Выборы, выборы – ддосят сайты…

Всем привет,

Продолжение темы ддоса сайтов – ЖЖ, политизированных, партийных и прочих. Итак, с проекта анти-ддос сообщают.

1. По поводу ЖЖ. По нашей информации с 28го ноября по сегодняшний день (5е декабря, после обеда) ЖЖ ддосили один раз и чуть более получаса.
Жертва: golos-org.livejournal.com, время ддоса: 4 декабря примерно с полудня до половины первого.

Еще раз. Мы, конечно же, видим не все ддос-атаки. Что-то проскальзывает и мимо нас. Но оно проскочило и мимо всех других компаний, которые занимаются изучением или защитой от ддос-атак. Т.е., если атака действительно была – то это был не ддос, а что-то другое. Но, скорее всего, атаки с использованием ботнетов просто не было.

Это предположение лишь подтверждается твитами и постами сотрудников ЖЖ и СУПа:

adagamov: IMHO Касперский в DDoS принимает самое активное участие… бывших КГБшников не бывает, точно
adagamov: Я вообще удивляюсь тем, кто ставит к себе на РС “антивирус” бывшего КГБшника. Представляю, какую инфу о владельце “антивирус” сливает.
http://dolboeb.livejournal.com/2242543.html -> «С нетерпением жду глубокомысленной аналитики от говноэкспертов – о том, что сайты Слона, Эха Москвы, Коммерсанта, Большого города и проекта Карта нарушений полегли в день выборов из-за криворукости админов и неуёмной жажды монетизации»

Если главным аргументом в дискуссии является “бывший КГБшник”, то дискуссию можно считать закрытой :) А Носику передавайте, что приставка “гов…” превосходно сочетается не только со словом “эксперт”.

Ну да ладно. Вернёмся к острой теме самых заметных ддос-атак на ресурсы Рунета.

2. Зафиксированные нами атаки 2-4 декабря сего года.

Жертва: zaks.ru, атака шла аж с двух ботнетов.
Жертва: kartanarusheniy.ru, атака с двух ботнетов, атака продолжается до сих пор.
Жертва: levada.ru, но, похоже, атака была слабой и ресурс не пострадал.

Ага, вот:

Жертва: forum-tvs.ru – это форум Эха Москвы. Атака продолжается до сих пор.

Тот же ботнет ддосит и контору по ремонту офисов и квартир mskrem.ru :) Похоже, что просто заказной ддос-сервис: кто заплатил – тому и ддосим.

А вот самое интересное. Тот же ботнет, что ддосил Леваду, 4го декабря ддосил еще два ресурса – ЕдРо и КПРФ: er.ru и kprf-tula.ru :)

3. В Инете сообщают, что были атаки и на прочие ресурсы, которые от этого пострадали, – но у нас этих атак не видно. А именно, на головной Web-сайт Эха (echo.msk.ru), Коммерсанта (kommersant.ru), на главный сайт Голоса (golos.org), «Большой Город» (bg.ru), Slon.ru, newtimes.ru – этих ддос-атак мы не зафиксировали.

Что это было?

3.1. Серьёзные Ддосы мы бы заметили, скорее всего.
3.2. Я с трудом верю как в то, что “пришли чекисты и выдернули шнур” – так и в то, что “устроили самострел, дабы попиариться как жертва кровавого режима”.
3.3. Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией “закликали” раскрученные политизированные сайты. Т.е. эти ресурсы вполне могли стать жертвой своей популярности (кстати, с нами самими пару раз такое тоже случалось). Лечится это увеличением бюджета IT-подразделений и переводом сайта на более толстый канал, на железо получше, а еще лучше – побольше зеркал в разных регионах.

Конечно, было бы очень любопытно точно узнать – что же за это была за напасть, косившая сайты 4го декабря. И мы можем помочь. Если у пострадавших ресурсов есть желание – обращайтесь. Выделим специалистов, поможем выяснить причины и выпишем рецепт куда идти лечиться. Дабы не было рецидива весной 2012 :)

23 Responses to “Выборы, выборы – ддосят сайты…”

  1. Мне не хочется это говорить, но Носик, по-моему, ранее ссылался на оценки ЛК. Теперь называет г..ноэкспертами. Я чего-то не понимаю?

    • Интересно, почему Касперский принял это на свой счёт? То, что у него такое же мнение, как у неких гипотетических экспертов из поста Носика и Носик называет их говноэкспертами, не означает ведь в отношении него самого ничего? Второй поинт. Откуда у Касперского полные данные о всех ботнетах? Я предполагаю, что если бы были обо всех, то можно было бы все их и вылечить легко и непринуждённо.

