About

Я не считаю себя Специалистом по Безопасности. И даже не стремлюсь им быть. У меня совершенно иные интересы.

Но.

Ежедневно приходится выгребать ведрами эту бестолочь и ставить новые фильтры. Но имя им – Легион, и меньше их не становится. Поэтому в какой-то момент появилась идея публиковать информацию об источниках проявления угрозы.

Допускаю, что многие подвергнут меня критике и будут утверждать, что просто необходимо нужным и правильным образом устанавливать и настраивать защиту на серверах, ограничить доступ только с определенных адресов, фильтровать по диапазонам, и т.д.

Да, конечно. Но давайте взглянем несколько иначе: не запертая на засов дверь – еще не повод вломиться в чужую квартиру.

Безусловно, я против безрассудной беспечности, граничащей с провоцированием окружающих на низменные поступки, но тем не менее, мне гораздо симпатичнее Мир, в котором присутствует Честь и Достоинство.

P.S.
а звание ХАКЕР – надо еще заслужить!




  • 

    About: 12 комментариев

    1. Ознакомился с сайтом. Скажу так: не очень грамотно публиковать просто IP-адреса или диапазоны. Не секрет же, что многие IP-адреса динамические, поэтому для поиска хулигана необходимы данные о дате и времени атаки, и желательно выписку из лог-файла.
      Если Автор сайта хочет помочь в поиске негодяев, то могу дать рекомендации, как организовать работу.

      P.S. с приветом из солнечного города.

      1. Спасибо за проявленный интерес к этому проекту.

        Да, возможно, что структура сайта не сразу становится понятна, но – она вполне логична и при этом проста.
        И каждая запись о конкретном IP адресе имеет практически все необходимые атрибуты о которых Вы говорите.

        Например:
        BlackList IP Digest: 2015.07.27
        Рассмотрим в ней 2 IP адреса Томского провайдера Сибирьтелеком.
        95.191.18.21
        95.191.26.5

        Прежде всего – дата указана в самом заголовке поста.
        Оба адреса опубликованы в разделе FTP BruteForce. А это значит, что 27 июля была попытка брутфорс атаки FTP сервера.

        Если зайти с другой стороны, и рассмотреть сами записи по этим IP, то мы мы видим, что в посте о http://fackers.ru/95-191-18-21/ указано:
        Дата и Метки Sibirtelecom + BruteForce: FTP. т.е. видно кто и что делал. (метка Sibirtelecom – откроет целевую выборку скомпрометированных IP этого бренда)

        Если в качестве примера взять IP адрес 78.186.70.126 то видно, что он в разделе xScan (Scan Attempts: System & Plugins) – Попытки сканирования системы и плагинов. И более того, тут же указаны сами запросы из логов – сигнатуры идентификации как зловредные по отношению к конкретному серверу (и скорее всего к большому количеству других серверов в интернете):
        /administrator
        /admin.php
        /bitrix/admin
        /admin/login.php
        /admin
        /user

        – это такой примитивный совсем способ ботнета тупо потыкать связкой отмычек, а вдруг – подойдет? И после этого видимо жертва будет помечена для дальнейших с ней активных действий. Хотя сами по себе – это совершенно нормальные запросы. Нe нет у меня Bitrix…
        * На разовые сигнатурные запросы мы не обращаем внимание, т.к. всегда может иметь место элементарная ошибка. Поэтому, чтобы попасть в наш Дайджест – необходимо проявить определенную активность.

        А рассматривая подробно этот IP адрес, можно видеть, что его Метка: “Scan Attempt: System”, что ведет к расширенному описанию http://fackers.ru/statistics/system/ где перечислены все уникальные запросы, идентифицированные как зловредные.

        Безусловно, со временем сайт приобретет более дружественный интерфейс.

        Что касается динамических адресов.
        Когда имеется 100% уверенность, что IP адрес входит в диапазон динамических пулов, то он автоматически игнорируется и не публикуется.
        Такие IP диапазоны представлены на странице White List
        Это то, что удалось найти в открытом доступе.

