Шантаж

    Наша история начинается с того, что пара наших клиентов получает письма следующего содержания:

    Здравствуйте.

    Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно.
    Внимание! начиная с 26-го августа Ваш сайт будет подвергнут Ддос атаке. Он будет недоступен до тех пор, пока вы не начнете нам платить.

    В первой атаке будут задействованы 2000 ботов. Если вы обратитесь в фирму, занимающуюся защитой от ddos-атак и они начнут блокировать наших ботов, то мы увеличим кол-во ботов до 50 000, а защита от 50 000 ботов стоит очень-очень дорого.

    1-й платёж (10 000р.) должен быть совершён не позднее 31 августа.
    Все последующие платежи (10 000р.) должны быть совершены не позднее 31(30) числа каждого месяца начиная с 31 августа.
    За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
    Например, если вы не успеете произвести оплату в последний день месяца, то 1-го числа вы будете должны оплатить пени 100%, т.е. всумме 20 000р., если оплатите только 2-го числа, то будет уже 30 000р. и т.д. Пожалуйста, платите во время, и тогда сумма 10 000р. будет неизменна.
    Пени касаются и вашего первого платежа — не позднее 31 августа.

    Вы также получите ряд бонусов.
    1. 30% скидка на заказ ддос атаки на ваших конкурентов/врагов. Средне рыночная цена ддос атаки простого сайта составляет около 100$ за сутки, для вас цена будет всего 70$ за сутки.
    2. Если к нам обратятся Ваши конкуренты/враги, с просьбой произвести атаку на Ваш сайт, то мы им откажем.

    Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.

    Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru


    В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят руками, помощи от них нет.

    А теперь вопрос, кто нибудь еще получал такие письма? Какими были ваши действия?
    Поделиться публикацией
    Комментарии 634
      +38
      1. Обратиться в отдел «K»
      2. Обратиться в Яндекс, чтобы пробили с какого IP адреса регистрировали кошелек.

      Если все производилось через анонимные прокси, то ничего не сделаешь. концы в воду
      • НЛО прилетело и опубликовало эту надпись здесь
          +6
          Не знаю, как другие хостинг-компании, а от Мастерхоста помощи точно ждать не стоит. Они будут спокойно сидеть и смотреть, как утекают деньги со счета из-за превышения соотношения трафика.
            +3
            Если сайт ddos-ят на виртуальном хостинге, то площадку переносят на карантинный сервер, где отключен зарубежный трафик. И только если DDOS продолжается и там, то отключают доступ.

            Если Вы подскажете хостинг за 500р/месяц, который справится с атакой 100к в минуту, то подскажите, буду иметь в виду.

            Если атака идет на colo-сервер, то также можно заблокировать зарубежный трафик для ip.
              +6
              Я вам реальный случай говорю. -300 долларов со счета за 2 с небольшим часа. А техподдержка только руками разводила. Мы их попросили VPS выключить. Они его выключили так, что потом 6 часов поднимали. Это было в сентябре или октябре 2008 г. Никто нам никуда VPS не переносил и не предлагал.
                +2
                Тогда возможно так и было, сейчас сервисы работают лучше, можно спокойно блокировать зарубежку.
                  +10
                  Тем не менее, осадок неприятный остался и мы свалили оттуда так быстро, как только смогли. ))
                +1
                мастерхост нас по такой схеме и вырубил.

                завтра может скажу про такой хостинг, если сработает.
                  +2
                  Если нужно будет соотношение трафика выровнять, то напишите в этой теме и мне в личку, пожалуйста. Мне в свое время так же помогли.
                +1
                Понимаете… они готовы предоставить защиту от ДДОС, но это оговаривается в индивидуальном порядке и зависит от того сколько вы готовы потратить на это денег.
                  +1
                  Жалко, что они нам не предложили своих услуг в этом плане.
                    +1
                    нам был ответ в прошлом году -что услуга защиты предоставляется только для выделенных серверов, учитывая их нынешние тарифы…
                    а автору статьи обращаться в отдел К обязательно.
                    +1
                    Ничего они не предоставляют, по 2м клиентам сталкивался, просто предлагают выключить. И говорят, что можно трафик до конца месяца)
                      0
                      Гм. Видимо что-то поменялось, либо нужно обращаться к конкретным людям.
                    +1
                    смотря что за атака.
                    с «популярным» SYN-флудом мы например обычно относительно успешно боремся )
                    а так если что-то сложное то за бесплатно конечно никто не будет этим заниматься, хардаврные решения настраивать и т.д.
                    Все это приличных денег стоит
                      0
                      это точно. там роботы какие-то сидят, не человеки
                    +19
                    Обратиться в отдел «K» самое правильное решение
                      +10
                      Или попробуйте сюда:
                      email: be@hll.msu.ru
                      skype: highloadlab
                      icq: 551992774
                        +1
                        уж не ваших ли рук это дело? :-))
                        –5
                        А еще можно согласиться на их условия, но сказать что деньги налом, спрятанные в мусорном контейнере =)
                          +2
                          Ага, еще предожите сказать, что деньги в ближайшем отделении ФСБ.
                        +3
                        Моего знакомого в своё время в из отдела «К» послали в отделение по месту жительства аргументируя тем, что их отдел дел не заводит и работает только по запросу от людей, ведущих дело.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            +2
                            Потерянные деньги в обеих случаях!
                            Большие — если сайт лежит месяц, малые — платишь раз в месяц за неддос.
                            Лучше среднее, заплатить и найти ублюдков, оторвать яйци
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +9
                                Здравствуйте.

