базы MySQL. Веб-интерфейс управления атакой мы сделали парой недель позже.

Деньги на загрузки нам дали. Я запустил UDP-flood, то есть боты стали забрасывать целевой IP-адрес, а, соответственно, и канал сервера, бессмысленными UDP-пакетами разного размера, вытесняя оттуда весь легитимный трафик. На удивление, канал у платежного шлюза Assist’а оказался всего в 10 Мбит, и лег тут же.

Полторы недели Assist увеличивал пропускную способность канала и пытался отфильтровать атаку, привлёк Лабораторию Касперского на помощь. Я несколько раз менял UDP-flood на TCP-flood и обратно, пока Kaspersky пытался отбить атаку. Через полторы недели Kaspersky все-таки смог это сделать окончательно.

У платежного шлюза Assist было несколько входных точек: secure.assist.ru, secure1.assist.ru, secure2.assist.ru и т. д. Когда Assist стал бороться с атакой, они распределили клиентов по разным входным шлюзам, а сами входные шлюзы — по разным серверам. Держать все под DDoS у нас не хватало мощности. Поэтому на второй-третий день возник вопрос.

— Мы не можем держать все их шлюзы под DDoS. Что конкретно класть? — спросил я Scraft.

— Сейчас уточню у Red… Кладите тот, на котором висит «Аэрофлот».

В результате нашей атаки «Аэрофлот» полторы недели не мог принимать оплату за авиабилеты на своем сайте. Периодически не работала оплата Google AdWords и другие клиенты Assist’а.

В четверг днем на сайт платежной системы Assist началась DDoS-атака, из-за которой платежный шлюз по адресам secure0.assist.ru и secure.assist.ru не работает уже четвертый день. Постоянно падает и основной сайт www.assist.ru.

Данный платежный шлюз используется для покупки билетов через сайт «Аэрофлота» — так что уже возникли проблемы с платежами. Стоит также отметить, что на сайте «Аэрофлота» нет предупреждения о проблеме, поэтому пользователи сначала долго заполняют форму на билет, и только потом выясняют, что оплатить невозможно.

Как сообщили специалисты из службы техподдержки, система ASSIST подверглась DDOS-атаке. В связи с этим на данный момент оплаты затруднены. Специалисты компании ASSIST делают все возможное, чтобы как можно скорее восстановить работоспособность системы.

О проблемах с оплатой через пластиковые карты также предупредили пользователей в проекте Free-lance.ru. В данном предупреждении говорится, что атака началась в четверг 15 июля с 15:00.

Источник: https://www.securitylab.ru/news/395892.php * * *

После успешной атаки мы стали чаще общаться с Red’ом, а он стал больше рассказывать о своей войне с Desp’ом:

— Мы слили базу Glavmed за $50 000, — похвастался он мне.

— А дай посмотреть.

— Конечно, сейчас попрошу, чтобы скинули.

Так мы получили базу Glavmed’а. Для нас же наибольший интерес представляли мыла из таблицы продаж. Их там было около полумиллиона. Находились ящики покупателей в основном на крупных сервисах, таких как Yahoo, Gmail, AOL. Так просто не получится проспамить[46] эти адреса. Такие крупные сервисы очень хорошо фильтруют нежелательную почту — используют всевозможные блэклисты.

У меня возникла идея добавить в ботнет возможность точечной рассылки по фарма-базам, отбирая ботов по чистоте их IP-адреса, то есть рассылать с «белых» IP-адресов. Такую рассылку называли OptIn. Проверять IP-адреса я решил по zen.spamhaus.org. Блэклист ZEN объединяет в себе сразу несколько блэклистов: SBL (IP-адреса хостов, с которых рассылается спам), CSS (часть SBL), XBL (IP-адреса зараженных хостов), PBL (адреса, которые не должны рассылать электронную почту напрямую).

