Наш сайт Вкладер с 23 января 2020 года атакуют злоумышленники с переменным успехом. С помощью специалиста по компьютерной безопасности удалось выяснить, кому принадлежат сервера, с которых шла атака.
Поведение отдельного IP-адреса во время атаки в целом можно расценить как похожее на поведение пользователей (если не знать контекста), но в массе с огромным числом подобных обращений это создаёт избыточную нагрузку и временами рушит сайт.
Мы заметили, что многие зловредные IP принадлежат российской структуре с указанным адресом для жалоб abuse@pinspb.ru.
На сайте pinspb расположено Общество с ограниченной ответственностью «Петербургская Интернет Сеть» (ООО «ПИН»; ОГРН 1077847448997 от 14.06.2007; Юридический адрес: 192289, Санкт-Петербург, ул. Малая Балканская, д. 58; Почтовый адрес 192171, Санкт-Петербург, ул. Седова, д.80, лит. А, оф. 30).
Согласно государственным базам, владельцем 100% компании является Метлюк Николай Валерьевич. Он же с 2007 года выступает генеральным директором.
Недавно Николай Метлюк выступал на конференции Comnews (руководитель Леонид Коник).
В качестве сотрудников ПИН указаны Вера Метлюк, Евгений Струков, Сергей Стополянский, Анастасия Антоненкова.
6 февраля мы обратились по адресу abuse@pinspb.ru с просьбой принять меры, чтобы злоумышленники не атаковали нас с IP, принадлежащих компании. В ответ нас попросили прислать IP-адреса участников атаки.
Мы дали данный список (далеко не полный):
- 37.9.45.0 — 37.9.45.255
- 5.8.46.0 — 5.8.46.127
- 5.189.205.0 — 5.189.205.127
- 5.8.44.0 — 5.8.44.127
- 37.9.46.0 — 37.9.46.255
- 5.101.222.128 — 5.101.222.255
- 193.93.195.0 — 193.93.195.255
- 5.189.207.128 — 5.189.207.255
- 91.243.90.128 — 91.243.90.255
- 91.243.91.128 — 91.243.91.255
- 5.188.217.0 — 5.188.217.255
- 91.243.91.128 — 91.243.91.255
- 5.188.219.0 — 5.188.219.255
- 5.101.219.128 — 5.101.219.255
- 5.189.206.128 — 5.189.206.255
Ответ был такой:
«Здравствуйте!
К Вашей заявке службой поддержки было оставлено сообщение:
"Здравствуйте.
Этот диапазон ip принадлежит нам, но теперь он арендован и анонсирован AS50896. Ссылка на базу данных RIPE по данным текущего владельца:
https://apps.db.ripe.net/db-web-ui/query?bflag=true&dflag=false&rflag=true&searchtext=AS50896&source=RIPE.
P.S. При переписке, пожалуйста, сохраняйте цитирование.
Если у Вас есть жалобы на работу наших служб или сотрудников,
пожалуйста, направляйте претензии на адрес: support@pinspb.ru
===================================================
С Уважением, Служба Техподдержки Pin!
старший специалист сектора технической поддержки ЦОД Лакомый Алексей Александрович
-------------------------------------------------
ООО "Петербургская Интернет Сеть"
192171, Санкт-Петербург, ул. Седова, д.80
Email: support@pinspb.ru - Web: http://www.pinspb.ru
Tel: (812)677-25-25, (495)721-84-58 -- Fax: (812)309-39-16".
То есть ООО «Петербургская Интернет Сеть» признало, что IP принадлежат ей, но не считает проблемой, что с её оборудования совершается уголовное преступление (статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»).
Что же это за AS50896?
В качестве ответственной организации указан Trusov Ilya Igorevych (Трусов Илья Игоревич), контакт для жалоб: abusemail@depo40.ru. Мы 7 февраля написали по данному адресу, но ответа не получили.
При этом данный субъект указан и в массе других IP, которые атаковали сайт в январе-феврале 2020 года. Так, email указан как контактный для некой сети QUALITYNETWORK. Контакты даны следующие:
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
phone: +35722007451
nic-hdl: GS19550-RIPE
mnt-by: QNSC
created: 2017-07-31T17:49:28Z
last-modified: 2018-01-20T19:02:47Z
В данных IP указаны следующие контакты Трусова Илья Игоревича: Trusov Ilya Igorevych; address: Moscow Street 258, office 16; 248021; Kaluga; phone: +79533100064; Kaluga Data Center Depo; Калуга, Московская улица, дом 258, офис 16). В базе данных указан email iluxa85@inbox.ru.
Сеть состоит из огромного числа IP, и на неё в интернете много жалоб за спам и вредительские действия на сайтах.
В атаке участвовали, в частности, IP из следующих диапазонов:
- 185.46.84.0 — 185.46.87.255
- 193.93.194.0 — 193.93.195.255
- 91.216.3.0 — 91.216.3.255
- 185.46.87.128 — 185.46.87.255
- 185.46.85.128 — 185.46.85.255
Также мы заметили, что многие IP имеют Abuse contact ‘abuse@quality-network.eu’ и пожаловались туда 7 февраля, не получив ответа. Это IP из диапазонов:
- 188.68.0.0 — 188.68.0.254
- 185.13.32.128 — 185.13.32.255
- 185.101.70.0 — 185.101.70.255
- 5.62.158.0 — 5.62.158.255
- 95.181.182.0 — 95.181.182.255
- 5.62.158.0 — 5.62.158.255
- 95.181.182.0 — 95.181.182.255
- 5.62.159.0 — 5.62.159.255
- 79.133.107.0 — 79.133.107.254
- 5.62.152.0 — 5.62.152.254
- 185.101.68.0 — 185.101.68.255
- 95.181.183.0 — 95.181.183.127
- 79.133.106.128 — 79.133.106.255
- 79.133.106.0 — 79.133.106.127
- 95.181.182.0 — 95.181.182.255
Для этой сети указано имя QUALYTYNETWORK, адрес на Сейшельских островах (person: QUALITY NETWORK CORP; address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12; phone: +35722007451) и тот же самый origin: AS50896.
В атаках также участвовали:
origin: AS200557
Abuse contact: abuse@atomohost.com
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
В частности, вот IP адреса из этих диапазонов (далеко не все).
91.204.15.0 — 91.204.15.127
185.89.101.128 — 185.89.101.255
185.89.100.128 — 185.89.100.255
79.110.31.0 — 79.110.31.127
91.204.14.128 — 91.204.14.255
91.204.15.0 — 91.204.15.127
origin: AS35624
Abuse contact: abuse@fitz-isp.uk
organisation: ORG-FIL15-RIPE
person: Aleksei Filippenko
origin: AS206485
origin: AS200557
Abuse contact: noc@finetransit.eu
org-name: FineTransit OU
origin: AS206485
Abuse contact: abuse@fast-telecom.net’
role: Qualitynetwork OU
address: Estonia pst 5-309B
origin: AS49453
Abuse contact: abuse@fast-telecom.net
role: Qualitynetwork OU
address: Estonia pst 5-309B
origin: AS50896
% Abuse contact for ‘212.60.20.0 — 212.60.21.255’ is ‘abuse@fitz-isp.uk’
org-name: FITZ ISP LTD (20-22 Wenlock Road, London, England, person: Aleksei Filippenko, Алексей Филиппенко).
В завершение хочется попросить Николая Метлюка, Илью Трусова и других уполномоченных персон прекратить сдавать сервера в аренду злоумышленникам, вероятно, анонимным.