                                Если вы хотите, что бы Ваш ботнет xxxxxxxxxx работал, вы должны будете платить нам $100. ежедневно.
                                Внимание! начиная с 26-го августа Ваш ботнет будет переведен под наш контроль. Он будет недоступен до тех пор, пока вы не начнете нам платить.

                                1-й платёж (100$) должен быть совершён не позднее 31 августа.
                                За просрочку платежа будут начисляться пени +100% за каждый день просрочки.
                                Например, если вы не успеете произвести оплату в любой день месяца, то на следующий день вы будете должны оплатить пени 100%, т.е. всумме 100$, если оплатите только через два дня, то будет уже 300$ т.д. Пожалуйста, платите во время, и тогда сумма 100$ будет неизменна.

                                Оплату нужно производить на наш кошелек яндекс-денег Номер ************. Каждый месяц номер кошелька будет новый, будьте внимательны. Про то, как пользоваться яндекс-деньгами читайте на www.money.yandex.ru.

                                Если вы захотите обратиться в правоохранительные органы, мы не будем Вас отговаривать. Мы даже дадим вам их контакты: www.fsb.ru, www.mvd.ru
                                  –1
                                  яндекс.деньги рублями оперирует…
                                +6
                                По международной практике нельзя вести переговоры с террористами))
                              +4
                              А вы сами то хоть раз в этот К обращашись, а? ;)
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +8
                                  Подковырка в том, что хотелось бы услышать примеры закрытых дел по таким случаем. Ну и кроме того, в таком уж контексте, хочется узнать по каким статьям таких героев можно закрыть, а главное как доказать, что именно этот херой их совершил?

                                  Только я говорю о реальных кибер преступниках, а не о тех сопливых кулхацерках, которые скачав какую то программу для взлома тут же пытаются её использовать с домашнего компа (при нулевом уровне знаний хотя бы основ сетевого стека) с белым IP, а потом льют слезки «мяямяяя, я больше так не будуууууу». Дело балаковской троицы? Ну извините меня, так там британцы фигурируют. Хочу примеров по родному отечеству…

                                  Знаю как минимум один достоверный случай, когда человек стер все сайты на площадке хостера. Его смогли не только установить, но и точно выяснили где он находится. А толку. Что предьявлять? Логи сервера? Ха, обычный текстовой файл, правиться в vim-е элементарно — подделали. Провайдер готов подтвердить наличие определенного трафика с домашней машины? 1) См. п. про логи. даже если отбросим п.1 переходим к 2) а теперь докажите, что именно в это время за этой машиной находился именно этот человек. А пусть даже и находился, ничаго-не-знаю-ничего-не-делал, может вирусы.

                                  Любое преступление оставляет финансовый след, берем злодея при получении денег? А, ну да, так он сам и пришел их забирать.
                                    +3
                                    Такие дела не всегда получают огласку. Но это не значит, что их нет (я знаю как минимум один случай). «Закрывают» по статьям 273, 274 (это только как минимум, могут еще 163, наверное).
                                    И, судя по всему, у вас довольно скудное представление о системах безопасности, логах и подобном.
                                      0
                                      Разочарую (обрадую?) о логах представление у меня более чем достаточные.
                                      Системы безопасности обсуждать не буду, разные они достаточно.
                                        0
                                        Подводя итог: одно дело? )
                                        0
                                        В епреступлениях более удачна не «постфактум»-практика, а наоборот, когда оперативники представляются потенциальными заказчиками нелегальной услуги и «ловят на живца». Тут можно было бы провернуть аналогичное.
                                    0
                                    В Яндекс пусть лучше обращается отдел К — у них быстрее и лучше получается.
                                    Все электронные системы легко идут на сотрудничество с ними.
                                    Если не будут принимать заявление — пишите письма в прокуратуру — надзирающий орган, как никак.

                                    Правда на месте злоумышленников, я бы работал с левыми кошельками через тор, а выводил деньги через обменники. В этом случае дело приостановят и закроют по сроку давности. Поймать их можно только на деньгах, т.к. привязать бот-систему к конкретным людям практически невозможно, только если отслеживать сессию до бот-системы через провайдера злоумышленников, а потом изъять компьютер, с которого он выходил, а затем изъять сервера.

                                    Подумайте на тему колллокейшена с широким каналом, это будет всяко дешевле, чем платить злоумышленникам.
                                    +71
                                    интернет гоп-стоп процвевает…

                                    осталось завести себе интернет-крышу
                                      +32
                                      лучшая интернет крыша это хороший сис. админ ;)
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          +17
                                          без хорошего админа это просто металлолом
                                          +4
                                          По своему опыту могу сказать, что каким бы не был сисадмин, в общем случае ддоса без должной поддержки со стороны хостера ничего нельзя сделать. Я хоть и не претендую на роль мага в администрировании, но могу сказать, что когда канал забивается на 90%, то уже можно забить на какие-то попытки вытащить сервер без хостера или же каких-то специальных защит. Мы в своё время воспользовались услугами компании по антидос защите, потому что количество запросов, просто вырубало сервер в любом раскладе.
                                            –11
                                            хороший сисадмин отобьётся от любой атаки, вовремя узнав про неё… часть — предотвратит.

