Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2008-03-25 17:03:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: tired
Музыка:Assemblage 23 -- CONTEMPT
Entry tags:lj, ljr, spam

кто запускает зловредных спам-ботов
Поискал информацию
про пользователя [info]drgs, взявшего
на себя ответственность за последнюю атаку на LJR,
и немало нашел.

После того, как мы прибили его левый IP, гражданин
стал спамить из-под адреса 84.215.129.203,
cm-84.215.129.203.getinternet.no, насколько я понимаю --
небольшого кабельного провайдера из Осло. Я сделал
поиск в логах, и убедился, что это не левый прокси,
а обычный IP-адрес, которым некий Мак-юзер читает
LJR на протяжении последних месяцев. Я поискал места,
где [info]drgs оставлял у меня комментарии.

Вот, например, оно, со свежезарегистрированным аккаунтом,

(январь 2007) ищет "хэлла" с целью предложить ему услуги
IP 84.210.57.121
cm-84.210.57.121.getinternet.no
Коммент оставлен в 3 часа ночи, так что IP
стопудов домашний.

Примерно в то же время у [info]digitman@lj
появляется анонимный комментарий
"privet, eto ja - kovalev (lobanov, zeller etc) s fakry
posovetuj kak svjazatsa s hellom
mikhail_kovalev@mail.ru"


Поиск на mikhail_kovalev@mail.ru дает немало:
этот емэйл, среди прочего, вписан в юзеринфо
аккаунтов [info]dougal_001, [info]dougal_002,
[info]dougal_003 и [info]dougal_004, созданных
пациентом для тестирования спамботов.

[info]dougal_001 оставил свой коммент тут
http://lj.rossia.org/community/ljr_popechiteli/2524.html?nc=9
IP там 84.215.129.203, cm-84.215.129.203.getinternet.no
IP из той же конторы.

Поиск на mikhail_kovalev@mail.ru дает немало.

Пациент увлекается PHP и шрифтами, владеет английским языком
[ 1 | 2 | 3 | 4 | 5 ]

Домашняя страничка
http://www.stud.ntnu.no/~kovalev/ ,
которая там указана, не существует,
но архив.орг держит копии
http://web.archive.org/web/*/http://www.stud.ntnu.no/~kovalev/

Вот показательное
:

там есть двe директории с музыкой
"DRGS - DRGS Present ..." и "DRGS, Jim Noir - (Compilation Tracks)"
DRGS, напоминаю, это один из псевдонимов пациента.
Также там есть директория
http://www.stud.ntnu.no/~kovalev/obrezannyi_holop/
(увы, содержание не сохранилось, но можно догадаться)

Видимо, пациент
учился в http://www.ntnu.no/ между 2001-м и 2005-м.
Также за ним зарегистрирован http://www.drgs.no
Whois дает следующее

NORID Handle...............: DMK3O-NORID
Organization Name..........: DRGS Mikhail Kovalev
Organization Number........: 990282668
Post Address...............: Hans Ross gate 3 H0602
Postal Code................: NO-0172
Postal Area................: OSLO
Country....................: NO
Phone Number...............: +47 938 61 244
Fax Number.................:
Email Address..............: rm@drgs.no

Это корпоративный адрес, указанный еще и тут

Firmanavn: DRGS MIKHAIL KOVALEV
Markedsnavn: DRGS MIKHAIL KOVALEV
BesЬksadresse: HANS ROSS GATE 3 H0602, 0172 OSLO
Postadresse: HANS ROSS GATE 3 H0602, 0172 OSLO
Telefon: 93861244

Вот тут есть любопытный комментарий Мальгина,

с анализом работы спамных ботов, которыми некто
терроризирует LJ.

* * *

Кстати, насчет этой машинки по рассылке ботов.

Вот аккаунт, где проводились испытания -
http://lj.rossia.org/users/dougal_001/274.html?nc=41
Ковалев/Дугал там настраивает генерацию текста
(сначала криво, ближе к концу лучше), а Хэлл отвечает "вручную".
Занимается всей этой автоматизацией Михаил Ковалев,
он же Хрен Лобанов, он же [info]drgs.

Всех задействованных в ботовой атаке виртуалов он
зарегистрировал еще в июле 2007. Потом были испытания по
генерации текстов плюс перекрестные ссылки, т.е. игры с
яндекс-рейтингом, см.

2 недели назад использовал их для поднятия
рейтинга блога торквемада.

* * *

Тот же самый IP был засвечен во время спам-атак LJ.

Любопытное палево
можно найти, сделав поиск на
kovalev ntnu.no
. Из него ясно, что гражданин
с падонковских форумов и гражданин со страничкой
http://www.stud.ntnu.no/~kovalev/ -- одно и то же лицо.
Остатков жизнедеятельности Хрена Лобанова мне найти не удалось,
кроме вот этого небольшого спама, размещенного на форумах
Ленина
, но IP из stud.ntnu.no позволяет безошибочно
вычислить спаммера. Идентичность zeller ясна, среди прочего,
из того, что спамная атака на дневнички LJR велась
с аккаунтов, зарегистрированных на е-мэйл jeppe_zeller@infoseek.jp.

Можно считать доказанным, что человек, ответственный
за спам-атаки (и тут, и в LJ) - этот самый Михаил
Ковалев из Осло, он же DRGS, он же Хрен Лобанов,
он же zeller с факры. Что приятно - мы теперь знаем
его телефон и адрес, найденный в публичных источниках.

А работает это дело так: Mikhail Kovalev регистрирует
вручную десятка два аккаунтов, какое-то время их пасет,
затем запускает скрипт, который от лица каждого из
этих аккаунтов пишет по 200 комментариев. Больше 200
за час в LJ нельзя, но и этого ему хватает, чтоб
заспамить юзерам мэйлбоксы.

Привет