[Проблема] DDoS-атака и выявленные атакующие

[iDead]

Цитата:

Сообщение от Rustam Gaptulin

14 числа вечером на мой IP адрес 81.95.2хх.ххх была совершенна ддос атака. IP атакующего был 88.214.205.237 За пару часов у меня были истрачены лимит трафика в 2000 мб и $30. В этот момент связался с представителями Саркора. IP атакующего был заблокирован. Спасибо Саркору, состояние моего аккаунта восстановили.. По IP адресу был обнаружен хостинг, который обслуживает украинская компания. Позвонил к ним, вредоносный скрипт нашли и отключили. После некоторых уговоров получил IP пользователя, который регистрировал и оплачивал аккаунт. Аккаунт был создан 4 июня в 18.32 (время примерное) с IP адреса 89.236.2xx.x (провайдер TPS, IP адреса у ТПС в основном статичные). Хостер подтвердил, что может выслать данные официально в случае запроса из соответствующих органов.

А можно по-подробнее рассказать что произошло? Например, я не совсем понял:
1. Что за объект был атакован - вебсервер или домашний компьютер? И в чем конкретно заключалась атака?

2. И какой конкретно физический или софтверный урон причинила эта атака компьютеру? Т.е. что конкретно было повреждено?

3. Если будете обращаться в РОВД, то какое заявление планируете дать - заявление о том, что ваш компьютер был атакован или заявление с обвинением конкретного лица в предумышленных неправомерных действиях по отношению к вашему имуществу?

[Rustam Gaptulin]

Цитата:

Сообщение от iDead

1. Что за объект был атакован - вебсервер или домашний компьютер? И в чем конкретно заключалась атака?

Можно сказать домашний сервер, на котором работают некоторые сервисы критичные как для меня лично, так и для компании где я работаю.

Атака заключалась в посылке большого количества пакетов на порты 25 и 3306, что приводило к забиванию моего интернет канала, и подсчету этих пакетов билингом, как входящий трафик. Следовательно за пару часов мне накрутили около 4 гигабайт. Из них примерно 2000-2500 - мой трафик + 30 $ что лежали на счету. В момент атаки, пока представители Саркора не заблокировали IP адрес атакующего, я не мог пользоваться доступом в сеть с нормальной скоростью. Также была нарушена работа ряда программ связанных с моей работой.

Вот график, во сколько у меня увеличился трафик по показаниям персонального кабинета
http://rascal.xnet.uz/test/tmp6BD7.tmp.png

[Dolphin]

Цитата:

Сообщение от Rustam Gaptulin

Можно сказать домашний сервер, на котором работают некоторые сервисы критичные как для меня лично, так и для компании где я работаю.

Вы это саркору не говорите. Использование домашнего тырнета для решения корпоративных целей имхо запрещено офертой.

[Rustam Gaptulin]

Цитата:

Сообщение от Dolphin

Вы это саркору не говорите. Использование домашнего тырнета для решения корпоративных целей имхо запрещено офертой.

Цели решаются больше мои, для моего удобства, чтоб не мотаться постоянно в офис, если что то нужно изменить или подправить

[alisherk]

Цитата:

Сообщение от Rustam Gaptulin

Вот график, во сколько у меня увеличился трафик по показаниям персонального кабинета
http://rascal.xnet.uz/test/tmp6BD7.tmp.png

это входящий или исходящий трафик?

[Rustam Gaptulin]

Цитата:

Сообщение от alisherk

это входящий или исходящий трафик?

Входящий конечно. Оба графика - входящий трафик. Один по показаниям кабинета, второй по локальному подсчёту

[iDead]

Цитата:

Сообщение от Rustam Gaptulin

Можно сказать домашний сервер, на котором работают некоторые сервисы критичные как для меня лично, так и для компании где я работаю.

Домашний сервер... А на этот сервер можно было зайти извне? Т.е. был ли на нем сайт или какая-нибудь другая услуга, которая позволяла удаленному пользователю посещать ваш сайт или что-нибудь другое на вашем сервере? (И какая ОС там стояла. )

[Rustam Gaptulin]

Цитата:

Сообщение от iDead

А на этот сервер можно было зайти извне?

Какая разница? Это ни как не влияет на выполнение DOS атаки, так же и какая ОС на нем стоит. До Компьютера пакеты вообще не дошли, так как дропались роутером. В данном случае, даже если бы компьютер был выключен, но роутер включен (сессия поднимается на нем) этого уже было бы достаточно для совершения на меня атаки.

[iDead]

Цитата:

Сообщение от Rustam Gaptulin

Какая разница? Это ни как не влияет на выполнение DOS атаки, так же и какая ОС на нем стоит. До Компьютера пакеты вообще не дошли, так как дропались роутером.

Дело в том, что если там стоял сайт, то DoS атака могла получится неумышленной. Хотя в вашем случае - навряд ли, так как уже скрипт нашли и все пакеты шли именно через один IP. Кстати что за скрипт там был? Если прокси, а у вас комп-вебсервер с сайтом, то теоретически могло зайти много пользователей через один и тот же IP. Но это, так чисто теоретически. Если за пару часов вам накрутили 4 Гбайта, то следовательно, мощность испытанной вами DoS атаки составляет 4Гбайт/(2часа) = 4.55 Мбит/сек. На мой взгляд, не такая уж маленькая атака - эквивалентно атаке ~35 пользователей, если верить википедии.

[Rustam Gaptulin]

Цитата:

Сообщение от iDead

Кстати что за скрипт там был?

Что за скрипт хостер не сказал, но не прокси скрипт. Вебсервера не держу. какой смысл создавать Веб прокси на php чтобы зайти на ресурс в Узбекистане ? Когда в нете их куча.