                                            Ах да — флуд траффиком сейчас не рулит (дорого, заумно, сложно). Eгопники используют флуд HTTP запросами.
                                              +12
                                              И как админ защитит при потоке в 800мбит, допустим(случай из практики)?
                                              Дай контакты этого чудо-админа.
                                                –13
                                                Два варианта, выносят канал, это проблема хостера, прям им жалобы на не удолетворительные услуги и тп. И соотвенсвенно законный отказ оплачивать не полностью оказанную (ненадлежащего качества) услугу. И вообще акты не подписывать, на одного клиента хостер может и забить (правда через договор их можно нагнуть все равно) разорвав договор, на пачку начнут шевелиться, ну и поболее инфы сюда у кого из хост провайдеров проблема со спецами и рамещаться не стоит. Второй выносят сервис, тот же апач ресурсоемкими запосами и тп, тут уже как раз админ и фаир который их будет отбрасывать. В любом случаи положить сайт не получиться. Правда стоить все это дорого будет, ибо входящий трафик.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    хм, по первому варианту у Вас оплаченый трафик быстро закончится да и все, и хостер Вам уже ничего не должен будет ))
                                                    0
                                                    выше был пример, с сылкой на комбатс, это реально.
                                                    +1
                                                    Имеется ввиду DDoS в общем случае, HTTP-flood это лишь малая часть того что могут сделать. В общем случае рассматривается именно объём входящего трафика, при определённых величинах уже не имеет смысла защищаться на самом сервере. Когда за сутки тебе в канал по отчёту хостера влетает несколько терабайт, то нужно задуматься о альтернативе.
                                                +88
                                                Слышь, у тебя электронные деньги есть? А если найду?
                                                  +86
                                                  эээ, пацанчик, дай пасс от скайпа — позвонить.
                                                    +43
                                                    друган откинулся с чампа по CS, привет передать надо
                                                      +41
                                                      дай ноут, по скайпу позвонить. акк у меня свой!
                                                        0
                                                        Не… эт больше на класических гопов похоже… просто продвинутых =)
                                                          0
                                                          знаю, хабра односторонний инструмент. Редактирования нема (
                                                        0
                                                        эээ, эскейпь базар)
                                                        +6
                                                        Варианты ответов:
                                                        — А ты чо, Яндекс штоле?
                                                        — А ты Васю Яндекса с раёна знаешь?
                                                        :)
                                                          0
                                                          я и есть Вася с раёна, ты кто такой, а?
                                                            +4
                                                            Платона знаешь?
                                                              +2
                                                              Еленинышны сынок
                                                                –5
                                                                а ты Лебедева знаешь???
                                                              0
                                                              А ты Серегу Брина знаешь, слыыш?
                                                              +14
                                                              А ты ваще с этого сервера или ччо?
                                                                +17
                                                                тебя чо отпарсить?
                                                                  +50
                                                                  регулярка не отросла
                                                                    +15
                                                                    с какой целью запрос отправляешь?
                                                                      +7
                                                                      да чота тэги перебить руки чешутся