      • 1. Из контекста.
        2. Как раз нет – мы видим многое, но, конечно, не всё. Что-то наверняка пропускаем. Но не думаю, что много.
        И как я буду лечить ботнет, обладая всего-лишь знаниями о его существовании и о командах, которые он получает??

        • Там у Вас в посте отличная логика. Раз ЖЖ ДДоСили полчаса (по данным ЛК), значит это с большей вероятностью технические проблемы и криворукость админов, чем у других сайтов, которые вообще не ДДоСили (по данным ЛК)? Носиковский троллинг нашёл-таки цель. :)
          Слишком акцентировано внимание на “Не исключён сценарий” при большом количестве “скорее всего” и “конечно же, видим не все”.
          Получать образцы и лечить, какие тут варианты ещё?

  2. Буду сносить у себя каспера после этого поста..

  3. Не обращайте внимания на Агадамова. Этот человек кроме копи/пастинга ничего не умеет.

    КГБ или не-КГБ сейчас уже не важно. Точнее, не важно для тех, кто не живет в СССР последние 20 лет. А те, кто всё ещё там… Что ж, это диагноз. Нет смысла с ними спорить, они – упертые и непобедимые, как Советский Союз и Красная армия. Пусть сидят в своих выдуманных кошмарах. Им же хуже.

    • Г-н adagamov ошибается.
      Касперский к КГБ не имеет ни какого отношения.

      • Периодически сотрудничаем с кибер-подразделениями ФСБ на тему раскрытия различных кибер-преступлений. И что?

        • Та я ж про я про альма матер, на которую все ссылаются.

          • Тогда всё верно. Никаких, увы, отношений. И уже очень-очень давно. А как учебное заведение Академия Криптографии – весьма и весьма достойное место.

  4. Бывших не бывает ;)

  5. На счет “говноэкспертов”
    ‘эксперты (ударение на э) а-ля adagamov и Носик являются в ДДоС, безопасности, сетях, передаче данных такими же ‘экспертами как бабушки на лавочке в геополитике. Лично знают всех представителей ZOG и имеют копию теории заговора в домашней библиотеке.

    Один уролог, другой историк-полиграфист, а лезут в профтематику Касперского. Смешно.

  6. Есть другая фича: приезжаешь в махонькое село в Швейцарии. Заходишь в махонький магазинчик аудио-видео. А нем: заморские диски-музыка, заморские игры и наши коробочки с “КГБшным” (вот почему буква К!) антивирусом.

    Так если антивирус КГБшный и если собирает данные пользователей, при чем НАТОвских пользователей, так ведь это хорошо для нас?

    А то, что гугл, Эппл и прочие ОТКРЫТО и ЯВНО собирают ТОТАЛЬНО ВСЕ данные о ВСЕХ действиях пользователя якобы “только для рекламы и только для статистики” – это нормально?

  7. Рад, что Вы не стали ввязываться в бессмысленный “срач” с теми чьи цитаты опубликованы выше.

  8. Анализ видимо делается на основе данных с известных ботнетов. (или ботнета)

    А что, Касперский получает информацию со всех ботнетов ?

  9. Василий Пупкин Reply December 7, 2011 at 02:21

    Откуда у вас информация по поводу того какие ботнеты кого ддосили и насколько серьезная была атака? ОБС?

    • Эээ… Не понял вопроса. “Откуда информация” – глаза видят логи. Вот бот, его видно. Вот бот кого-то досит, это тоже видно. Размер бота тоже можно примерно прикинуть. Вот и всё.

Trackbacks/Pingbacks

  1. What Wired Is Not Telling You – a response to Noah Shachtman’s article in Wired Magazine | Nota Bene - July 25, 2012

    […] the Russian audience of the Ekho Moskvy radio station, in addition to posting the same explanation on my blog. Early on, we didn’t see any DDoS attacks occurring, but we asked any possible victims of attacks […]

  2. «Сила в правде» – мой ответ на статью Ноа Шахтмана в журнале “Wired” | Nota Bene - July 26, 2012

    […] Москвы» я объяснил, что происходило на самом деле. Да и пост об этой ситуации на своем блоге опубликовал. Когда начались разговоры о DDoS-атаках, мы попросили […]

  3. Eugene Kaspersky: What Wired Is Not Telling You | Ameya Karve's Weblog - August 5, 2012

    […] the Russian audience of the Ekho Moskvy radio station, in addition to posting the same explanation on my blog. Early on, we didn’t see any DDoS attacks occurring, but we asked any possible victims of attacks […]

  4. A Response to Noah Shachtman | Eugene Kaspersky - November 7, 2012

    […] the Russian audience of the Ekho Moskvy radio station, in addition to posting the same explanation on my blog. Early on, we didn’t see any DDoS attacks occurring, but we asked any possible victims of attacks […]

Оставить комментарий

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: