) sent $Search command with invalid argument: Hub:adc://adc.podryad.tv:411
[3:14:59 | 94.143.41.163 | RU] <Мультик©™> - Мираж - Мираж 01. Ты словно тень - Мираж 01. Ты словно тень.mp3 (в шаре нет, not_shared)

flylinkdc · Сообщение **flylinkdc** » 30 дек 2015, 12:59

Всем привет.

Подлые хакеры нашли ошибку в регулярном выражение скрипта, который защищает от уязвимости
http://te-home.net/?id=54&title=Second+ ... DC+history
старые хабы.
Кто установил скрипт защиты из этого топика
http://dchublist.ru/forum/viewtopic.php?p=23815#p23815
Просьба обновить его до такой версии

Код: Выделить всё

local tCfg = {
	-- Hub bot name, "" for default name
	sBot = "",
	-- Report for operators
	sMsgToOps = "User %s (%s %s) sent $Search command with invalid argument: %s",
	sMsgToUser = "Your client sent incorrect port in search request.",
}

function OnStartup()
	tCfg.sBot = tCfg.sBot and tCfg.sBot ~= "" and tCfg.sBot
		or SetMan.GetString(SetMan.tStrings and SetMan.tStrings.HubBotNick or 21)
	tCfg.sMsgToOps = "<"..tCfg.sBot.."> "..tCfg.sMsgToOps
	tCfg.sMsgToUser = "<"..tCfg.sBot.."> "..tCfg.sMsgToUser
end

function SearchArrival(tUser, sData)
	local sAddr = sData:match"^[^ ]+ +([%x%.:%[%]]+[^ ]*://[^ ]+)"
	if sAddr then
		Core.SendToOps(tCfg.sMsgToOps:format(tUser.sNick, tUser.sIP, IP2Country.GetCountryCode(tUser.sIP) or "??", sAddr))
		Core.SendToUser(tUser, tCfg.sMsgToUser)
		Core.Disconnect(tUser)
		return true
	end
end

Запрос вида $Search 209.66.119.150://37.187.111.84:15302 F?F?0?1?l
регулярка блокировала корректно
а вот такой пропускала
$Search 185.22.185.207:\\://109.197.10.148:31161 F?F?0?1?Y$$$
в результате этого с помощью топовых хабов с устаревшими хабами положили несколько серверов.

flylinkdc · Сообщение **flylinkdc** » 31 дек 2015, 09:30

А вот и предновогодняя атака
Хакерята нападают на хосты 178.17.174.23 и 37.187.52.173

Запросы посылается вида

Код: Выделить всё

BufferedSocket::all_search_parser DDoS $Search command: $Search 14.102.12.25:\\://37.187.52.173:58377 F?F?0?1?2$$$$$ Hub IP = 178.130.0.205

Хабы, которые участвуют в атаке отмечены на скрине аптечками
https://yadi.sk/i/VDrT4wLlmcJaN

Админы этих хабов - обновите скрипт защиты - спасите будущие жертвы
в новом году ими можете оказаться вы сами.
заменить скрипт - 5 минут работы

Мультик©™

aleksei · Сообщение **aleksei** » 14 фев 2016, 15:56

зачистите пожалст сообщения этого товарища, уже в личку спамит,конеш матами.
вроде-ж каникулы еще не скоро в школах?

Kimbo · Сообщение **Kimbo** » 18 фев 2016, 17:39

aleksei писал(а):уже в личку спамит,конеш матами.

таки да, достал срать этот "экспонат" в личку, может админ всё же его забанит.

KCAHDEP · Сообщение **KCAHDEP** » 18 фев 2016, 18:11

присоединяюсь, мне тоже нагадил, падла эдакая

frerun · Сообщение **frerun** » 18 фев 2016, 20:02

я не такая как все!

Kimbo · Сообщение **Kimbo** » 19 фев 2016, 17:15

frerun писал(а):я не такая как все!

тут ты верно подметил, ты падла хуже всех падл падла.