                                                                      :]
                                                                        +7
                                                                        ты попутал, у меня брателло тут админ
                                                                          +33
                                                                          слыш, у меня папа хостер!
                                                                            +3
                                                                            не, эта, пацаны, ну вы еще диаганалями моников померяйтесь
                                                              –1
                                                              интернет-крышу — доброго (злого) провайдера? :)
                                                              –26
                                                              забей
                                                                –18
                                                                Все правильно говорите
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  +24
                                                                  В первом комет все правильно сказано.
                                                                  Можно указать в днс главную страницу хостера — скорее всего тогда он начнёте принимать меры =))
                                                                  Или конкурентов — пусть думают вместе с вами что делать с этой напастью.=))
                                                                  Ну а серьёзно — надо проанализировать откуда идет атака, иногда удается минимизировать наносимый ущерб путем отсекания какой нибудь страны или даже региона.
                                                                    +27
                                                                    Если указать страницу хостера — то он, конечно, зашевелится и подаст на вас в отдел «К» сам.
                                                                      +33
                                                                      Помнится можно было указывать в ДНС — страницу угавного управления ФСБ. Бот нет прикрывались за три часа.
                                                                        +5
                                                                        Ссылки?
                                                                          +10
                                                                          Сейчас не могу вспомнить, но некотрое время назад имел место прецедент перенастройки DNS то ли ФСБ, то ли на администрацию президента. Атака прекратилась за три часа.
                                                                          Был прецедент атаки на сайт ЯБЛОКА, когда они редирект на сайт президента сделали — тоже очень быстро всё прикрыли, но тут уже политика. Ссылки сходу не нашёл :(
                                                                          +1
                                                                          собственно, сайт они сами дали — fsb.ru вот туда можно и перенаправить :)
                                                                          $100 за сутки. Т.е. каждые сутки их 50K ботнета, это -$100 для них. Можно и с этой стороны посмотреть. :)
                                                                            0
                                                                            Ну это ж рыночная. Если это реально их ботнет, то есть и время простоя, в которое они занимаются таким вот гоповством.
                                                                              0
                                                                              Вот ФСБ удивится дикой полупярностью их сайта.
                                                                              +3
                                                                              Осталось дело за малым — предупредить всех клиентов о внеплановой первоапрельской шутке, отключить сервер от интернета (ибо ddos по ip еще никто не отменял) и заняться offline рекламой своей продукции…
                                                                                0
                                                                                Если вас DDOS'ят 50k ботов, то про клиентов можно пока забыть :) Вот с IP сложнее, но это нужно смотреть, что за атака. Пока атакующий поймёт, что происходит половину его сети уже положат. Если атака более-менее сложная, то можно и редирект настроить.
                                                                                +1
                                                                                Кстати! как идея — довольно интересная…
                                                                                но вот чем это обернется для владельца домена — не понятно.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    +1
                                                                                    угу, максимум, что светит — мелкое хулиганство. Никаких санкций за ущерб впаять не могут, ибо его не вы наносите. Это все равно, как знать, что придут рекетиры и поменять номера на дверях квартир.
                                                                                      +1
                                                                                      Нее… Это как место для стрелки забить в холле ОВД…
                                                                                +75
                                                                                а я помню, когда нас ддосили, мы прописали в днс ip адрес 127.0.0.1
                                                                                  +3
                                                                                  гениальное рядом ;)
                                                                                    0
                                                                                    жестоко =)
                                                                                    и так можно?
                                                                                      0
                                                                                      Достаточно в домене изменить A запись на 127.0.0.1
                                                                                        –1
                                                                                        Вот только что толку редиректить всех в пустоту???
                                                                                          0
                                                                                          Вы правы, толку от этого нет. Я просто ответил на вопрос freeAKK
                                                                                          >и так можно?
                                                                                          :)
                                                                                      0
                                                                                      Может проще было просто выдернуть сетевой шнур? :)
                                                                                        +1
                                                                                        О, я тоже помню. 2 года назад башоргру так поступил при ддосе.
                                                                                        Zoi, перелогиньтесь.
                                                                                          +1
                                                                                          Баш тогда в Норвегию свалил на Хостэкс. Сами они ничего не делали. Там (в хостэксе) люди грамотные очень. Лично знаю. Там мозги еще те.
                                                                                            +1
                                                                                            Верно, и вопрос в том не _где_ отражают атаку а _кто_ отражает.
                                                                                            Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
                                                                                              +2
                                                                                              Мы тогда много чего делали, в том числе и несколько дней находились в хостексе, да.
                                                                                              +5
                                                                                              У вас детектор барахлит.
                                                                                              0
                                                                                              За то есть бесплатная возможность задосить кого угодно.
                                                                                              Вопрос, что будет если их натравить на боольшой проеrт, или на айпишник fsb.ru ?)
                                                                                                0
                                                                                                Большой проект и fsb.ru, в основном, располагаются на устойчивых к такому ддосу площадках.
                                                                                                +2
                                                                                                Говоришь на меня, а переводишь на себя!
                                                                                              0
                                                                                              Кстати, их угрозы вполне реальны, так как даже если вы и вычислите IP атаковавших компьютеров, то это будут только зомби. Ботнет может быть очень большой. От его размера зависят ваши действия. Если машин немного — вносите в блеклисты IP. Также необходимо правильно настроить сервер. Ограничить кол-во подключений с одного IP и т.д. Если ботнет большой, то вам мало кто сможет помочь.
                                                                                                0
                                                                                                Насколько мне известно, пара кисок должна фильтровать, если не забьют канал.
                                                                                                  0
                                                                                                  есть еще оборудование от TippingPoint… цена внушительная но с подобными «шутниками» отлично справляются, плюс еще кучка всяких «бонусов» в комплекте, типа проверка трафика антивирусами, выявление подозрительного исходящего трафика и прочее и прочее…
                                                                                                    0
                                                                                                    Тут вопрос цены решения.
                                                                                                    0
                                                                                                    А нельзя использовать white list, как временную меру?
                                                                                                      +1
                                                                                                      Нверное нереально. Если это работающий корпоративный сайт или просто какой-нибудь популярный ресурс. Откуда знать кто имеет право попасть в «white list»?
                                                                                                        +2
                                                                                                        Логи поднять, с каких IP раньше ходили. И включить некоторые маски, с которых маловероятна атака.
                                                                                                          –1
                                                                                                          Смотря какой, конечно, корпаративный сайт, но с теми что я встречался месяцок полежать — потери не будут огромными.
                                                                                                          –2
                                                                                                          А если IP динамический?
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          +7
                                                                                                          В нашу доблестную? Смешно, однако. У них компьютеры только как печатные машинки.
                                                                                                          В «К» обращаться и, в общем, выше на эту тему уже написали грамотную инфу.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              –1
                                                                                                              Вот тут не решусь комментировать, какие государственные учреждения какую юридическую силу имеют.
                                                                                                              Просто такая мысль, что тут нужна вовсе не милиция, а, допустим какой-нибудь суд…

