Не понимаю, как можно атаковать компьютер с ЖЖ?
Есть анонимные прокси, айпи-адрес в конце концов.
Если это не фейк, это же предел тупого ламерства, напишите новость на хакер.ру

с сервера жж атаковать сможет лишь фитцпатрик, а не историк-задрот

Вот именно. А скриншоты не могут быть доказательствами.

Про то что "платник" может вкомпиливать в ЖЖ скрипты вы тоже не знаете :)

какие, блин, вкомпилированные скрипты?
Вы сами написали - что не читали в тот момент его журнала.
или он по Вашему по всему интернету фигачит пакетами?
не смешите публику

Какие ? Вот у меня к примеру в ЖЖ встроен RSS для вредленты и он кстати "снаружи" не виден, обратиться к нему сожно только по специальной ссылке.

Что "какие?"
Я Вам подробно объяснил в первом комментарии - что реально произошло.
На стороне livejournal.com повисло одно или несколько TCP-соеднинений с Вашей машины, и ЖЖ-шный сервер их ресетнул.

К журналу тарлита я обращался в 15.50, после чего за 3 часа побороздил по просторам ЖЖ. Соответственно DNS кеш на адрес 204.9.177.18 обновился раз десять, а теперь расскажите как "умный" фаервол достает из глубины сибирских руд старинную запись и не выдает более свежую.

Элементарно, Ватсон.
Эта запись осталась в кэше и он её достал.
Если бы её там не было - он бы её оттуда не достал, и не показал бы, поскольку ни один из IP-шников принадлежащих серверами Живого Журнала непосредственно в tarlith.livejournal.com не резолвится.
Попробуйте найти в логаж Аутпоста IP-адрес и попробуйте извлечь откуда-нибудь из интернета информацию о том, что это именно tarlith.livejournal.com - у Вас этого не получится до тех пор, пока Вы не сунетесь на этот адрес. Патамушта - тот самый виртуальный хостинг про который Вы написали :)
Там этих адресов журналов на каждом IP - десятки, если не сотни тысяч.

Дело в том, что самая последня DNS запись в кеше до 19,22 была на мой собственный журнал. И тогда бы я увидел как атакую сам себя :)

а кто Вам сказал, что последняя используемая запись в кэше соответствует последнему по времени обращению к страничке в броузере?

аутпост ведет собственный кеш, и из него же достает записи. Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?

Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?
Неточность в логике работы. Например у Вас системе был какой-то недозакрытый коннект c ЖЖшным IP, который отрезолвился в момент открытия как соответствующий tarlith.livejournal.com.
А на самом деле он относился к stat.livejournal.com, www.livejournal.com или ещё к чему-то.
Вы вместо того, чтобы повторять свои вопросы - попробовали придумать, каким образом система может узнать о соответствии именно tarlith.livejournal.com и конкретного IP, в ситуации, когда на этот IP навешено множество журналов.
Идеи есть?
Может там домен на поверхности IP-пакета пишется красным фломастером?

я понял, что Вы этого не поняли
в кэше может хранится НЕСКОЛЬКО записей, соответствующих одному IP но разным доменам
при этом очищается он далеко не всегда очевидным способом

Объясняю еще раз, фаер берет записи из собственного кеша, нижняя запись в котором датируется 12.09

ч то вам ping -a 204.9.177.18 говорит?

C:\>ping -a 204.9.177.18

Обмен пакетами с livejournal.com [204.9.177.18] по 32 байт:

и ничего другого он сказать не может

Так откуда взялся адрес tarlith? :)
JavaScript на ЖЖ-ном сервере отработал и прислал?

там php или что-то в этом роде ждя создания своих стилей.
но я подозреваю что он там сльно кастрирован.

Пардон, я не посмотрел, кто мне отвечал
не в кассу высказался ;-)

меня вот тоже смущает что outpost показал именно такой hostname =)

а меньше надо его журнал читать - так его адрес будет реже в кэше задерживаться, вот что :)

Там не пхп, там самописная "template engine"
Движок для генерации хтмл, то бишь...

тот же самый вопрос =)
как в tcp пакете с проставленными ack и rst может содержаться имя хоста?

Я вообще-то в курсе, как работает Аутпост.
Вам "ещё раз объяснить" значение фразы "очищается он далеко не всегда очевидным способом"?

не сунетесь на tarlith.livejournal.com в броузере

никакой скрипт на шкиперских страницах не способен послать Вам RST-пакет с адреса tarlith.livejournal.com просто потому, что
скрипты выполняются на ВАШЕЙ машине.

>просто потому, что скрипты выполняются на ВАШЕЙ машине.

