Метка: DDOS

Идёт атака

Пол-месяца сайт https://vklader.com/, где опубликованы сотни разоблачений финансовых мошенников, подвергается атакам злоумышленников.

Поэтому временами скорость открытия сайта низкая, а часть добросовестных IP могли попасть в бан в результате срабатывания правил.

Если у вас не открывается сайт, сообщите, пожалуйста, свой IP для разбана и более тонкой настройки правил защиты.

Если говорить про направления атак, то регулярно в описаниях злоумышленных IP встречались следующие названия и коды:

AS62282
UAB Rakrejus
Net-finegroupservers-2
FINE GROUP SERVERS SOLUTIONS LLC
Ilya Bulavkin
Bulavkin Ivan Aleksandrovitch (Булавкин Илья Александрович)
AS36352
ColoCrossing
AS46844
Sharktech
QUALYTINETWORK
QualityNetwork OU
Trusov Ilya Igorevych (Трусов Илья Игоревич)
AS206485
UGB Hosting OU
TrafficTransitSolution LLC
AS57172
Global Layer B.V.

Николай Метлюк, Илья Трусов и атака на Вкладер

Наш сайт Вкладер с 23 января 2020 года атакуют злоумышленники с переменным успехом. С помощью специалиста по компьютерной безопасности удалось выяснить, кому принадлежат сервера, с которых шла атака.

Поведение отдельного IP-адреса во время атаки в целом можно расценить как похожее на поведение пользователей (если не знать контекста), но в массе с огромным числом подобных обращений это создаёт избыточную нагрузку и временами рушит сайт.

Мы заметили, что многие зловредные IP принадлежат российской структуре с указанным адресом для жалоб abuse@pinspb.ru.

На сайте pinspb расположено Общество с ограниченной ответственностью «Петербургская Интернет Сеть» (ООО «ПИН»; ОГРН 1077847448997 от 14.06.2007; Юридический адрес: 192289, Санкт-Петербург, ул. Малая Балканская, д. 58; Почтовый адрес 192171, Санкт-Петербург, ул. Седова, д.80, лит. А, оф. 30).

Согласно государственным базам, владельцем 100% компании является Метлюк Николай Валерьевич. Он же с 2007 года выступает генеральным директором.

Недавно Николай Метлюк выступал на конференции Comnews (руководитель Леонид Коник).

В качестве сотрудников ПИН указаны Вера Метлюк, Евгений Струков, Сергей Стополянский, Анастасия Антоненкова.

6 февраля мы обратились по адресу abuse@pinspb.ru с просьбой принять меры, чтобы злоумышленники не атаковали нас с IP, принадлежащих компании. В ответ нас попросили прислать IP-адреса участников атаки.

Мы дали данный список (далеко не полный):

  • 37.9.45.0 — 37.9.45.255
  • 5.8.46.0 — 5.8.46.127
  • 5.189.205.0 — 5.189.205.127
  • 5.8.44.0 — 5.8.44.127
  • 37.9.46.0 — 37.9.46.255
  • 5.101.222.128 — 5.101.222.255
  • 193.93.195.0 — 193.93.195.255
  • 5.189.207.128 — 5.189.207.255
  • 91.243.90.128 — 91.243.90.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.217.0 — 5.188.217.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.219.0 — 5.188.219.255
  • 5.101.219.128 — 5.101.219.255
  • 5.189.206.128 — 5.189.206.255

Ответ был такой:

«Здравствуйте!

К Вашей заявке службой поддержки было оставлено сообщение:

"Здравствуйте.

Этот диапазон ip принадлежит нам, но теперь он арендован и анонсирован AS50896. Ссылка на базу данных RIPE по данным текущего владельца:

https://apps.db.ripe.net/db-web-ui/query?bflag=true&dflag=false&rflag=true&searchtext=AS50896&source=RIPE. 


P.S. При переписке, пожалуйста, сохраняйте цитирование.
Если у Вас есть жалобы на работу наших служб или сотрудников,
пожалуйста, направляйте претензии на адрес: support@pinspb.ru

===================================================
С Уважением, Служба Техподдержки Pin!
старший специалист сектора технической поддержки ЦОД Лакомый Алексей Александрович
-------------------------------------------------
ООО "Петербургская Интернет Сеть"
192171, Санкт-Петербург, ул. Седова, д.80
Email: support@pinspb.ru - Web: http://www.pinspb.ru
Tel: (812)677-25-25, (495)721-84-58 -- Fax: (812)309-39-16".

То есть ООО «Петербургская Интернет Сеть» признало, что IP принадлежат ей, но не считает проблемой, что с её оборудования совершается уголовное преступление (статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»).

Что же это за AS50896?

В качестве ответственной организации указан Trusov Ilya Igorevych (Трусов Илья Игоревич), контакт для жалоб: abusemail@depo40.ru. Мы 7 февраля написали по данному адресу, но ответа не получили.

При этом данный субъект указан и в массе других IP, которые атаковали сайт в январе-феврале 2020 года. Так, email указан как контактный для некой сети QUALITYNETWORK. Контакты даны следующие:

person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
phone: +35722007451
nic-hdl: GS19550-RIPE
mnt-by: QNSC
created: 2017-07-31T17:49:28Z
last-modified: 2018-01-20T19:02:47Z

В данных IP указаны следующие контакты Трусова Илья Игоревича: Trusov Ilya Igorevych; address: Moscow Street 258, office 16; 248021; Kaluga; phone: +79533100064; Kaluga Data Center Depo; Калуга, Московская улица, дом 258, офис 16). В базе данных указан email iluxa85@inbox.ru.