                                                                                                              Но это уже юристов спрашивать.
                                                                                                                0
                                                                                                                Сейчас модно по форумам спамить текстом с предложением пирамиды и указанием кошельков на Яндексе (раньше на WebMoney было обычно). Так вот, если отправить даже простой копипаст и ссылку на размещенную информацию, меры уже начинают принимать.
                                                                                                                  0
                                                                                                                  По простой жалобе яндекс тоже реагирует. Для начала кошелёк лочится, то есть не совсем лочится, деньги на него поступают, нигде ничего не написано, а вывести деньги с кошелька нельзя. Так что есть некоторое время в запасе, чтобы написать заявление куда следует…
                                                                                                                  +1
                                                                                                                  Отдел «К» не работает с «физическими лицами»
                                                                                                                    +2
                                                                                                                    А Вы думаете, что написавший «физик»?
                                                                                                                      +8
                                                                                                                      Имеется ввиду, что нельзя «написать» или «позвонить» в К, они занимаются только делами по завявками самой миллиции, переданными «внутри» конторы.

                                                                                                                      То есть единственный способ предусматривается — писать заяву в отделение милиции по месту жительства, а они уже внутри передадут в К.
                                                                                                                      В теории это работает так.
                                                                                                                      По крайней мере милиция считает, что работает, не надо ухмыляться. :-|
                                                                                                                        +1
                                                                                                                        Все зависит от отдела «К» в вашем городе. У нас и по аське принимают жалобы. Другое дело, что если проблема действительно подпадает по статью, просят придти и написать официальное заявление.
                                                                                                                +5
                                                                                                                Мне кажется стоит задуматься о смене хостинга, если этот не принимает никаких мер.
                                                                                                                  +56
                                                                                                                  напиши e-mail, я им лучей поноса пошлю
                                                                                                                    0
                                                                                                                    e-mail легко подделать. Если бы всё было так просто…
                                                                                                                      +2
                                                                                                                      так может они ждут моего лучезарного ответа?
                                                                                                                        0
                                                                                                                        Денег они ждут :)
                                                                                                                        –1
                                                                                                                        А HELO-запись заголовка легко подделать? :)
                                                                                                                          0
                                                                                                                          Первый раз об этом слышу, если честно :)
                                                                                                                            0
                                                                                                                            Я не специалист, но почтовые сервера ставят записи в заголовках письма при пересылке.
                                                                                                                            И запись с тегом «HELO» ставит тот сервер, с которого отправляется письмо.

                                                                                                                            И вроде почтовые сервера верифицируют логи, чтобы письмо с сервера «А» по логам не пришло с сервера «Б». Защита от спама, ага.

                                                                                                                            А ещё, они по-идеи верифицируют домен в записи «FROM», и чтобы оно тоже совпадало с сервером, с которого отсылается письмо.

                                                                                                                            Попробуйте отправить письмо сами себе с обратным адресом bil.gayts@microsoft.com
                                                                                                                            Только не со своего почтового сервера на свой же, а куда-нибудь на gmail или yandex
                                                                                                                              0
                                                                                                                              А потом посмотреть в заголовки — и в записи HELO увидеть свой сервер, с которого отправляли))
                                                                                                                                0
                                                                                                                                если дойдёт))
                                                                                                                            0
                                                                                                                            Может быть FROM?
                                                                                                                              0
                                                                                                                              Ну почти. Поле FROM указывает на почтовый адрес для ответа.
                                                                                                                              А HELO на адрес сервера с которого ушло письмо.

                                                                                                                              Вообще, я здесь написал то, как я себе это представляю.

