Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2009-07-29 18:26:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick

flirt.lenin.ru: черви!
Друзья, на сайт http://flirt.lenin.ru (группы Флирт Олега Сурусина и Валерия Рожкова)
забрались черви и рассылали от его лица кучу спама. Также они залезли на
сайт группы Др. Макс и Грибы http://www.drmaxz.lenin.ru/history.htm
и тоже все там заразили.

Результат вы можете наблюдать в Firefox, который при попытке посмотреъ сайт жалуется
"Имеется информация, что этот сайт атакует компьютеры!" большими буквами и не показывает сайт.

Я почистил червей как мог, взяв HTML-файлы из старого архива 2-годичной давности
(более свежего не было, ибо черви пришли туда 11-го апреля, а мы как раз переезжали,
что привело к обновлению всех бэкапов). Признаки жизнедеятельности спаммеров
удалили, но в результате спамной атаки нашу почту плохо берет gmail и непонятно
сколько еще серверов (это относится и к почте с LJR, потому что она рассылается с lenin.ru).

Интересно, что роботы, занятые рассылкой спама, оперативно
потерли все свои скрипты через ftp, как только мы заметили и начали разбираться.

Это не первый раз, когда на lenin.ru приходили черви, но такой массивный
фэйл случился впервые.

Распространяется он через ftp, видимо, воруя пароль из винды. Потом заражает все
.html файлы каким-то лютым жабаскрипом, тоже через ftp. Потом (и это случилось с нами
впервые) устанавливает чертову тучу .pl скриптов с непроизносимыми названиями
и рассылает спам.

Поскольку червь лезет через ftp, а sftp использовать не умеет,
я закрыл на сервере ftp. Давно пора, вообще-то.

Дорогие пользователи, если у вас венда, установите себе winscp и пользуйтесь.
http://winscp.net/

Если у вас есть друзья, которые имеют сайты на lenin.ru, расскажите им.

Такие дела
Миша


(Добавить комментарий)


[info]tiphareth
2009-07-29 14:20 (ссылка)
http://torrents.ru/forum/viewtopic.php?t=623613

Группа "Флирт" возникла в середине 80-х годов в Восточной Сибири (в городе Усолье-Сибирское), центром которой является город Иркутск. Сейчас "Флирт" это одна из групп андеграунда "советского периода". В одной из областных газет их как-то назвали "старейшими панками области", ' хотя эту группу скорее можно причислить к командам "гаражного направления". Но то, что "Флирт" является представителем отечественной контркультуры, зто бесспорно (они никогда не стремились зарабатывать деньги за счет своих песен).
Создатели 'Флирт" - Олег Сурусин (Sur) и Валерий Рожков (Wall) сразу сориентировали направление своих песен на музыку протеста. А это в годы правления коммунистического режима было небезопасно. Вскоре появились и новые члены группы, разделившие взгляды создателей и "колесо завертелось". Первый, более-менее качественно записанный, магнитоальбом группы появился в 1987 году. Продолжительность записи составляла около 30 мин., а на обложке (оформленной Суром) были изображены Сталин, Горбачев, Ленин и др. Причем в центре композиции Вэл трахал в задницу Карла Маркса. Запись назвали "Дальше Некуда" и отправили для прослушивания в г. Новосибирск, где в те годы обучалась вся передовая молодежь Советского Союза. Запись прохиляла и "Флирт" ворвались в отечественный андеграунд.
Следующий магнитоальбом, 88-го года, назывался "Си(м)бирская Язва" и на обложке также имел изображение "вождя мирового пролетариата". Нужно отметить, что образ Ленина группа время от времени использует в своих песнях и на обложках своих магнитоальбомов. Примерно на четырех альбомах можно увидеть изображение этого знаменитого мракобеса. Запись обычно происходила в "антисанитарных условиях", где только придется. Хуевая аппаратура, гитары принципиально "совкового" образца, постоянно фонящие инструменты и нехватка места для публичных выступлений - вот атмосфера конца 80-х годов, в которой творили "Флирт(ы)". Каждое "открытое" выступление членов команды (обычно это были сборные концерты с участием других групп) предвещало для них хуевый конец со стороны комсомола и правоохранительных органов. Но, к удивлению, часто все обходилось только оскорблениями в адрес, музыкантов. Отчасти это можно объяснить дремучей провинциальностью, которую представлял из себя тогда Иркутский регион. Власть придержащие по привычке ожидали указании свыше, чтобы разделаться с возмутителями, а таких указаний почему-то не поступало...
В мае 1989 года, будучи в Новосибирске и в Омске, Сур и Вэл приняли участие в проекте Егора Летова ("Гражданская Оборона") под названием "Коммунизм" В результате появился магнитоальбом "Let It Bee" (смотри примечание).
Осень 1989 года ознаменовалась выходом очередного магнитоальбома под названием "Триперахамудия", куда члены группы, наконец вынесли свои собственные изображения с карикатурными хуями. Вскоре записи иркутской панк-группы "Флирт" появились в некоммерческих студиях Москвы и Питера (тогда еще Ленинграда)...
В группе в разное время принимали участие многие музыканты, хотя из "золотого состава" до сегодняшнего дня остался только один Сур, который и является "идеологом" "Флирт". Из всех участников только один имел музыкальное образование по классу саксофона - самый старший по возрасту, но не по духу, Gennadiy Homkalov (пять лет назад уехавший из России и проживающий теперь в Израиле). Идейный вдохновитель группы Вэл (теперь живущий в Москве и отошедший от дел андеграунда) постоянно ориентировал команду на исполнение своего оригинального саунда, а не на "лабание" чистого панка, утверждая, что типичный панк-рок в то время играла каждая вторая команда. Другое дело, что групп, играющих панк в то время было не так уж много...
Осенью 90-го "Флирт" записывает свой наиболее качественный магнитоальбом под названием "Член ЦК'. Качество было в чистоте записи, т. к. группе посчастливилось около месяца поработать в более-менее нормашэной любительской студии. Обложку альбома украшало изображение Ленина в фашистской фуражке, а также рисунок огромной залупы, под которой стояла подпись "Член ЦК'.

