DDOS на board.lutsk.ua

[serega]

Хм, комусь ми як більмо на оці мабуть. З вчорашнього вечора дофіга і ще більше конектів на форум з усього світу. Зараз доступ на форум дозволено лише абонентам Датагруп. Буду добавляти й інших операторів вручну, поки не припиниться та зараза.

[Zed]

Хм, комусь ми як більмо на оці мабуть. З вчорашнього вечора дофіга і ще більше конектів на форум з усього світу. Зараз доступ на форум дозволено лише абонентам Датагруп. Буду добавляти й інших операторів вручну, поки не припиниться та зараза.

Добавь телеком, ломает без борды

[serega]

ip адресу кажіть, а то по імені провайдера тяжкувато шукати, фіг знає під яким іменем вони реєстрували на себе блоки адрес.

В урктелекома багато таких блоків

[Zheny@]

То це через те на ДГ вчора нет пропав зовсім?

Бо аська працювала, на ФТП (у Львів) достукалися, а на ХТТП - нікуди..

З.І. Я зараз із телекома достукався з дому (пишу ж)

[serega]

То була друга фігня, ДОСили ДНС сервер, по 4 тисячі в секунду запитів було на нього, це коли зазвичай більше 100 не піднімається

[Zheny@]

То може була цілеспрамована атака на ДГ? (може не тільки Луцьке відділення)

[mix_forever]

Кто-то уж очень сильно взъелся...

[Harddriver]

Кого банили останні рази?

Давайте-ка їх сюди, ща "коллективний разум" за них візьметься

[Zheny@]

може хтось із забанених користувачів не пережив образу?

[b0rg]

точно, то все візор&аверс, гоните на них, гоните...

[Zed]

ip адресу кажіть, а то по імені провайдера тяжкувато шукати, фіг знає під яким іменем вони реєстрували на себе блоки адрес.

В урктелекома багато таких блоків

91.124.0.0/16

Кстати, оффтоп но все же, никто не знает, есть ли у телекома хоть какая-то географическая привязка адресов? в свое время курил инет на эту тему - ниче толкового не нашел. Говорили что вроде нет ее, но мне чет очень сомнительно.

можно предположить что славный гетьман обиделся, но поспешных выводов делать не хочется

[restart2]

Радий шо все стало на свої місця!!!

Розумне рішення - Зараз доступ на форум дозволено лише абонентам Датагруп. Буду добавляти й інших операторів вручну, поки не припиниться та зараза.

[OTAM]

жесть, а ще ддосять? бо я з укртелекома і вроді заходить нормально. ну вроді такі питання на рівні ДЦ рішаються швидко, в крайньому разі як мну ддосили, то один дзвінок, пів часа і канал ужо літає. хоча думаю якшо форум працює - то зараз все ок і обходитесь простим iptables, тобто самими апаратними срєдствами сервера. хоча хз-хз, це тіко припущення. але добре, що все добре

[serega]

Ага, ось кусок з статистики 10000 підключень за останні кілька хвилин на порт 80 board.lutsk.ua

Не багато осталось, але все ж таки воно заважає

437 61.12.30.146

782 194.44.130.38

1918 202.47.247.131

1918 61.7.182.164

3297 200.45.78.198

ps: і таке відчуття що це хтось з місцевих, маючи такий маленький БОТНЕТ

[OTAM]

194.44.130.38

жесть) я так і думав шо то конкуренти - айпішка уарнета :DD

зі. я би радив тему знести, даби не провокувати ддосерів на продовження ддоса

[D@ve]

Це все ознака популярності борди. І її інша сторона.

[_sergius]

і таке відчуття що це хтось з місцевих

Щось я теж так думаю... Борда хоч і популярна, але до світових масштабів ще ранувато.

Шукаймо засланого козачка!

[mix_forever]

Сопсно не думаю, шо в Луцке так много народа, которому насолила Борда и который решил потратится на ДДОС или даже, подключить сопсный ботнет, если таковой у кого-то тут имеецо...

[serega]

Ну от, кілька листів на адміністраторів блоків тих адрес і припинилась та муть.

Доступ знову відкрито для всього світу.

[D@ve]

Репект, Серьога.

