|
|
Пишет Misha Verbitsky (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} tiphareth)@ 2008-03-25 17:03:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
| Настроение: |  tired |
| Музыка: | Assemblage 23 -- CONTEMPT |
| Entry tags: | lj, ljr, spam |
кто запускает зловредных спам-ботов
Поискал информацию
про пользователя drgs, взявшего
на себя ответственность за последнюю атаку на LJR,
и немало нашел.
После того, как мы прибили его левый IP, гражданин
стал спамить из-под адреса 84.215.129.203,
cm-84.215.129.203.getinternet.no, насколько я понимаю --
небольшого кабельного провайдера из Осло. Я сделал
поиск в логах, и убедился, что это не левый прокси,
а обычный IP-адрес, которым некий Мак-юзер читает
LJR на протяжении последних месяцев. Я поискал места,
где drgs оставлял у меня комментарии.
Вот, например, оно, со свежезарегистрированным аккаунтом,
(январь 2007) ищет "хэлла" с целью предложить ему услуги
IP 84.210.57.121
cm-84.210.57.121.getinternet.no
Коммент оставлен в 3 часа ночи, так что IP
стопудов домашний.
Примерно в то же время у ![[info]](http://lj.rossia.org/img/userinfo-lj.gif)
digitman@lj
появляется анонимный комментарий
"privet, eto ja - kovalev (lobanov, zeller etc) s fakry
posovetuj kak svjazatsa s hellom
mikhail_kovalev@mail.ru"
Поиск на mikhail_kovalev@mail.ru дает немало:
этот емэйл, среди прочего, вписан в юзеринфо
аккаунтов dougal_001, dougal_002,dougal_003 и dougal_004, созданных
пациентом для тестирования спамботов.dougal_001 оставил свой коммент тут
http://lj.rossia.org/community/ljr_pope
IP там 84.215.129.203, cm-84.215.129.203.getinternet.no
IP из той же конторы.
Поиск на mikhail_kovalev@mail.ru дает немало.
Пациент увлекается PHP и шрифтами, владеет английским языком
[ 1 | 2 | 3 | 4 | 5 ]
Домашняя страничка
http://www.stud.ntnu.no/~kovalev/ ,
которая там указана, не существует,
но архив.орг держит копии
http://web.archive.org/web/*/http:/
Вот показательное:
там есть двe директории с музыкой
"DRGS - DRGS Present ..." и "DRGS, Jim Noir - (Compilation Tracks)"
DRGS, напоминаю, это один из псевдонимов пациента.
Также там есть директория
http://www.stud.ntnu.no/~kovalev/obreza
(увы, содержание не сохранилось, но можно догадаться)
Видимо, пациент
учился в http://www.ntnu.no/ между 2001-м и 2005-м.
Также за ним зарегистрирован http://www.drgs.no
Whois дает следующее
NORID Handle...............: DMK3O-NORID
Organization Name..........: DRGS Mikhail Kovalev
Organization Number........: 990282668
Post Address...............: Hans Ross gate 3 H0602
Postal Code................: NO-0172
Postal Area................: OSLO
Country....................: NO
Phone Number...............: +47 938 61 244
Fax Number.................:
Email Address..............: rm@drgs.no
Это корпоративный адрес, указанный еще и тут
Firmanavn: DRGS MIKHAIL KOVALEV
Markedsnavn: DRGS MIKHAIL KOVALEV
BesЬksadresse: HANS ROSS GATE 3 H0602, 0172 OSLO
Postadresse: HANS ROSS GATE 3 H0602, 0172 OSLO
Telefon: 93861244
Вот тут есть любопытный комментарий Мальгина,
с анализом работы спамных ботов, которыми некто
терроризирует LJ.
* * *
Кстати, насчет этой машинки по рассылке ботов.
Вот аккаунт, где проводились испытания -
http://lj.rossia.org/users/dougal_001/2
Ковалев/Дугал там настраивает генерацию текста
(сначала криво, ближе к концу лучше), а Хэлл отвечает "вручную".
Занимается всей этой автоматизацией Михаил Ковалев,
он же Хрен Лобанов, он же drgs.
Всех задействованных в ботовой атаке виртуалов он
зарегистрировал еще в июле 2007. Потом были испытания по
генерации текстов плюс перекрестные ссылки, т.е. игры с
яндекс-рейтингом, см.
2 недели назад использовал их для поднятия
рейтинга блога торквемада.
* * *
Тот же самый IP был засвечен во время спам-атак LJ.
Любопытное палево можно найти, сделав поиск на
kovalev ntnu.no. Из него ясно, что гражданин
с падонковских форумов и гражданин со страничкой
http://www.stud.ntnu.no/~kovalev/ -- одно и то же лицо.
Остатков жизнедеятельности Хрена Лобанова мне найти не удалось,
кроме вот этого небольшого спама, размещенного на форумах
Ленина, но IP из stud.ntnu.no позволяет безошибочно
вычислить спаммера. Идентичность zeller ясна, среди прочего,
из того, что спамная атака на дневнички LJR велась
с аккаунтов, зарегистрированных на е-мэйл jeppe_zeller@infoseek.jp.
Можно считать доказанным, что человек, ответственный
за спам-атаки (и тут, и в LJ) - этот самый Михаил
Ковалев из Осло, он же DRGS, он же Хрен Лобанов,
он же zeller с факры. Что приятно - мы теперь знаем
его телефон и адрес, найденный в публичных источниках.
А работает это дело так: Mikhail Kovalev регистрирует
вручную десятка два аккаунтов, какое-то время их пасет,
затем запускает скрипт, который от лица каждого из
этих аккаунтов пишет по 200 комментариев. Больше 200
за час в LJ нельзя, но и этого ему хватает, чтоб
заспамить юзерам мэйлбоксы.
Привет