(Ответить)


[info]enferne
2009-07-29 15:44 (ссылка)
Кстати, Миш, комментарии приходят на почту выборочно.

(Ответить) (Ветвь дискуссии)


[info]seroe_ozero
2009-07-29 16:31 (ссылка)
а у меня по кругу приходят

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]varsava
2009-07-29 16:33 (ссылка)
Может быть они стали жить своей обособленной жизнью и в их круговороте есть какой-то смысл?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]seroe_ozero
2009-07-29 16:41 (ссылка)
возможно.

(Ответить) (Уровень выше)


[info]tiphareth
2009-07-29 16:46 (ссылка)
Сообщения в логах такие

Jul 29 13:50:58 laylah postfix/smtp[26855]: 83A7C13A13A: to=*@gmail.com, relay=alt1.gmail-smtp-in.l.google.com[209.85.220.22]:25, delay=607, delays=544/0.01/32/31, dsn=4.7.0, status=deferred (host alt1.gmail-smtp-in.l.google.com[209.85.220.22] said: 421-4.7.0 [195.54.209.222] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 26si898193fxm.118 (in reply to end of DATA command))

Все нормализуется, надеюсь, где-то часов за 5-10

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2009-07-29 19:31 (ссылка)
неа, само не нормализуется, скорее всего. вот у меня всего день порассылало спам — и всё, я навсегда остался во всех блэклистах. бегать, высунув язык, и пояснять каждому, что я не верблюд — лень. потому у меня сейчас почта кагбэ есть, а кагбэ и нету: в ответ на отписку «ваше пейсьмо не принято нашим демоном» я в свою очередь настраиваю постфикс на точно такой же ответ всем письмам с того сервера. %-)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2009-07-29 19:50 (ссылка)
Ну, с гуглемэйлом вроде рассосалось, по крайней мере по логам
судя, все доходит исправно

На самом деле там если посмотреть, мы им насрали за сутки примерно
столько же, сколько они нам срут каждый день, то есть отсылки спама
в логах столько же, скольно спама из гуглемэйла на несуществующие
аккаунты типа sales@rossia.org

Ну а поскольку вообще SMTP-траффик сервера - по несколько тысяч валидных
писем в день (от LJR), вряд ли они из-за 10 тысяч спамов изойдут на говно

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2009-07-29 19:53 (ссылка)
>Ну, с гуглемэйлом вроде рассосалось, по крайней мере по логам
>судя, все доходит исправно
он принимает, но молча кладёт в спам. как его отучить делать это — я не знаю (в смысле, не чтобы юзер помечал письма, а отучить глобально, повинившись «я не спамер, я больше не буду!»).