[OTAM]

#!/usr/bin/perl
while(1){
system("rm -f /root/bls.sh");
$num=1;
$cmd='netstat -an | grep ffff | grep :80 | cut -f8 -d":" | sort';
@cmd=`$cmd`;
chomp @cmd;
foreach $each (@cmd) {
chomp $each;
if ($each==$rule) {$num++;} else {$num=1;$rule=$each;}
if ($num>=20) {
open(BL,">>/root/bl.sh");
print BL "/sbin/iptables -A INPUT -s $each"." -j DROP\n";
close(BL);
open(BL,">>/root/bls.sh");
print BL "/sbin/iptables -A INPUT -s $each"." -j DROP\n";
close(BL);
open(DB,">>/var/log/niggerz");
print DB "$each\n";
print "$each\n";
close(DB);
$num++;
}}
system("/root/blocks.sh");
sleep(11);

[serega]

Во-во. Не завжди допоможе, але десь так. Тільки відмінність вся в тому, що пінгвінів не тримаю.

Для цього є pf, але треба натхнення і настрій щоб прописати це

[OTAM]

ну іноді даже самого себе може забанити, тоді прийдецця чистити базу ручками а так - впалнє тєрпімо, коли ддосять - то настрою як такого немає, а вот якісь рухи приходиться робити, ну якшо ддос такій шо валить канал гігабітний, то і 10 гіг мазгів і 8 процесорних проц не допоможе на обробку і фільтр запросів

[Shkoder]

OTAM, +1

похожий скрипт (только написанный самостоятельно) работает у меня под win2k3 сервером. смотрит netstat -A, считает юзеров. если количество соединений от одного айпишника выше, чем threshold, делает ipfw add (благо, есть отличный порт IPFW под вынь!) с его айпишкой. с начала года я наловил полдесятка оболтусов. написано было в качестве защиты от атак на voip switch, но пригодилось и для веба

[OTAM]

ну вон у мну тоже діти гралися

http://78.109.2x.64/s-s

- 0/0/5509 . 1.67 1223 0 0.0 0.00 8.12 83.220.162.222 localhost GET / HTTP/1.1

79-0 - 0/0/6202 . 4.51 1118 0 0.0 0.00 10.51 91.124.170.112 www.*****.com GET /uploads/posts/1208035104_1207924458_almadrava_positivity.j

80-0 - 0/0/8774 . 14.85 661 30014 0.0 0.00 19.15 87.250.255.241 www.****.net GET /doc-4542.html HTTP/1.1

81-0 - 0/0/7155 . 0.00 1275 0 0.0 0.00 11.12 217.26.173.123 localhost GET / HTTP/1.1

82-0 - 0/0/4807 . 0.29 1262 0 0.0 0.00 6.41 80.92.105.77 www.****.ru GET /images/spacer.gif HTTP/1.1

83-0 - 0/0/5394 . 4.51 1041 0 0.0 0.00 7.40 85.250.197.224 localhost GET / HTTP/1.1

84-0 - 0/0/5136 . 3.43 1072 1 0.0 0.00 6.83 83.149.10.41 www.****.net GET /templates/pornoassXnet/images/dlet_h008_2.gif HTTP/1.1

85-0 - 0/0/3842 . 0.23 1250 1026 0.0 0.00 3.18 91.151.197.7 www.****.info GET /komedy/css/style.css HTTP/1.1

86-0 - 0/0/6678 . 8.02 976 0 0.0 0.00 10.65 41.234.193.12 localhost GET / HTTP/1.1

87-0 - 0/0/4378 . 1.10 5848 0 0.0 0.00 3.77 92.125.94.5 localhost GET / HTTP/1.1

88-0 - 0/0/4684 . 1.78 5733 2 0.0 0.00 4.39 89.77.232.145 localhost GET / HTTP/1.1

89-0 - 0/0/3994 . 0.56 5845 0 0.0 0.00 3.12 91.124.58.126 www.****.info GET /templates/otash-uz_movie_2/images/polosa.png HTTP/1.1

90-0 - 0/0/4781 . 7.15 5505 0 0.0 0.00 5.77 80.80.143.90 localhost GET / HTTP/1.1

91-0 - 0/0/4810 . 5.23 5456 0 0.0 0.00 4.92 86.46.212.243 www.****.net GET /templates/x38/bbcodes/brkspace.gif HTTP/1.1

92-0 - 0/0/4821 . 1.05 5781 0 0.0 0.00 4.83 85.104.57.108 localhost GET / HTTP/1.1

93-0 - 0/0/4930 . 7.03 5519 0 0.0 0.00 6.41 79.100.57.161 localhost GET / HTTP/1.1

94-0 - 0/0/3699 . 3.28 6409 0 0.0 0.00 2.90 85.94.102.218 localhost GET / HTTP/1.1

