Читать любителям DDoS

Общение админов хабов и их юзеров.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Alexandr писал(а):Новая атака на часть хабов началась! Вот список атакуемых хабов, которые можно определить по графикам пользователей:

На этих хабах в период за сегодня с 15:30 до 16:30 резко возросло количество онлайн юзеров - примерно на 10%. Это примерно раза в 2-3 больше, чем должно быть.

На атакуемые хабы заходят порядка 500-1000 фейковых пользователей через прокси, после чего вероятно выполняется атака с этих фейковых пользователей.

Есть подозрение, что такие махинации связаны с попыткой скомпрометировать эти хабы, якобы с них выполняется атака (DDOS) других хабов.

И на самом деле атакуемых хабов может быть больше... Я назвал только те, которые видно по графикам онлайн пользователей.
Что за атака с фейковых пользователей? какой алгоритм?
Alexandr
Сообщения: 93
Зарегистрирован: 24 авг 2009, 00:18

Сообщение Alexandr »

HackFresse писал(а): Что за атака с фейковых пользователей? какой алгоритм?
Мне пока неизвестны подробности, назначение, может кто сообразит и дополнит... Знаю следующие факты этой атаки:
[*] Фейковые пользователи заходят через прокси
[*] У фейковых пользователей автоматически генерируется случайным образом ник, myinfo
[*] Интенсивность захода 10-20 пользователей в минуту, иногда случаются перерывы в несколько минут, это всё длится на протяжении нескольких часов
[*] Всего таким образом заходит и присутствует на хабе порядка 1000 фейковых пользователей, которыми может кто-то управлять извне (посылать запросы на поиск, скачивание, отправку данных и пр.), атаковать другой ресурс
[*] Через 2-3 часа они внезапно уходят :)
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Чёт нипанятна
1) Ок, заходят через прокси. Скриптами не запрещено, безопаснее на 95 %..
2) Ну, ник и MyInfo генерить хоть рандомно, хоть по словарю - не проблема
3) Интенсивность - не показатель. Ну, будут заходить быстрее , медленнее - не важно

Важнее всего - то, зачем мы здесь сегодня собрались. Т.е. они.

Запросы на поиск - ну, ок. На хабе должны быть лимиты и исправление кривых поисковых запросов

Скачивание - ну, тоже ок. Все качают, это нормально (Малышева.жпг). Опять же лимиты на хабе для такого и нужны. Хотя через прокси..

Отправка данных? Какая, куда? Нужны логи.

Онлайн хабов повышали еще в старые года через скрипт на хабе, тут же можно просто на любой хаб нагнать онлайну (нарисовать пирамидку на графиках, раньше тут за такое банили).

Самое простое - рассылать спам по личкам/флудить в чат. Если ботов много, то лимиты на хабе не особо сработают, а скрипты еще уметь писать нужно

Короче, нужны протоколы команд, отправляемых хабу от юзеров, зашедших с прокси. А Там уже будет видно, что и зачем
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Запросы были вот такого вида - использовали не закрытую уязвимость на хабах.
BufferedSocket::all_search_parser DDoS $Search command: $Search 31.208.109.105:\\://188.209.49.206:2506 F?F?0?1?M$$$ Hub IP = 95.161.0.201"
BufferedSocket::all_search_parser DDoS $Search command: $Search 83.209.134.65:\\://188.209.49.206:30415 F?F?0?1?X$$$ Hub IP = 94.242.222.18"
BufferedSocket::all_search_parser DDoS $Search command: $Search 118.165.2.158:\\://188.209.49.206:32950 F?F?0?1?I Hub IP = 37.59.108.39"
BufferedSocket::all_search_parser DDoS $Search command: $Search 173.214.146.20:\\://188.209.49.206:46382 F?F?0?1?z$$$ Hub IP = 188.134.15.217"

Только тебе HackFresse это зачем знать?
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Изображение
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

HackFresse писал(а):Запросы на поиск - ну, ок. На хабе должны быть лимиты и исправление кривых поисковых запросов
А кто дырку не закрыл - жэсточайше того наказать.
Выпилить, ага. Как было обещано год назад. Но можно еще 2 года подождать
Хаб http://dchublist.ru/hubs/FlylinkDC/
в течении 2-х суток долбили по UDP https://yadi.sk/i/pOpGlrnsjKaMB
пришлось уйти с выделенного сервера в kimsufi (OVH) их антиддос не справился :-(
+ я потерял целый вечер на настройку новой системы и еще работает не все...

