Творчество:Мориарти:Семёнов
Семёнов
В ходе анализа сегодняшней вандальной атаки на Новопедию, состоявшейся вечером и заключавшейся в массовой регистрации провокационных учётных записей (в настоящее время с сайта удалены все её следы, но свидетелями были Зелев, Зелёный демон и др.), выяснено, что за этой вандальной атакой и за целым рядом атак на Циклопедию и Викиреальность стоит участник Википедии Sergeisemenoff.
Вывод сделан на основе:
- анализа стиля вандальных учётных записей,
- анализа логов веб-сервера.
Логи посещений за сегодня:
Первые посещения с известного реального IP (опущены запросы скриптов и т. д.):
109.110.58.4 - - [09/Jun/2011:13:01:48 +0000] "GET /wiki/Sergeisemenoff HTTP/1.1" 200 8206 "-" "Opera/9.80 (Windows NT 6.1; U; MRA 5.8 (build 4110); ru) Presto/2.8.131 Version/11.11"
109.110.58.4 - - [09/Jun/2011:13:02:37 +0000] "GET /w/index.php?title=Sergeisemenoff&action=history HTTP/1.1" 304 - "http://novopedia.net/wiki/Sergeisemenoff" "Opera/9.80 (Windows NT 6.1; U; MRA 5.8 (build 4110); ru) Presto/2.8.131 Version/11.11"
109.110.58.4 - - [09/Jun/2011:13:02:42 +0000] "GET /w/index.php?title=Sergeisemenoff&action=historysubmit&diff=4795&oldid=2956 HTTP/1.1" 200 8896 "http://novopedia.net/w/index.php?title=Sergeisemenoff&action=history" "Opera/9.80 (Windows NT 6.1; U; MRA 5.8 (build 4110); ru) Presto/2.8.131 Version/11.11"
109.110.58.4 - - [09/Jun/2011:13:03:07 +0000] "GET /wiki/%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F:RecentChanges HTTP/1.1" 200 9560 "http://novopedia.net/w/index.php?title=Sergeisemenoff&action=historysubmit&diff=4817&oldid=4795" "Opera/9.80 (Windows NT 6.1; U; MRA 5.8 (build 4110); ru) Presto/2.8.131 Version/11.11"Проходит немного времени, и на сайт начинается вандальная атака с открытых прокси и другого юзер-агента:
95.161.22.137 - - [09/Jun/2011:13:05:00 +0000] "GET / HTTP/1.0" 301 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"
Вандал изучает список новых участников с реального IP: 109.110.58.4 - - [09/Jun/2011:13:05:22 +0000] "GET /w/index.php?title=%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3ALog&type=newusers&user=&page=&year=&month=-1 HTTP/1.1" 200 7496 "http://novopedia.net/w/index.php?title=%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3ALog&type=block&user=&page=&year=&month=-1" "Opera/9.80 (Windows NT 6.1; U; MRA 5.8 (build 4110); ru) Presto/2.8.131 Version/11.11"
И сразу же регистрирует вандальный аккаунт с открытого прокси:
95.161.22.137 - - [09/Jun/2011:13:05:31 +0000] "GET /w/index.php?title=%D0%A1%D0%BB%D1%83%D0%B6%D0%B5%D0%B1%D0%BD%D0%B0%D1%8F%3AUserLogin&returnto=%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0 HTTP/1.0" 200 18290 "http://novopedia.net/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"
И вот, один из прокси (www.proxymax.com, 69.163.170.212) обеспечивает неполную анонимность:
69.163.170.212 - - [09/Jun/2011:13:50:16 +0000] "GET / HTTP/1.0" 301 - "http://novopedia.net" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"
109.110.58.4 - - [09/Jun/2011:13:50:20 +0000] "GET /logo.png HTTP/1.1" 200 18549 "http://www.proxymax.com/index.php?q=aHR0cDovL25vdm9wZWRpYS5uZXQv&hl=1ed" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"Через некоторое время это повторяется:
66.96.128.64 - - [09/Jun/2011:14:07:58 +0000] "GET / HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"
109.110.58.4 - - [09/Jun/2011:14:08:02 +0000] "GET /w/IPLog.class HTTP/1.1" 200 1145 "http://freecreed.com/glp/browse.php?u=Oi8vbm92b3BlZGlhLm5ldC93aWtpLyVEMCU5NyVEMCVCMCVEMCVCMyVEMCVCQiVEMCVCMCVEMCVCMiVEMCVCRCVEMCVCMCVEMSU4Rl8lRDElODElRDElODIlRDElODAlRDAlQjAlRDAlQkQlRDAlQjglRDElODYlRDAlQjA%3D&b=5" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.19) Gecko/20110420 Firefox/3.5.19"В дальнейшем в логах было ещё несколько случаев, когда часть запросов делалась в обход прокси-сервера.
Вандальная атака носила в точности тот же характер, какой носили ранее отражённые атаки в Викиреальности и Циклопедии:
- прославление "охранников границ",
- оскорбления в адрес некоторых участников,
- провокации против Зелева в форме его восхваления,
- длинные матерные имена,
- разглашение личных данных.
В Викиреальности и Циклопедии также наблюдались:
- мистификации,
- вандальные запросы источников,
- внесение в статьи заведомо ложных сведений.
Так как характер практически одинаковый, вывод может быть только следующий: регулярным массовым вандализмом и троллингом в альтернативных проектах занимался Sergeisemenoff.
Предлагаю обессрочить вандала в Викиреальности и Циклопедии, заблокировать диапазон его IP-адресов, внести информацию о вандализме в статью, пометить его как вандала и не верить ни единому его слову. Мориарти 18:09, 9 июня 2011 (UTC)