вторник, 22 января 2008 г.

DDoS на Dirty.ru и Leprosorium.ru

По сообщению webplanet.ru (http://webplanet.ru/news/business/2008/01/22/comments/dirty_down.html) второй день атакуют популярные развлекательные порталы Dirty.ru и Leprosorium.ru.

Быстрый анализ показал следующее:

Атаку можно отнести к разряду "интеллектуальных", веб-сервис атакуется запросами к генерации случайной картинки и имеет вид типа:

/captchaa/eckete2rxn2o2gjq для leprosorium.ru
/captcha/534nnkcno8mrew2r для dirty.ru

При такой атаке нет необходимости в генерации большого кол-ва трафика, достаточно "держать" веб-сервис перегруженным.

Остается посочувствовать, что один из наиболее посещаемых ресурсов Рунета не имеет возможности и/или специалистов для выявления IP-адресов, генерирующих подобные запросы с последующим их блокированием.

16 комментариев:

Анонимный комментирует...

даа, без лепры никак...

Анонимный комментирует...

хм... капча опасносте. А витя в Камбодже. И что делать то, батюшки...

Анонимный комментирует...

Пора разжечь костры инквизиции

Unknown комментирует...

Эээ сюда придут все люди лишенные Лепрозория?
О нет публиковать неинтересные каменты не будем...

Анонимный комментирует...

Если атака ведётся хорошо распределённым ботнетом, нет смысла
блокировать ip-адреса этого ботнета.
Сервер сляжет, пытаясь обрабатывать
несколько десятков тысяч правил файрвола.

Unknown комментирует...

всегда было интересно узнать, а как вы узнаете что за запросы идут к атакуемому серверу

Unknown комментирует...

2 jabbaj

Про бинарные древовидные способы слышали? =)

2 так

http://ejik-land.ru/mist/page11.html

про Кто-то =)

Unknown комментирует...

jovan странный субъект. Интересно как себя поведут при действительно серьезном нападении?

Анонимный комментирует...

похоже сайт опять нагнулся

Unknown комментирует...

Как и предполагалось "Они привели муммитроля!"...
Атака усилилась.

Пришел тупой синфлуд.

Анонимный комментирует...

http://www.habrahabr.ru/ задефейсили... после того как сайт вернули в норму дефейсер рассказал как он это сделал, но его пост сразу удалили.
в том посте он намекнул, как задефейсил сайт:

"P.S. Господа веб-разработчики. Будьте внимательны.
P.P.S. [img src="http://habrahabr.ru/logout?.jpeg"] в посте разлогинивает юзера. GET - плохо.
P.P.P.S Кавычки в теге [youtube] не фильтруются. Можно писать произвольные аттрибуты -> выполнять JS-код."


Источник: http://webplanet.ru/news/business/2008/01/22/comments/dirty_down.html#comment-133142

Verbaux комментирует...

Часа два лежит habrahabr.ru

На главной странице висит сообщение: "Хабрапривет! Пока мы развлекаемся с пионерами, если Вам интересно, вот их координаты"

Координаты: http://habrahabr.ru/bots.txt

Анонимный комментирует...

Что сегодня показывает «экспресс анализ»?

Unknown комментирует...

работаем...

Анонимный комментирует...

По хабрахабру, надеюсь, тоже будут комментарии?
Представленный на хабре список ip адресов - можно считать большим ботнетом?

Unknown комментирует...

Про хабру в хабратопике пожалуйста.
По теме: сейчас в моде маленькие но мощные ботнеты с зомби на хороших каналах.