Один из векторов атак шел с адреса 94.242.221.159 где с весны этого года так и не закрыта дыра.
В связи с этим я еще раз прошу всех админов крупных хабов - обновите свой софт
в противном случае Ваш хаб будет исключен из рекомендуемых в клиенте FlylinkDC++

Кто не умеет обновить птоху до последней версии
для закрытия уязвимости можно использовать вот этот скрипт:
viewtopic.php?p=23815#p23815
http://dchublist.ru/forum/viewtopic.php?p=24548#p24548
Alexandr
Сообщения: 93
Зарегистрирован: 24 авг 2009, 00:18

Сообщение Alexandr »

flylinkdc писал(а):Запросы были вот такого вида - использовали не закрытую уязвимость на хабах.
BufferedSocket::all_search_parser DDoS $Search command: $Search 31.208.109.105:\\://188.209.49.206:2506 F?F?0?1?M$$$ Hub IP = 95.161.0.201"
BufferedSocket::all_search_parser DDoS $Search command: $Search 83.209.134.65:\\://188.209.49.206:30415 F?F?0?1?X$$$ Hub ...
Есть перечень хабов из ТОП10 или 20, в которых эта уязвимость открыта? И есть версии Verli и PtokaX, начиная с которых эта уязвимость устранена?

Если есть, то очень хорошо, можно было бы донести до всех владельцев хабов...
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Verlihub 1.0.0 RC2 as of 2014-06-14
PtokaX 0.5.0.3 as of 2015-02-20
Фиксится еще и дополнительным мелким скриптом, но как-то большинству админов пофиг на это дело
Alexandr
Сообщения: 93
Зарегистрирован: 24 авг 2009, 00:18

Сообщение Alexandr »

HackFresse писал(а):Verlihub 1.0.0 RC2 as of 2014-06-14
PtokaX 0.5.0.3 as of 2015-02-20
Фиксится еще и дополнительным мелким скриптом, но как-то большинству админов пофиг на это дело
Спасибо за информацию, на одном из хабов из ТОП 10 смогу донести информацию до администрации, чтобы обновились.
Аватара пользователя
KCAHDEP
Сообщения: 245
Зарегистрирован: 19 янв 2012, 11:21
Хаб: dchub://dc.kcahdep.online

Сообщение KCAHDEP »

лол а где же чиманандчики абтечги черебкы на хабах участвующих в атаке? тоже выпилил?
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Аптечки есть - вот герои той UDP атаки https://yadi.sk/i/J6Tw_bH8xaNTR
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Alexandr писал(а):Спасибо за информацию, на одном из хабов из ТОП 10 смогу донести информацию до администрации, чтобы обновились
О каком хабе идет речь? донесли до администрации?
они обновились, а то у HackFresse есть предложение вырезать все уязвимые хабы их флая (даже если они в топе)
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

И снова виноват я *ROFL*
А я всего-то указал на чьё-то старое обещание http://dchublist.ru/forum/viewtopic.php?p=24548#p24548
flylinkdc писал(а):Хаб http://dchublist.ru/hubs/FlylinkDC/
в течении 2-х суток долбили по UDP https://yadi.sk/i/pOpGlrnsjKaMB
пришлось уйти с выделенного сервера в kimsufi (OVH) их антиддос не справился
+ я потерял целый вечер на настройку новой системы и еще работает не все...

Один из векторов атак шел с адреса 94.242.221.159 где с весны этого года так и не закрыта дыра.
В связи с этим я еще раз прошу всех админов крупных хабов - обновите свой софт
в противном случае Ваш хаб будет исключен из рекомендуемых в клиенте FlylinkDC++
При том, что вот некто жалуется, что http://dchublist.ru/forum/viewtopic.php?p=26897#p26897
KCAHDEP писал(а):Все одмины ровны, но некоторые ровнее. Не держит царь свое слово.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Подождем ответа Alexandr
как он сможет договорится с админом знакомым.
Alexandr
Сообщения: 93
Зарегистрирован: 24 авг 2009, 00:18

Сообщение Alexandr »

flylinkdc писал(а):Подождем ответа Alexandr
как он сможет договорится с админом знакомым.
На хабе http://dchublist.ru/hubs/FiLi/ 2 или 3 дня назад обновили птоку до последней версии.
Аватара пользователя
Мультик©™
Сообщения: 226
Зарегистрирован: 17 мар 2011, 21:37
Хаб: dchub://prime-hub.ru

Сообщение Мультик©™ »

.
Последний раз редактировалось Мультик©™ 24 дек 2016, 13:12, всего редактировалось 1 раз.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Мультик - ты ведь продвинутый хабовод
можешь починить на своих хабах корректировку ошибочного поиска на лету