Как оказалось, таких «белых» IP из всего онлайна оказалось один-два процента. С 60 тысячами онлайна мы имели всего около 1000 «белых» ботов. Только доставка (успешная отправка) с таких ботов выросла на порядки. В первый день теста рассылки «Виагры» по базе Glavmed’а мы сделали более 100 продаж на Spampromo. А за первый месяц мы заработали $150 000 своей реферальной комиссии, что составляло 40 % от оборота.

Это была победа! Заработать $7000 за день. Наконец-то!

Остальные боты в это время занимались DDoS магазинов Glavmed’а и Spam It’а. Red дал распоряжение Scraft’у выделять деньги на то, чтобы DDOS’ить Desp’а. А мы были этому очень рады вдвойне — для нас это бесплатные загрузки, а значит, и бесплатные рассылки, и мы ненавидели Desp’а с его партнеркой. * * *

12 августа 2010 года Red написал:

RedEye (17:56:15 12/08/2010)

ты тут?

Engel (17:56:30 12/08/2010)

привет. тут. что там случилось?

RedEye (17:59:11 12/08/2010)

привет

RedEye (17:59:22 12/08/2010)

тебя полностью слили

RedEye (17:59:31 12/08/2010)

через 30 минут созвон через скрафта

Engel (17:59:49 12/08/2010)

хорошо. я дома.

RedEye (18:00:09 12/08/2010)

дом меняй срочно

Кто нас слил тогда, было непонятно. До этого момента мы крайне халатно относились к компьютерной безопасности. Например, жесткие диски наших компьютеров не были зашифрованы. А в интернет мы выходили без VPN. Все поменялось в одночасье. Мы зашифровали все, вплоть до флешек, настроили VPN, а в интернет стали выходить через Yota, купленную на рынке без документов.

Мы в срочном порядке нашли новую квартиру. Теперь квартира была на «Полежаевской». Не скажу, что она мне понравилась — довольно дешевая, но сам дом был новый. Больше всего она нравилась моему брату, потому что в том же доме проживала его новая девушка — истеричная блондинка Аня.

При переезде из Митино на «Полежаевскую» у нас с братом возникла ссора. Брат, в свойственной ему манере, стал ломать один из икеевских столов. На возникший шум вдруг прибежал сосед-чеченец снизу и начал вопить, что его заливают. Конечно, его никто не заливал, но вонь он поднял страшную. Сказал, что вызовет участкового. И вызвал. Я никогда не видел, чтобы наши органы работали так молниеносно. Уже через пару минут на пороге нашей квартиры стоял некто, похожий на «мусора». Представившись участковым, он попросил паспорт брата. На этом оба персонажа исчезли.

Погрузив вещи в машину, мы переехали на новую квартиру. Хозяйка митинской квартиры перестала отвечать на телефон и, естественно, не отдала депозит. По-моему, мы даже не вернули ей ключи.

УАЗик мы отогнали отцу в Кингисепп. Назад из Кингисеппа уже возвращались на такси. Заплатили тогда в 2010 году 12 тысяч рублей за поездку Кингисепп — Москва. Такое наше передвижение не могли отследить доблестные сотрудники ФСБ.

14 августа 2010 года Red написал мне в ICQ:

RedEye (11:10:21 14/08/2010)

поржать хош?

http://www.gazeta.ru/sport/2010/08/a_3407088.shtml второй слева я. охуенный баскетболист правда? хорошо что вообще в кадр попал.:-))))))

наш релиз на тему

http://www.chronopay.com/ru/content/view/398/121/

Engel (11:13:32 14/08/2010)

вообще, это спонсортство — это реклама хронопея?

RedEye (11:13:42 14/08/2010)

официально да

RedEye (11:13:47 14/08/2010)

неофициально нет — там другая тема

RedEye (11:14:02 14/08/2010)

биографию посмотри Сергей Борисыча Иванова и ответы начнут прорисовыватся

ChronoPay стал спонсором баскетбольной Лиги ВТБ. В чем смысл этого спонсорства, кроме фотки с Ивановым, я тогда не понял. * * *

На «Полежаевской» мы