                                                                                                                              Да, не все почтовые клиенты показывают RFC заголовки.
                                                                                                                                0
                                                                                                                                против mutt'а нет приёма (:
                                                                                                                            0
                                                                                                                            Ну только сервер узнаешь. А не %юзернейм%.
                                                                                                                        0
                                                                                                                        Я бы начал с ограничения количества подключений на IP. Так же самых активных DDOSеров нужно просто заноситься в черный список.
                                                                                                                          +3
                                                                                                                          Если атака распределённая, подключений на IP может много и не быть.
                                                                                                                            0
                                                                                                                            Всегда есть наиболее активные. Читай пользователи с наиболее широким каналом и мощным PC. Таких нужно в первую очередь отсевать.
                                                                                                                              +1
                                                                                                                              Есть и «ленивые» ботнеты. Они большие и каждая машина ведёт себя как юзер.
                                                                                                                            0
                                                                                                                            А если канал положат? или сервак упадет от обработки блек листа?
                                                                                                                              +4
                                                                                                                              Простите, что это за сервер такой, если он падает от обработки черного списка?
                                                                                                                                +31
                                                                                                                                маленький, слабый- болел много в детстве )
                                                                                                                                  +3
                                                                                                                                  Был недавно ддос на 50кппс. Этим вполне реально могут нагрузить фаер любого линуха или бсд + очередь tcp, буферы и т.п. Сервер коре дуо ляжет, а если еще и до бэкэнда доходить запросы будут…
                                                                                                                                    0
                                                                                                                                    А на оборудовании хостера блочить нельзя было?
                                                                                                                                      +10
                                                                                                                                      Мы сами себе хостер. Ничего не пришлось блочить, отдавал ботам пустышку с javascript редиректом на рабочий сайт.
                                                                                                                                      0
                                                                                                                                      Можно прописать роуты. Несколько десятков тысяч роутов средняя машинка нормально довольно разруливает. роут на злобный ip черезщ 127.0.0.1
                                                                                                                                      Каналу, правда, может и не помочь. Тут, как вариант блочить страны, что в не в ЦА, если атака или часть атаки будет не из них. Настроить лимит запросов с одного ip итд. Соединения не будут приниматься и канал будет меньше засираться.
                                                                                                                                        0
                                                                                                                                        Да, это как вариант обработки без фаера очень хорошо себя зарекомендовал.
                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                  +28
                                                                                                                                  Жалко у них нет сайта, можно было бы накрыть хабраэффектом. :)
                                                                                                                                    0
                                                                                                                                    Сейчас поищу, мне кто-то такие услуги уже предлагал. Должны были письма в треше остаться.
                                                                                                                                      –1
                                                                                                                                      Что-то такое: ddzakaz@yahoo.com
                                                                                                                                        +6
                                                                                                                                        Яху не накрыть хабраэффектом =)
                                                                                                                                          +4
                                                                                                                                          Знают, где мыло хостить, сволочи.
                                                                                                                                      +9
                                                                                                                                      ddos за 10 тысяч рублей? Кризис чтоль?
                                                                                                                                      Накатать заяву в мастерхост во все отделы, а лучше выйти напрямую на их руководство. Пусть сами ловят того мудака-админа, который у них там зарабатывать пытается подобным образом.
                                                                                                                                        +8
                                                                                                                                        Брать ребят с УБОП и идти по следу денег. Налицо вымагательство, а еще группой лиц…
                                                                                                                                          +131
                                                                                                                                          идея! можно шантажировать хабраэффектом. все легально, никаких ботов. платите мне 10 000 рублей в месяц и я не буду размещать статью на хабре с адресом вашего сайта.
                                                                                                                                            –1
                                                                                                                                            Я согласен! Я не буду платить!
                                                                                                                                            Посетители лишними не бывают. Особенно с хабры :)
                                                                                                                                            +24
                                                                                                                                            Такое чувство, что текст писали дети.
                                                                                                                                              +4
                                                                                                                                              не у вас одного сложилось такое впечатление))
                                                                                                                                                0
                                                                                                                                                Скорее не дети, а люди, для которых русский — не родной язык (и причем тут китайцы с индусами?; Р )…
                                                                                                                                                  +1
                                                                                                                                                  Насяльника! Ддос, насяльника! Платить Жамщюта многа рублей!
                                                                                                                                                +5
                                                                                                                                                дети они всякие бывают… кто-то в 14 лет рвет всех на олимпиадах про программированию, а кто-то растит сеть ботов… в общем возраст не может быть критерием определения серьезности или несерьезности угрозы :(
                                                                                                                                                  +6
                                                                                                                                                  Я знаю людей, которые сначала побеждали в олимпиадах, а потом занимались порно-рассылками…
                                                                                                                                                    +6
                                                                                                                                                    — Света, как же ты стала валютной проституткой?!
                                                                                                                                                    — Повезло наверное…
                                                                                                                                                  +3
                                                                                                                                                  Очень похоже. 14-ти летние ксакепы, накопавшие скрипты для управления. Может и кошелек не догадались через прокс регистрировать? Писать в Яндекс нужно в любом случае.
                                                                                                                                                    –1
                                                                                                                                                    школота детектед!
                                                                                                                                                      0
                                                                                                                                                      Точняк студенты младшекурсники или школьники. Человек по-старше и по-умнее написал бы завуалировано, чтобы нельзя было докопаться за вымогательство
                                                                                                                                                      +3
                                                                                                                                                      Однако-ж.

                                                                                                                                                      >В назначенный час сайты подвергаются атаке и умирают. Хостеры мастерхост и русоникс — разводят
                                                                                                                                                      >руками, помощи от них нет.

                                                                                                                                                      Вы извините, но это подтверждённые данные?
                                                                                                                                                        –1
                                                                                                                                                        Совершенно
                                                                                                                                                          +1
                                                                                                                                                          Как-то сомнительно. Потому что по идее ложатся соседи по серверу. Или у вас выделенный?
                                                                                                                                                            0
                                                                                                                                                            нет был не выделенный. думаю, легли вместе с соседями. нас быстренько от них отселили, в случае мастерхоста.
                                                                                                                                                              +2
                                                                                                                                                              Похоже на хитрый способ апгрейда. :)
                                                                                                                                                              0
                                                                                                                                                              А выделенный лег также сразу )
                                                                                                                                                                +6
                                                                                                                                                                Могу сказать про masterhost (опыт «сотрудничества» около 3х лет).
                                                                                                                                                                Если ДДОСят виртуальный хост, то блокируют сайт и предлагают единственный вариант — переезд на выделенный сервер (а там уже сам разбираешься). Если ДДОСят сервер на colocation, то в лучшем случае заблокируют или UDP, или зарубежные IP (и то, после нескольких десятков писем в разные отделы и множества гневных звонков).

                                                                                                                                                                Более того, при ДДОСе нарушается соотношение входящего трафика к исходящему и бывает, что за час набегает пара сотен долларов за принятые гигабайты (посчитайте убытки недельной атаки), которые в любом случае придется платить, если не удастся выровнять до конца месяца (самый простой способ — запустить в ответ мощный UDP Flood).