        С недавних пор мы отдельно помечаем “хороших ботов”, которые замечены в неких подозрительных делишках. Например: Googlebot 66.249.65.192 настойчиво ищет на всех мониторинговых сайтах плагин wordpress-file-monitor, хотя его там нет.
        Такие IP не попадают в списки блокировки, мы их также не блокируем, т.к. это может привести к проблемам в поисковой выдаче. Но знать об этом не помешает.
        Аналогично таким ботам, будем публиковать но не блокировать IP из динамических пулов. Возможно, будет интересно посмотреть регионы и места обитания тех или иных популяций КулХацкеров.

        А пока, что можно посмотреть общий рейтинг Top-20. на главной странице.

        И мы точно не ставим себе задачу – “поиск хулиганов”. Это не наша функция.
        При всех проблемах, которые нам доставляет Свободный Интернет, мы тем не менее выступаем за то, чтобы он таким и оставался. Необходимо лишь уметь предохраняться.
        Мы информируем и даем возможность всем желающим скачивать у нас бесплатно готовые списки для блокировки ненужного сегмента аудитории.

        Мы допускаем, что может быть некоторая избыточность. Но каждый сам может выборочно взять для себя только часть этих списков. Тем более, что они классифицированы по протоколам.

    2. Крайне желательно также наличие информации о конкретном времени атаки (часы, минуты, секунды), а не только дата. По-возможности добавьте эти параметры.

    3. Ваше пожелание вполне понятно и разумно.

      И несколько раз я уже думал на эту тему.
      Но смотрите, если речь идет о злоумышленных действиях, об атаке, то необходимо говорить о начале ее и конце . Причем этот интервал времени может быть значительным и /или быть на границе двух дат.
      Более того, иногда это может быть несколько серий коротких но интенсивных атак в течении суток (видимо, с целью определения оперативности реагирования и настроек фильтров)

      И как в таком случае представлять эту информацию в простом и удобном для восприятия виде?

      Публиковать логи? )))

      Вообщем, поиск разумного решения продолжается.
      Спасибо, за Ваш интерес.

    4. http://stopddos.ru/current/ незнаю как у вас устроено но список ддос ипов маловат как мне кажется вот на етом сайте только на нг в рф 50 ипов выложели и так как рас логи есть вроде как считаю что можно сделать раздел в котором выкладывать инфу с других сайтов по ддосам и тд пакостям + раздел в котором смогут выкладывать люди свои логи атак с адресами которые гадят и тд

      1. просто у меня были файлы которые еле еле нашел в инете по етому самому делу вот етот сайт стоп ддос и ваш когда нарыл радости небыло предела ато я целый день по инету рыскал писал блок ип блок лист и тд варианты как может блокнот выглядеть нашел тока ети 2 сайта и пару личных сайтов 2009 года и 2011 с 200к адресами ботнетов но там ссылки мертвые уже

      2. Публиковать инф. пусть даже очень полезную, но с других сайтов – наверное всё таки не правильно. Как минимум, владельцы этой информации обидятся.

        Мы публикуем только то, что непосредственно коснулось нас самих. Сколько есть – столько есть. Хорошо это или плохо.
        Когда становится слишком много, то это повод задуматься и что-то изменить.
        Когда становится слишком мало, то вполне возможно, что мы просто стали никому не интересны )). Или же мы что-то упустили и нас уже имеют…

        Что касается отдельного раздела, в котором любой сможет публиковать свои списки / логи – то спасибо за предложение. Принято. Постараемся запустить в самое ближайшее время.

    5. Было бы удобно маленькое API по выгрузке, а может и загрузке логов.
      Полно такой же грязи.
      Если в API добавить возможность выдавать широковещательные аллерты в реал-тайм, можно будет подключать сторонние инструменты (облачные) для временных блокировок или ответок для особенно ретивых ломщиков.

      1. Да Вы правы безусловно.
        Пару версий прототипов уже есть, но пока не готов представить – самому не нравится.
        Но надеюсь, что получится. Спасибо.

    6. Но что делать если твой аккаунт взломала эта компания. Я ничего плохого не делал. Но бывший работник как он говорит взломал мой аккаунт стим. Что мне делать?

    7. American here who doesn’t understand Russian BUT I wanted to tell you that I appreciate what you’re doing here! I am using your list on my firewall. Thank you!

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *