Рубрика: Безопасность

Наш сайт Вкладер с 23 января 2020 года атакуют злоумышленники с переменным успехом. С помощью специалиста по компьютерной безопасности удалось выяснить, кому принадлежат сервера, с которых шла атака.

Поведение отдельного IP-адреса во время атаки в целом можно расценить как похожее на поведение пользователей (если не знать контекста), но в массе с огромным числом подобных обращений это создаёт избыточную нагрузку и временами рушит сайт.

Мы заметили, что многие зловредные IP принадлежат российской структуре с указанным адресом для жалоб abuse@pinspb.ru.

На сайте pinspb расположено Общество с ограниченной ответственностью «Петербургская Интернет Сеть» (ООО «ПИН»; ОГРН 1077847448997 от 14.06.2007; Юридический адрес: 192289, Санкт-Петербург, ул. Малая Балканская, д. 58; Почтовый адрес 192171, Санкт-Петербург, ул. Седова, д.80, лит. А, оф. 30).

Согласно государственным базам, владельцем 100% компании является Метлюк Николай Валерьевич. Он же с 2007 года выступает генеральным директором.

Недавно Николай Метлюк выступал на конференции Comnews (руководитель Леонид Коник).

В качестве сотрудников ПИН указаны Вера Метлюк, Евгений Струков, Сергей Стополянский, Анастасия Антоненкова.

6 февраля мы обратились по адресу abuse@pinspb.ru с просьбой принять меры, чтобы злоумышленники не атаковали нас с IP, принадлежащих компании. В ответ нас попросили прислать IP-адреса участников атаки.

Мы дали данный список (далеко не полный):

• 37.9.45.0 — 37.9.45.255
• 5.8.46.0 — 5.8.46.127
• 5.189.205.0 — 5.189.205.127
• 5.8.44.0 — 5.8.44.127
• 37.9.46.0 — 37.9.46.255
• 5.101.222.128 — 5.101.222.255
• 193.93.195.0 — 193.93.195.255
• 5.189.207.128 — 5.189.207.255
• 91.243.90.128 — 91.243.90.255
• 91.243.91.128 — 91.243.91.255
• 5.188.217.0 — 5.188.217.255
• 91.243.91.128 — 91.243.91.255
• 5.188.219.0 — 5.188.219.255
• 5.101.219.128 — 5.101.219.255
• 5.189.206.128 — 5.189.206.255

Ответ был такой:

«Здравствуйте!

К Вашей заявке службой поддержки было оставлено сообщение:

"Здравствуйте.

Этот диапазон ip принадлежит нам, но теперь он арендован и анонсирован AS50896. Ссылка на базу данных RIPE по данным текущего владельца:

https://apps.db.ripe.net/db-web-ui/query?bflag=true&dflag=false&rflag=true&searchtext=AS50896&source=RIPE. 


P.S. При переписке, пожалуйста, сохраняйте цитирование.
Если у Вас есть жалобы на работу наших служб или сотрудников,
пожалуйста, направляйте претензии на адрес: support@pinspb.ru

===================================================
С Уважением, Служба Техподдержки Pin!
старший специалист сектора технической поддержки ЦОД Лакомый Алексей Александрович
-------------------------------------------------
ООО "Петербургская Интернет Сеть"
192171, Санкт-Петербург, ул. Седова, д.80
Email: support@pinspb.ru - Web: http://www.pinspb.ru
Tel: (812)677-25-25, (495)721-84-58 -- Fax: (812)309-39-16".

То есть ООО «Петербургская Интернет Сеть» признало, что IP принадлежат ей, но не считает проблемой, что с её оборудования совершается уголовное преступление (статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»).

Что же это за AS50896?

В качестве ответственной организации указан Trusov Ilya Igorevych (Трусов Илья Игоревич), контакт для жалоб: abusemail@depo40.ru. Мы 7 февраля написали по данному адресу, но ответа не получили.

При этом данный субъект указан и в массе других IP, которые атаковали сайт в январе-феврале 2020 года. Так, email указан как контактный для некой сети QUALITYNETWORK. Контакты даны следующие:

person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
phone: +35722007451
nic-hdl: GS19550-RIPE
mnt-by: QNSC
created: 2017-07-31T17:49:28Z
last-modified: 2018-01-20T19:02:47Z

В данных IP указаны следующие контакты Трусова Илья Игоревича: Trusov Ilya Igorevych; address: Moscow Street 258, office 16; 248021; Kaluga; phone: +79533100064; Kaluga Data Center Depo; Калуга, Московская улица, дом 258, офис 16). В базе данных указан email iluxa85@inbox.ru.

Сеть состоит из огромного числа IP, и на неё в интернете много жалоб за спам и вредительские действия на сайтах.

В атаке участвовали, в частности, IP из следующих диапазонов:

• 185.46.84.0 — 185.46.87.255
• 193.93.194.0 — 193.93.195.255
• 91.216.3.0 — 91.216.3.255
• 185.46.87.128 — 185.46.87.255
• 185.46.85.128 — 185.46.85.255

Также мы заметили, что многие IP имеют Abuse contact ‘abuse@quality-network.eu’ и пожаловались туда 7 февраля, не получив ответа. Это IP из диапазонов:

• 188.68.0.0 — 188.68.0.254
• 185.13.32.128 — 185.13.32.255
• 185.101.70.0 — 185.101.70.255
• 5.62.158.0 — 5.62.158.255
• 95.181.182.0 — 95.181.182.255
• 5.62.158.0 — 5.62.158.255
• 95.181.182.0 — 95.181.182.255
• 5.62.159.0 — 5.62.159.255
• 79.133.107.0 — 79.133.107.254
• 5.62.152.0 — 5.62.152.254
• 185.101.68.0 — 185.101.68.255
• 95.181.183.0 — 95.181.183.127
• 79.133.106.128 — 79.133.106.255
• 79.133.106.0 — 79.133.106.127
• 95.181.182.0 — 95.181.182.255

Для этой сети указано имя QUALYTYNETWORK, адрес на Сейшельских островах (person: QUALITY NETWORK CORP; address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12; phone: +35722007451) и тот же самый origin: AS50896.

В атаках также участвовали:

origin: AS200557
Abuse contact: abuse@atomohost.com
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
В частности, вот IP адреса из этих диапазонов (далеко не все).
91.204.15.0 — 91.204.15.127
185.89.101.128 — 185.89.101.255
185.89.100.128 — 185.89.100.255
79.110.31.0 — 79.110.31.127
91.204.14.128 — 91.204.14.255
91.204.15.0 — 91.204.15.127

origin: AS35624
Abuse contact: abuse@fitz-isp.uk
organisation: ORG-FIL15-RIPE
person: Aleksei Filippenko

origin: AS206485
origin: AS200557
Abuse contact: noc@finetransit.eu
org-name: FineTransit OU

origin: AS206485
Abuse contact: abuse@fast-telecom.net’
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS49453
Abuse contact: abuse@fast-telecom.net
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS50896
% Abuse contact for ‘212.60.20.0 — 212.60.21.255’ is ‘abuse@fitz-isp.uk’
org-name: FITZ ISP LTD (20-22 Wenlock Road, London, England, person: Aleksei Filippenko, Алексей Филиппенко).

В завершение хочется попросить Николая Метлюка, Илью Трусова и других уполномоченных персон прекратить сдавать сервера в аренду злоумышленникам, вероятно, анонимным.