95-0 - 0/0/4246 . 33.35 6520 1 0.0 0.00 4.19 92.112.79.0 www.****.net GET /uploads/posts/2008-04/1208755921_dh53.jpg HTTP/1.1

96-0 - 0/0/4029 . 4.67 6443 0 0.0 0.00 3.49 88.234.87.81 localhost GET / HTTP/1.1

97-0 - 0/0/4276 . 2.39 6555 0 0.0 0.00 4.75 87.251.157.6 localhost GET / HTTP/1.1

98-0 - 0/0/4002 . 5.55 6567 0 0.0 0.00 4.08 195.131.114.57 localhost GET / HTTP/1.1

99-0 - 0/0/3538 . 1.91 6426 0 0.0 0.00 2.98 85.98.14.4 localhost GET / HTTP/1.1

100-0 - 0/0/5144 . 12.21 5992 0 0.0 0.00 5.24 85.107.77.236 localhost GET / HTTP/1.1

101-0 - 0/0/4628 . 3.44 6434 0 0.0 0.00 3.90 77.49.34.178 localhost GET / HTTP/1.1

102-0 - 0/0/3748 . 4.37 6568 0 0.0 0.00 3.42 79.113.45.222 localhost GET / HTTP/1.1

103-0 - 0/0/4351 . 9.58 6339 0 0.0 0.00 4.74 84.204.212.90 localhost GET / HTTP/1.1

104-0 - 0/0/4753 . 2.40 6386 0 0.0 0.00 5.57 89.201.159.225 localhost GET / HTTP/1.1

105-0 - 0/0/4411 . 9.03 6260 0 0.0 0.00 3.75 89.178.38.252 localhost GET / HTTP/1.1

106-0 - 0/0/4051 . 3.51 6428 0 0.0 0.00 3.36 85.98.123.60 localhost GET / HTTP/1.1

107-0 - 0/0/3424 . 1.27 6451 0 0.0 0.00 2.73 89.163.117.90 localhost GET / HTTP/1.1

108-0 - 0/0/4311 . 13.52 6115 1293 0.0 0.00 5.02 92.49.132.110 www.****.com GET /uploads/posts/1190492259_austyn_moore_college_10.jpg HTTP/

109-0 - 0/0/4100 . 5.34 6359 1 0.0 0.00 4.46 88.234.87.81 localhost GET / HTTP/1.1

110-0 - 0/0/3195 . 0.01 6574 0 0.0 0.00 2.10 79.180.233.136 localhost GET / HTTP/1.1

111-0 - 0/0/4635 . 13.00 6196 0 0.0 0.00 4.23 85.98.123.60 localhost GET / HTTP/1.1

112-0 - 0/0/3426 . 1.03 6733 0 0.0 0.00 1.78 89.77.232.145 localhost GET / HTTP/1.1

113-0 - 0/0/4260 . 3.47 6643 0 0.0 0.00 4.00 89.178.38.252 localhost GET / HTTP/1.1

114-0 - 0/0/3504 . 1.95 6761 0 0.0 0.00 3.05 85.97.178.212 localhost GET / HTTP/1.1

115-0 - 0/0/3583 . 22.66 6772 0 0.0 0.00 3.86 88.231.192.180 localhost GET / HTTP/1.1

116-0 - 0/0/3865 . 25.73 6872 0 0.0 0.00 3.59 87.251.157.6 localhost GET / HTTP/1.1

117-0 - 0/0/3418 . 0.19 6845 0 0.0 0.00 2.40 92.125.94.5 localhost GET / HTTP/1.1

118-0 - 0/0/3389 . 16.53 7105 0 0.0 0.00 2.17 78.161.153.49 localhost GET / HTTP/1.1

119-0 - 0/0/3927 . 33.68 6785 1 0.0 0.00 3.72 88.230.120.140 localhost GET / HTTP/1.1

120-0 - 0/0/3109 . 16.84 7136 0 0.0 0.00 1.87 41.234.193.12 localhost GET / HTTP/1.1

121-0 - 0/0/3046 . 18.52 7153 2 0.0 0.00 1.79 79.180.233.136 localhost GET / HTTP/1.1

122-0 - 0/0/3353 . 24.21 6999 0 0.0 0.00 2.30 84.79.89.4 localhost GET / HTTP/1.1

123-0 - 0/0/3898 . 24.19 6856 0 0.0 0.00 3.69 92.125.94.5 localhost GET / HTTP/1.1

124-0 - 0/0/3305 . 18.96 6920 0 0.0 0.00 2.89 87.126.41.249 localhost GET / HTTP/1.1