>Ну а поскольку вообще SMTP-траффик сервера — по несколько тысяч валидных
>писем в день (от LJR), вряд ли они из-за 10 тысяч спамов изойдут на говно
там тупой робат. он исходит на говно за рассылку по несуществующим адресам раз, и за то, что существующие юзеры отмечают письма как «спам». путь «туда» есть, пути «обратно» я не знаю.

а мыло.сру, например, требует заполнить огромную форму, включить кукиши, ввести капчу, дать адрес, поклониться и ждать. я не стал, просто больше не беру их письма тоже (всё равно это говнопочта).

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2009-07-29 20:16 (ссылка)
На мэйл.ру доходит ОК, я посмотрел

(Ответить) (Уровень выше)


[info]fornit
2009-08-05 06:13 (ссылка)
он принимает, но молча кладёт в спам. как его отучить делать это — я не знаю (в смысле, не чтобы юзер помечал письма, а отучить глобально, повинившись «я не спамер, я больше не буду!»)
----------
Надо чтобы много пользователей сделали это
тогда он снова станет доверять

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2009-08-05 08:05 (ссылка)
ага. разослать ещё спама с просьбой «пометьте это как 'не спам', пожалуйста!»

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]fornit
2009-08-13 15:05 (ссылка)
Ну я вот сейчас именно это и делаю - помечаю камменты с LJR как "не спам". Много народу сделает это - и Гмайл Тифарета "простит".

(Ответить) (Уровень выше)


[info]tiphareth
2009-07-29 16:44 (ссылка)
Ну дык.

Jul 29 12:54:55 laylah postfix/error[24121]: 3EBC313A119: to=*@m*.com, relay=none, delay=227810, delays=227810/0.01/0/0.01, dsn=4.0.0, status=deferred (delivery temporarily suspended: host smtp-mx006.me.com[17.148.20.86] refused to talk to me: 452 try later)

И такого там сотнями.

Спаммеры, убить их всех

(Ответить) (Уровень выше)


(Анонимно)
2009-07-29 16:34 (ссылка)
Распространяется он через многочисленные дырки в ОС Питух

obvious fix

(Ответить) (Ветвь дискуссии)


(Анонимно)
2009-07-29 16:44 (ссылка)
СУКА МОЙ БРАТ УМЕР ОТ ПЕРЕДОЗИРОВКИ ЭТОЙ ДРЯНЬЯ ХУЛИ ТЫ ПИЗДИШЬ ЧТО ОН БЕЗВРЕДЕН ПИДОР!

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2009-07-29 19:28 (ссылка)
Ты- ДЕМОН!! кого ты въебёшь!!? Вот,урод. Если я тебя встречу, то въебу и обоссу. а потом обосную тебе и всей твоей прикентовке, что ты ДЕМОН

(Ответить) (Уровень выше)


[info]mancunian.livejournal.com
2009-07-29 18:04 (ссылка)
Winscp форева, ага.

(Ответить) (Ветвь дискуссии)


[info]dosumtin
2009-07-29 18:26 (ссылка)
да?
а почему не putty/pscp/psftp?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]russkiy
2009-07-29 21:10 (ссылка)
Ахтунг! Пользователи виндовз на нашем тифаретничке!

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2009-07-29 21:49 (ссылка)
Пора бы уже забанить людей, которых использует виндовз.

(Ответить) (Уровень выше)


[info]dosumtin
2009-07-29 23:02 (ссылка)
ну я это
типа
теоретически например

(Ответить) (Уровень выше)


[info]nowinter
2009-07-29 20:39 (ссылка)
У пользователей Майкросоввт таких проблем не возникает!

(Ответить)


[info]k_r
2009-07-29 23:59 (ссылка)
АААА! Что это с постом! ГДЕ ОТСТУП?!?!

(Ответить) (Ветвь дискуссии)


(Анонимно)
2009-07-30 00:14 (ссылка)
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.
Молча баню пидарасов с анимированными юзерпиками.