"error":"[19268][BUG][49] Error TTH Search: aminno Hub = dchub://prime-hub.ru raw: F?T?0?9?aminno"

клиенты вводят в качестве поиска подстроку но забывают поменять тип поиска с TTH
а хаб транслирует этот ошибочный запрос по все клиентам.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Т.к. dchub://dc.a-galaxy.com уже давно отключен и домен перекупил кто-то другой не связанный с DC++
сделал для клиентов флайлинка перенаправление чтобы они не тратили ресурсы и не долбились на мертвый узел
Алгоритм такой:
1. Если у юзера хаб флая есть, то хаб андромеды просто выключается из авто подключения
2. Если хаба флая у пользователя нет то хаб андромеды подменяется на dchub://dc.fly-server.ru

Лог на сейчас такой:

~/fly-server/log-error-sql$ cat * | grep a-galaxy
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19740][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20049][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19896][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20049][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20079][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19935][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19935][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[20079][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20079][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19449][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19260][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19260][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[20016][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20007][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19652][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19856][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20007][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19471][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19935][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19796][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19796][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19841][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19269][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19579][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19911][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20079][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19812][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[20041][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19759][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
"error":"[19663][BUG][34] Dead Hub disable auto-connect: dchub://dc.a-galaxy.com"
Аватара пользователя
KCAHDEP
Сообщения: 245
Зарегистрирован: 19 янв 2012, 11:21
Хаб: dchub://dc.kcahdep.online

Сообщение KCAHDEP »

Это царю так юзеры не нужны ага да))
Аватара пользователя
KCAHDEP
Сообщения: 245
Зарегистрирован: 19 янв 2012, 11:21
Хаб: dchub://dc.kcahdep.online

Сообщение KCAHDEP »

зато другим даже обмен запретил, ахуенно устроился однако *CRAZY*
Спойлер
<server url="http://dht.fly-server.ru/dcDHT.php"/>
<antispam url="http://linkstar.pro"/>
<antispam url="dchublist.biz"/>
<antispam url="dchub.net"/>
<antispam url="http://hublist.dchub.net"/>
<antispam url="dchub://sexy-hub.ru"/>
<antispam url="www.pribambasiki.ru"/>
<antispam url="new games ugadajjka"/>
<antispam url="hub.sovietred.ru:4111"/>
<antispam url="csp.sovietland.ru"/>
<antispam url="dchub://tsdhub.info"/>
<antispam url="Stealth Group"/>
<antispam url=".sovietred.ru"/>
<antispam url="://dchublist.wordpress.com"/>
<antispam url="://hubliste.wordpress.com"/>
<antispam url=".dc-planet.ru"/>
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Ожидал подобный ответ именно от тебя
Обменивайтесь в пределах хаба.
Слать лички при входе на хаб - это спам и он раздражает пользователей.

на счет перевода юзеров с мертвы хабов у меня нет другого адреса кому я могу доверять
в милену я один раз сделал редирект с андромеды - и что из этого получилось ты знаешь.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Пользователей раздражают проблемы с поиском и закачкой, но эти проблемы решать куда сложнее, чем внезапно появившуюся рассылку по личкам.
Жили всегда с рассылками, фичу даже в древности придумали - пароль на сообщение, но сейчас вдруг резко нужно стало с этим бороться.

А по редиректу юзеров - скажи спасибо, что с работающих хабов пока еще не забирает. Да-да, напомни, как там с Андромедой было?
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Проблемы с поиском во флае решены давно - если порт UDP закрыт ищем автоматом пассивном режиме
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Как поставить пароль на личку найдет 1% пользователей - текущее решение позволяет убирать спам автоматом всем пользователем флайлинка
(ты ведь AdBlock юзаешь с предустановленными правилами)
По редиректу - данное решение не связано с увеличением онлайна моего хаба
просто у меня нет другого адреса куда я могу увести данные коннекты чтобы юзера остались в сети p2p
На скрине видно что юзера при старте пытаются под рубиться к мертвому хабу:
https://yadi.sk/i/ARPFgv_DxpTxe

и из этой кучи на хаб перекинулось всего 6 юзеров -

log-error-sql$ cat * | grep a-galaxy | grep fly
"error":"[BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[19663][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[20041][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[20041][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[20041][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
"error":"[19260][BUG][32] Dead Hub replace: dchub://dc.a-galaxy.com -> dchub://dc.fly-server.ru"
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

А зачем нужно вообще куда-то редиректить пользователей?
Пользователь пришёл на конкретный хаб. Если хаб не работает, значит пусть закроет вкладку.
Если в браузере сайт не открывается, то меня никуда не редиректит.
Ответить