                                                                                                                                                                Из договора:
                                                                                                                                                                3.3 При «паразитном» трафике (dos атака, иные злоупотребления третьих лиц по отношению к серверу, хостингу Абонента) трафик оплачивается в порядке, указанном в настоящем договоре.

                                                                                                                                                                Пример письма от MX:

                                                                                                                                                                Здравствуйте!

                                                                                                                                                                Уведомляю Вас, что огромным количеством запросов по протоколу HTTP к Вашему домену example.ru была вызвана критическая нагрузка на сервер виртуального хостинга, что могло крайне отрицательно сказаться на его работоспособности.

                                                                                                                                                                Мы вынуждены были отключить доступ по HTTP к данному домену.

                                                                                                                                                                Если у Вас есть информация о том, когда активность данных обращений спадет, просьба ее предоставить, после чего мы сможем включить сайт.

                                                                                                                                                                Также уведомляю Вас, что подобная нагрузка уже не первая, и при следующем таком инциденте будем вынуждены отключить домен example.ru без возможности включения на виртуальном хостинге, поскольку не можем рисковать работоспособностью серверов.

                                                                                                                                                                Всего доброго.
                                                                                                                                                                  0
                                                                                                                                                                  Так если, почти ничем не помогут? обидно ;(
                                                                                                                                                                    0
                                                                                                                                                                    вообще ничем
                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                  +1
                                                                                                                                                                  1-й платёж (10 000р.) должен быть совершён не позднее 31 августа.

                                                                                                                                                                  Тогда как это подтверждено?
                                                                                                                                                                0
                                                                                                                                                                Банить IP наврядли получится, т.к. это могут быть зараженные машины клиентов, т.е. если всех банить — забанятся посетители. Кошельки они создают скорей всего через прокси сервера, так что IP от яндекса ничего не даст. Можно договориться с Яндексом, чтобы по IP отследили способ вывода, хотя и там замыть следы не сложно… Yandex -> Money Bookers ->… -> какая-то пластиковая карта какой-то страны… Мде, грустно…
                                                                                                                                                                  +1
                                                                                                                                                                  Вполне возможно что программа яндекс.денех на стороне клиента может смотреть внешний ip.
                                                                                                                                                                  p.s. К сожалению не имел дела с яндекс.деньгами посему это чисто предположение.
                                                                                                                                                                    0
                                                                                                                                                                    Возможно… Но даже если может, эти люди хоть и пишут как дети, но так просто себя впоймать не дадут.
                                                                                                                                                                    Вполне возможно аккаунт яндекс денег создаётся из виртуальной машины, которая получает доступ в интернет через мост прокси серверов. Причем создание аккаунтов скорей всего поставлено на поток…
                                                                                                                                                                      0
                                                                                                                                                                      А что даёт виртуальная машина то?
                                                                                                                                                                        0
                                                                                                                                                                        Она каждый раз чистая?
                                                                                                                                                                          0
                                                                                                                                                                          А для зареганья в яденьгах надо иметь чистую винду? :)
                                                                                                                                                                            0
                                                                                                                                                                            Просто нет следов. NeonXPуже написал.
                                                                                                                                                                              0
                                                                                                                                                                              И как проявляется макадрес при регистрации в яденьгах?
                                                                                                                                                                                +1
                                                                                                                                                                                Ну не надо строить из себя идиота. Никак он не проявляется. Имеется ввиду, что на твоей машине нет следов того, что ты вообще когда-то был на яндексе.
                                                                                                                                                                                  0
                                                                                                                                                                                  Private browsing?
                                                                                                                                                                                    0
                                                                                                                                                                                    А где гарантии? С виртуалкой можно быть на 100% уверенным, насчет приватного режима не уверен.
                                                                                                                                                                          0
                                                                                                                                                                          Как минимум поддельный мак адрес и в случае чего инфу с неё легче уничтожить, чем с «большого брата». На самом деле просто предосторожность.
                                                                                                                                                                            +3
                                                                                                                                                                            Да, занимать шантажом в одной локалке с яндексом довольно ссыкотно :)
                                                                                                                                                                            –2
                                                                                                                                                                            нет привязки к железу (mac сетевухи, № винта). одно из немногих доказательств, если найдут
                                                                                                                                                                          0
                                                                                                                                                                          Возможно, что они сами и не создают аккаунтов.
                                                                                                                                                                          Недавно было на фрилансерском сайте объявление «Нужно создать 100 почтовых аккаунтов, оплата 5 руб./шт.» — большая вероятность, что тут что-то не чисто. Также может быть и с кошельками вполне.
                                                                                                                                                                            0
                                                                                                                                                                            Народ просто поспамить решил и к террористам никого отношения не имеют. ;)
                                                                                                                                                                              0
                                                                                                                                                                              Я это к тому, что подобного рода способ может использоваться и для регистрации кошельков. А к террористам и шантажисты из топика тоже отношения не имеют :)
                                                                                                                                                                            0
                                                                                                                                                                            ответ прост — vpn
                                                                                                                                                                            анаонимный vpn, все так же с зараженного компьютера, а дальше сверху еще проксик навешивается, а вообще можно еще сходить в интернет кафе, или в wi-fi зону. Вариантов куча, так же можно скинуть деньги на обменники, и за 30-40% очистить деньги и получиться уже на свой кашелек чистые деньги.
                                                                                                                                                                              0
                                                                                                                                                                              Да, ломать не строить…
                                                                                                                                                                            +2
                                                                                                                                                                            Не может — вся работа с Я.деньгами идет через веб-интерфейс
                                                                                                                                                                          +51
                                                                                                                                                                          Проверенный веками совет — никаких переговоров с шантажистами. Сразу бейте.
                                                                                                                                                                            +8
                                                                                                                                                                            По почкам
                                                                                                                                                                              +7
                                                                                                                                                                              ломом
                                                                                                                                                                                +30
                                                                                                                                                                                Урановым.
                                                                                                                                                                                  +20
                                                                                                                                                                                  Измазанным ртутью.
                                                                                                                                                                                    +2
                                                                                                                                                                                    и утопить там вместе с ними
                                                                                                                                                                              –21
                                                                                                                                                                              Один не будет вести переговоров. А второй заплатит, чем и простимулирует вымогателей к дальнейшим действиям.
                                                                                                                                                                              Поэтому здравый смысл подсказывает: «Заплати и живи спокойно»