(Ответить) (Уровень выше)


[info]kaledin
2009-07-30 01:44 (ссылка)
Tam slomalos' che-to v rezul'tate bor'by, kartinki ne vidny: raz, dva.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2009-07-30 05:19 (ссылка)
мне все видно! А тебе не видно?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kaledin
2009-07-30 06:00 (ссылка)
Net. No ya posmotrel podrobnee, ehto ne ot togo: lenin.ru voobshche mne ne otvechaet na http-zaprosy (khotya traceroute do rineta dokhodit). A ssh prokhodit bez problem.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2009-07-30 08:00 (ссылка)
А telnet lenin.ru 80 делал? lynx http://imperium.lenin.ru/ ?
А dig lenin.ru ?
Чего говорят?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kaledin
2009-07-30 15:14 (ссылка)
Niche ne govoryat, visnut. Telnet posle takogo:

# telnet 195.54.209.222 80
Trying 195.54.209.222...
Connected to 195.54.209.222.
Escape character is '^]'.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2009-07-30 17:26 (ссылка)
чего, dig виснет? Это как может быть?

>Telnet posle takogo:

># telnet 195.54.209.222 80
>Trying 195.54.209.222...
>Connected to 195.54.209.222.
>Escape character is '^]'.

Это он как раз не виснет, а вежливо с тобой разговаривает.
Ты ему можешь сказать теперь

GET

(два \n не забудь), и он тебе должен по идее выдать страницу

ну или можешь ему сказать чего-нибудь еще, и он будет на тебя ругаться
по типу такого

telnet 195.54.209.222 80
Trying 195.54.209.222...
Connected to 195.54.209.222.
Escape character is '^]'.
Huj! Huj!

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
Connection closed by foreign host.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kaledin
2009-07-31 01:19 (ссылка)
>а вежливо с тобой разговаривает

Pardon. Mudak, vasha chest'.

dig ne vis estestvenno, prokhodil normal'no, kak i ssh. wget, tot vis. No sejchas vse voobshche chudesnym obrazom ispravilos'. Navernyaka byl kakoj-to vremennyj glyuk u akady.

(Ответить) (Уровень выше)


[info]tiphareth
2009-07-30 08:01 (ссылка)
Из mccme.ru все видно

(Ответить) (Уровень выше)


[info]tiphareth
2009-07-30 08:10 (ссылка)
возможно, твой браузер запрашивает Гугл, тот ему сообщает,
что на таком-то IP сидят черви, и он молча не грузит контент

Или у провайдера стоит транспарентный прокси на 80-й порт,
и он молчаливо блокирует IP ленин.ру

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kaledin
2009-07-30 15:15 (ссылка)
Moj brauzer 90-kakogo-to goda vypuska zaprashivaet google? ne smeshi.

>Или у провайдера стоит транспарентный >прокси на 80-й порт, и он молчаливо блокирует >IP ленин.ру

A vot ehto interesnoe predpolozhenie. akado ono takoe akado.

(Ответить) (Уровень выше)


(Анонимно)
2009-07-30 11:14 (ссылка)
В фотоальбоме http://flirt.lenin.ru/foto1.html нет совсем фотографий. Обложек альбомов сдесь http://flirt.lenin.ru/mp.html тоже нет.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2009-07-30 11:52 (ссылка)
Увы, это версия от июня 2007-го года. Фотографии с тех пор, очевидно, переехали.

(Ответить) (Уровень выше)


[info]anticompromat
2009-07-31 14:08 (ссылка)
то-то смотрю мне перестали приходить в почту (гугловскую) каменты...

(Ответить)


[info]oboguev
2009-08-05 21:50 (ссылка)
Миша, если я Вам вышлю копию журнала udod99, в формате ALJ, Вы сможете её захостить?
Ещё есть подборка выпусков "Русского Удода".

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2009-08-06 05:23 (ссылка)
С удовольствием, конечно, размещу это дело у себя.
Я сейчас пытаюсь добиться от семьи разрешения на
открытие архива дневника Сергея в LJR
http://atlantis-sid.livejournal.com/61910.html?thread=1490902#t1490902
они молчат, но ясно, что уничтожение дневника - не их дело.
Там, правда, архив только на 2001-2006-й год.

Файл можно выслать мне, например, на mv[]maths.gla.ac.uk

>Ещё есть подборка выпусков "Русского Удода".

А http://udod.traditio.ru чем-то плох разве?

Такие дела
Миша

(Ответить) (Уровень выше)