125-0 - 0/0/3231 . 5.77 7049 0 0.0 0.00 2.11 81.195.96.178 localhost GET / HTTP/1.1

126-0 - 0/0/3162 . 16.46 7121 18 0.0 0.00 1.53 81.95.187.163 www.****.com GET /uploads/posts/thumbs/1207043362_dc38e204a7b0.jpg HTTP/1.1

127-0 - 0/0/3445 . 18.67 7132 0 0.0 0.00 1.90 78.52.85.164 localhost GET / HTTP/1.1

128-0 - 0/0/6046 . 38.50 5951 0 0.0 0.00 7.40 85.117.40.145 localhost GET / HTTP/1.1

129-0 - 0/0/3142 . 22.26 7176 0 0.0 0.00 1.88 200.27.104.98 localhost GET / HTTP/1.1

130-0 - 0/0/3068 . 16.50 7147 0 0.0 0.00 1.89 78.139.146.239 localhost GET / HTTP/1.1

131-0 - 0/0/3128 . 20.29 7183 0 0.0 0.00 1.85 84.21.93.254 localhost GET / HTTP/1.1

132-0 - 0/0/4031 . 27.49 6781 0 0.0 0.00 3.61 88.254.37.194 localhost GET / HTTP/1.1

133-0 - 0/0/3221 . 19.80 7095 0 0.0 0.00 1.95 83.220.162.222 localhost GET / HTTP/1.1

134-0 - 0/0/3531 . 21.51 7038 0 0.0 0.00 2.81 88.247.67.107 localhost GET / HTTP/1.1

135-0 - 0/0/3461 . 19.55 7045 1 0.0 0.00 2.49 77.123.59.89 www.****.ua GET /forum/Themes/BlackRain1/images/catbg.gif HTTP/1.0

136-0 - 0/0/3618 . 25.09 6928 140 0.0 0.00 3.27 89.222.212.240 www.****.com GET /engine/modules/antibot.php HTTP/1.1

137-0 - 0/0/4355 . 30.16 6654 0 0.0 0.00 3.80 77.30.195.75 localhost GET / HTTP/1.1

138-0 - 0/0/3904 . 24.98 6830 0 0.0 0.00 4.21 92.125.94.5 localhost GET / HTTP/1.1

139-0 - 0/0/3107 . 12.81 7127 0 0.0 0.00 2.22 88.230.174.120 localhost GET / HTTP/1.1

140-0 - 0/0/3718 . 27.36 6953 0 0.0 0.00 2.99 79.180.233.136 localhost GET / HTTP/1.1

141-0 - 0/0/3248 . 18.81 7131 0 0.0 0.00 1.89 195.131.87.72 localhost GET / HTTP/1.1

142-0 - 0/0/3042 . 23.33 7146 0 0.0 0.00 1.55 81.214.183.0 localhost GET / HTTP/1.1

143-0 - 0/0/3341 . 19.81 7014 0 0.0 0.00 2.46 78.161.76.9 localhost GET / HTTP/1.1

144-0 - 0/0/3151 . 16.63 7172 0 0.0 0.00 1.86 79.164.99.36 localhost GET / HTTP/1.1

145-0 - 0/0/3350 . 26.59 7056 0 0.0 0.00 4.17 85.106.229.54 localhost GET / HTTP/1.1

146-0 - 0/0/3614 . 23.66 7013 0 0.0 0.00 2.65 81.214.183.0 localhost GET / HTTP/1.1

147-0 - 0/0/4156 . 25.13 6877 0 0.0 0.00 3.57 85.98.33.93 localhost GET / HTTP/1.1

148-0 - 0/0/3293 . 23.16 7040 1 0.0 0.00 2.96 85.94.102.218 localhost GET / HTTP/1.1

149-0 - 0/0/3820 . 28.03 6940 0 0.0 0.00 3.07 78.161.7.119 localhost GET / HTTP/1.1

остаточні воркери пусті ше вісять, піся ребута відваляться я думаю, правда скріпт убивав падонків.. мм.. часа 3, ну вроді тоже папустило, так шо у всіх бувають погані дні, не одну борду ддосять

2Шкодер

під веб свої нюанси (незнаю чи ти про веб сервак кажеш чи ні), в мене як бот вебальти зайде на сайти нові - то сєрвак ложиться, свопа не хватає, і приходиться банити їх діапазон і пускати по одному, хоча з вебальти шо для мене, шо для інших - трафа майже нема, лишня нагрузка на проц, саме оптимально - сайти під локалки без доступа назовні