                                                                                                                                                                              Хотя за такое надо вешать публично.
                                                                                                                                                                                +4
                                                                                                                                                                                Нет, не может *здравый* смысл подсказывать «стань лохом» :)
                                                                                                                                                                              –4
                                                                                                                                                                              Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно.
                                                                                                                                                                              Внимание! Начиная с 26-го августа ссылка на Ваш сайт будет размещена на Хабре, а сам сайт подвергнут хабраэффекту. И всё, пиши-пропало!
                                                                                                                                                                                +8
                                                                                                                                                                                свой сервак + грамотный админ
                                                                                                                                                                                  +13
                                                                                                                                                                                  [irony]тоже будет лежать. но лежать будет красиво, брыкаясь и сопротивляясь :)[/irony]
                                                                                                                                                                                    0
                                                                                                                                                                                    Ну это смотря кто админ ;)
                                                                                                                                                                                  –4
                                                                                                                                                                                  Хм, наверно поэтому я на vremenno.net зайти не могу. Парни как раз на мастерхосте хостятся. Жаль 8(

                                                                                                                                                                                  Будет интересно прочитать чем все закончилось и какие действия предпринимались.
                                                                                                                                                                                    0
                                                                                                                                                                                    Причин неработоспособности сайта может быть масса.
                                                                                                                                                                                    +5
                                                                                                                                                                                    Кстати, ещё вариант — связаться с Яndex-деньги и пусть те блокируют кошелёк. Если во всех случаях поступать так, а не чесать репу, то сей вид промысла сдохнет сам собой.
                                                                                                                                                                                    Я уже не раз это говорил — не надо платить всей этой сволочи — тем, кто заказывает спам-рекламу, кибесквоттерам, такой вот забавной херне как в теме поста. Вымрут как динозавры.
                                                                                                                                                                                      0
                                                                                                                                                                                      А при личной встрече еще неплохо бы наносить травмы, желательно без свидетелей.
                                                                                                                                                                                        +4
                                                                                                                                                                                        Или же заранее оповестить окружающих кто это, тогда свидетели присоеденятся и будут говорить что он сам накинулся.
                                                                                                                                                                                          +5
                                                                                                                                                                                          Почему-то напомнило www.xkcd.ru/562/
                                                                                                                                                                                            +1
                                                                                                                                                                                            >… тогда свидетели присоеденятся и будут говорить что он сам накинулся.

                                                                                                                                                                                            Из милицейского протокола: "… и тогда он разозлился и 38 раз ударил почками по ногам присутствовавших рядом людей..."
                                                                                                                                                                                              0
                                                                                                                                                                                              И ничего прикольного. Весной моего соседа судили — пьяный вдрабадан побил двух здоровых, трезвых ментов. И ведь осудили… Мальчик щюпленький, из спорта тока пивболом занимался… Причем у ментов была справка от медиков, что никаких повреждений не обнаружено и полное отсутствие свидетелей…
                                                                                                                                                                                                0
                                                                                                                                                                                                А теперь вопрос: какая связь между ментовским беспределом (из Вашего рассказа) и праведным народным гневом, обращённый против того, кто это заслуживает более, чем полностью (из моего «рассказа»)?
                                                                                                                                                                                                  0
                                                                                                                                                                                                  А какая связь вашего «38 ударов» с этой темой тогда?

                                                                                                                                                                                                  Причем беспредел тут явно не ментовской, а судебный. Я говорила-то о том, что у нас в суде правды не найдешь, даже если все бумажки будут за тебя.
                                                                                                                                                                                                    –1
                                                                                                                                                                                                    Ну, если Вы не видите связи «38 ударов» с цитатой из того же поста — то у меня вопросов больше нет.
                                                                                                                                                                                          +2
                                                                                                                                                                                          Кошелек, скорее всего, индивидуальный для каждого клиента (я бы так делал — так безопаснее). И на счету там 0.000 Если такой кошелек заблокируют, то шантажисты просто станут злее.