в этом вы не правы.
платники могут делать именно server-side скрипты

по начальным условиям (журнал тарлита не читался) сервер сайд скрипт должен был шарашить наугад по всему интернету
или конкретно обламывать всех запомненных посетителей шкиперовской странице
мало того, что это нереально, так ещё и встаёт вопрос - жабаскриптом реально пробиться до raw-сокетов, по крайней мере в теории.
А вот что на ЖЖ-шном сервере такое допустили бы... извините, не верю.

Журнал тарлита я читал, соотвественно через счетчик мой адрес и ЖЖ ник остался в табличке.

уже несколько вышло за рамки.
Так же как и упорное игнорирование вопроса о способах, которыми аутпост мог бы восстановить информацию о виртуальном хосте, если её нет в кэше.

Расскажите мне, каким образом сервер-сайд скрипт мог сформировать
RST-пакет?

>> если её нет в кэше.
И где вы это прочитали ? В кеше лежат записи за последние 6 дней

Блять.
У меня в аське сидит автор аутпостовского движка.
Я его спросил.
Можете поискать его по интернету самостоятельно и задать ему тот же вопрос, благо человек особо не скрывается.
Чтобы Вас сильно не расстраивать, я не буду Вам приводить
его ответ.

На этом, я наверное, закончу разговор - мне, честное слово, надоело.

Каким образом скрипт формирует пакет хер знает, я не программер а сетевой админ. Пишут же умельцы на перле p2p клиенты

Вы еще забыли добавить, что для исполнения скрипта нужно как минимум иметь соответсвующий интерпритатор на машине

отлично.
представим, что там есть дыры, что можно вставить зловредный скрипт, который в итоге выполнился. можете объяснить каким образом outpost (или что там у вас) для ip 204.9.177.18 выбрал именно хост tarlith.livejournal.com ?

Ну например он пытался установить коннект с машиной, при таком раскладе выцепить хостнейм уже вполне реально.

с какой именно машиной?
siхapart-овским серваком?

Блядь. КТО ПЫТАЛСЯ?????

Это адрес SixApart. По нему живет livejournal.com и ещё несколько сотен тысяч доменов третьего уровня.
Вы себе вообще представляете, как работает виртуальный хостинг???

Коннект со стороны домена третьего уровня

Коннект от ip-шника. Если не было входящего запроса, сервер просто не знает, какой из сотен тысяч доменов обращался.

Кстати, стучаться нужно в строго определенные порты ибо на модеме поднят РАТ с "пробросами". К томуже я уже тут писал, что это была единственная "атака" за полгода. При таких раскладах как то очень очень херово вериться в случайности.

Поясните про "почти полноценный".

Тоесть в определеный момент установления коннекта или даже после него, фаер рещил, что "так себя в приличном обществе не ведут" и зарубил коннект.

Давайте ab ovo. Кто куда когда лазил и зачем устраивать недо-pr-истерики?

Сидел тихо никого не трогал, зашел в журнал тарлита в 16 часов, не нашел ничего интересного, закрыл и дальше продолжил читать другие журналы. В 19.22 выскочила такая табличка, был нехуёво так удивлен: из серии "а это что за шутки такие". На домашнем роутере поднята служба РАТ со статическими пробросами определнных портов, не относящихся к http соединениям. Это первое сообщене об атаке за пол года

Livejournal.com тормознул и не сбросил сессию. А сейчас очнулся. А твой аутпост уже давно помнит, что сессия сброшена. ВСЁ.

Ы?

А ничего, что сессия так же сбросилась и в РАТ таблице ? и пакет должен был утухнуть еще на wan -e

Кто её сбрасывал в РАТ-таблице?

Роутер и очистил, сессия закончилась запись стерлась

Хм. Т.е. вероятность глюка мы не допускаем принципиально??

Летят самолёты - пиздец Мальчишу?

А вы не находите что для просто вероятности как то все сложилось удачно ? Заглючил роутер у которого даже не мозги, а так, мозжечок с инстинктами. Фаер внезапно отрастил моск, и из десятка записей для хостов ЖЖ-хи извлек почему то не последнию а пополз вниз по списку, типа решил порадовать хозяина.

Пакет от SixApart пришел в рамках той старой сессии. Что в кеше было наиболее похоже?

Последняя запись DNS запись для ЖЖ-ы ссылалась на мой журнал.

Прочтите мой предыдущий комментарий. Когда дойдёт, продолжим.

Когда в течении трех часов одномоментно висела сессия со стороны сервера и висела запись в таблице. Кстати, а трех часовой завис сесси на серваке это как бы немного не дохуя ?