Сеть состоит из огромного числа IP, и на неё в интернете много жалоб за спам и вредительские действия на сайтах.

В атаке участвовали, в частности, IP из следующих диапазонов:

  • 185.46.84.0 — 185.46.87.255
  • 193.93.194.0 — 193.93.195.255
  • 91.216.3.0 — 91.216.3.255
  • 185.46.87.128 — 185.46.87.255
  • 185.46.85.128 — 185.46.85.255

Также мы заметили, что многие IP имеют Abuse contact ‘abuse@quality-network.eu’ и пожаловались туда 7 февраля, не получив ответа. Это IP из диапазонов:

  • 188.68.0.0 — 188.68.0.254
  • 185.13.32.128 — 185.13.32.255
  • 185.101.70.0 — 185.101.70.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.159.0 — 5.62.159.255
  • 79.133.107.0 — 79.133.107.254
  • 5.62.152.0 — 5.62.152.254
  • 185.101.68.0 — 185.101.68.255
  • 95.181.183.0 — 95.181.183.127
  • 79.133.106.128 — 79.133.106.255
  • 79.133.106.0 — 79.133.106.127
  • 95.181.182.0 — 95.181.182.255

Для этой сети указано имя QUALYTYNETWORK, адрес на Сейшельских островах (person: QUALITY NETWORK CORP; address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12; phone: +35722007451) и тот же самый origin: AS50896.

В атаках также участвовали:

origin: AS200557
Abuse contact: abuse@atomohost.com
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
В частности, вот IP адреса из этих диапазонов (далеко не все).
91.204.15.0 — 91.204.15.127
185.89.101.128 — 185.89.101.255
185.89.100.128 — 185.89.100.255
79.110.31.0 — 79.110.31.127
91.204.14.128 — 91.204.14.255
91.204.15.0 — 91.204.15.127

origin: AS35624
Abuse contact: abuse@fitz-isp.uk
organisation: ORG-FIL15-RIPE
person: Aleksei Filippenko

origin: AS206485
origin: AS200557
Abuse contact: noc@finetransit.eu
org-name: FineTransit OU

origin: AS206485
Abuse contact: abuse@fast-telecom.net’
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS49453
Abuse contact: abuse@fast-telecom.net
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS50896
% Abuse contact for ‘212.60.20.0 — 212.60.21.255’ is ‘abuse@fitz-isp.uk’
org-name: FITZ ISP LTD (20-22 Wenlock Road, London, England, person: Aleksei Filippenko, Алексей Филиппенко).

 

В завершение хочется попросить Николая Метлюка, Илью Трусова и других уполномоченных персон прекратить сдавать сервера в аренду злоумышленникам, вероятно, анонимным.

КПК «Максимум» проиграл суд и ликвидируется

Арбитражный суд города Москвы отклонил иск КПК «Максимум» к сайту «Вкладер».

КПК хотел удалить с сайта следующие публикации:

Истец ссылался на то, что материалы не соответствуют действительности и порочат деловую репутацию самого КПК и председателя правления Юзефович Алисы Юрьевны.

Однако фактов несоответствия действительности (не говоря уже о доказательствах) КПК «Максимум» в своём иске не привёл, да и в суд его представитель не явился.

А почему таких фактов не было приведено?

Просто их в публикациях нет. Обе содержат исключительно факты, каждый из которых «Вкладер» может подтвердить.

Естественно, судья Ольга Козленкова не могла удовлетворить такой иск.

Материалы о DDOS-атаках и шантаже с требованием убрать публикацию ещё 1 февраля 2019 года сайт передал в полицию. Однако информация о заведении уголовного дела так и не получена.

В октябре 2019 года КПК «Максимум» принял решение самоликвидироваться, о чём появилась запись в ЕГРЮЛ.

Публикации, о которых речь в иске:

Алиса Юзефович, хакеры и шантажисты

КПК «Максимум»: не рекомендуем

Ларсон Хольц и атака на Вкладер за честные отзывы

Вкладер получил анонимную угрозу 24 сентября:

«Здравствуйте, у вас есть время до завтрашнего дня, чтобы удалить статью https://vklader.com/skripkin/».

Ранее аноним предлагал деньги за снятие данного материала, речь в котором идёт о нападении с топором клиента форекс-кухни на лиц, обманувших его в Петербурге.

Чем так отличается этот текст от других публикаций про «нового Раскольникова»?

В нём есть имена и фотографии людей, причастных к форекс-кухне Larson&Holz (Ларсон Хольц), где люди массово лишаются своих сбережений в последние годы.

Это один из руководителей Larson&Holz Александр Афанасьевич Смирнов, пострадавшие от топора Павел Чепеленко и Владимир Кузовлев, аналитик Larson&Holz Дмитрий Инсафович Салахов, эксперт Larson&Holz Олег Дмитриев.
25 сентября началась атака на сайт, в силу чего он может временно быть недоступен. Поэтому дублируем публикацию на Medium.

Оригинал: https://vklader.com/skripkin/

Дубль: https://link.medium.com/2qiK74iBg0

Честные отзывы о Ларсон Хольтс:

Larson & Holz: негативные отзывы. Не связывайтесь!

Larson & Holz (ТКС): как обманули пенсионеров

Larson&Holz, Рустам Каримжанович, Полина Ильченко, Валентина Валентиновна