В посте немного накосячить (всегда проверяйте инфу! даже мою!)
Сетка Мейлру это 128.140.168.0/21
Ну и почти полный список вражеских позиций, раз уж на то пошло: https://bgp.he.net/AS47764
Включая пиринг. Кстати, можно подумать, как еще карателям жизнь усложнить. Депир, наверное, не вариант — мы-то не каратели, чтоб клиентам жизнь усложнять. ДДоС тоже не предлагать
Сетка Мейлру это 128.140.168.0/21
Ну и почти полный список вражеских позиций, раз уж на то пошло: https://bgp.he.net/AS47764
Включая пиринг. Кстати, можно подумать, как еще карателям жизнь усложнить. Депир, наверное, не вариант — мы-то не каратели, чтоб клиентам жизнь усложнять. ДДоС тоже не предлагать
Подсчитываем потери от действий РКН-карателей. Смотрим на наиболее токсичные доменные зоны:
https://docs.google.com/spreadsheets/d/1oYILvIPzt72gEO5Cq8rhY0j7F_KNry-ya9iAh9Lk3EU/edit#gid=0
https://docs.google.com/spreadsheets/d/1oYILvIPzt72gEO5Cq8rhY0j7F_KNry-ya9iAh9Lk3EU/edit#gid=0
Google Docs
RKN banned IP/domains
domains by TLD
TLD,banned,total,%%%
.com,2833117,129946413,2,18%
.net,305061,14923135,2,04%,[24.04.2018] Небольше пояснение к табличке.
На входе данные о резолве чуть более 223 миллионов доменных имен в 1500 доменных зонах.
Из них в 869 доменных зонах нашлось…
TLD,banned,total,%%%
.com,2833117,129946413,2,18%
.net,305061,14923135,2,04%,[24.04.2018] Небольше пояснение к табличке.
На входе данные о резолве чуть более 223 миллионов доменных имен в 1500 доменных зонах.
Из них в 869 доменных зонах нашлось…
собственно, вот список погибших: https://rkn.severecloud.me/#1
Было бы неплохо оформить как мемориальную стену.
Было бы неплохо оформить как мемориальную стену.
Сук, в голосину! Вот натурально же война — уже публикация информации о пострадавших доменах (псто выше) НЕ ЗАКОННА и блокируется!
❗ Мосгорсуд определение о предварительном обеспечении по заявлению № 2И-0302/2018
❌ 104.27.162.186 (rkn.severecloud.me) by 104.27.162.186/32
❌ 104.27.163.186 (rkn.severecloud.me) by 104.27.163.186/32
❗ Мосгорсуд определение о предварительном обеспечении по заявлению № 2И-0302/2018
❌ 104.27.162.186 (rkn.severecloud.me) by 104.27.162.186/32
❌ 104.27.163.186 (rkn.severecloud.me) by 104.27.163.186/32
#digitalresistance
Important information
Currently Russian government is trying to establish new level of censorship, by blocking popular Telegram messenger. Also many unrelated resources (including some google and amazon services!) were blocked in attempt to stop people using Telegram. As result - users starts to create private VPN tunnels on the popular hosting platforms, using their affordable VPS offerings.
However, it was found that Mail.ru Group helps russian government to detect and block such endpoints. Mail.Ru controls and operates the 3 largest and most popular Russian social networking sites, VKontakte, Odnoklassniki, and Moi Mir, respectively. They are also running gmail-like free email portal.
Recently we got a number of reports that such private VPN proxies were blocked by hosters and included to the list of the government running blocklist. It was unclear how censors were able to detect them?
Thats easy. Mail ru group also operating own Internet search engine. Recently we found many scanning attempts from the Mail.ru Group operated networks, e.g. from 128.140.175.98. During scanning Telegram-related resources were requested and right after that resource been banned. That was confirmed by a number of users already.
What can be done:
1. Do not use any Mail.ru Group services. Avoid their adv. platforms, remove their tracking pixels from your pages.
2. Delete all your accounts in Mail.ru group operated services. It is good to remind that these services are very pro-actively sharing any content with government services and are not respecting user privacy.
3. If you are running own vpn/proxy - block access from the all Mail.ru networks, e.g. 128.140.168.0/21
4. Avoid any cooperation or community events with Mail.ru technical specialists due to their illegal cooperation with censors.
5. Try to share this information with your friends and colleagues. It is important to share that that this group is acting against Internet freedom.
#maxrepost
Important information
Currently Russian government is trying to establish new level of censorship, by blocking popular Telegram messenger. Also many unrelated resources (including some google and amazon services!) were blocked in attempt to stop people using Telegram. As result - users starts to create private VPN tunnels on the popular hosting platforms, using their affordable VPS offerings.
However, it was found that Mail.ru Group helps russian government to detect and block such endpoints. Mail.Ru controls and operates the 3 largest and most popular Russian social networking sites, VKontakte, Odnoklassniki, and Moi Mir, respectively. They are also running gmail-like free email portal.
Recently we got a number of reports that such private VPN proxies were blocked by hosters and included to the list of the government running blocklist. It was unclear how censors were able to detect them?
Thats easy. Mail ru group also operating own Internet search engine. Recently we found many scanning attempts from the Mail.ru Group operated networks, e.g. from 128.140.175.98. During scanning Telegram-related resources were requested and right after that resource been banned. That was confirmed by a number of users already.
What can be done:
1. Do not use any Mail.ru Group services. Avoid their adv. platforms, remove their tracking pixels from your pages.
2. Delete all your accounts in Mail.ru group operated services. It is good to remind that these services are very pro-actively sharing any content with government services and are not respecting user privacy.
3. If you are running own vpn/proxy - block access from the all Mail.ru networks, e.g. 128.140.168.0/21
4. Avoid any cooperation or community events with Mail.ru technical specialists due to their illegal cooperation with censors.
5. Try to share this information with your friends and colleagues. It is important to share that that this group is acting against Internet freedom.
#maxrepost
ЗаТелеком 🌐 pinned «#digitalresistance Important information Currently Russian government is trying to establish new level of censorship, by blocking popular Telegram messenger. Also many unrelated resources (including some google and amazon services!) were blocked in attempt…»
sudo iptables -A INPUT -s 5.61.16.0/21 -j DROP
sudo iptables -A INPUT -s 5.61.232.0/21 -j DROP
sudo iptables -A INPUT -s 79.137.157.0/24 -j DROP
sudo iptables -A INPUT -s 79.137.174.0/23 -j DROP
sudo iptables -A INPUT -s 79.137.183.0/24 -j DROP
sudo iptables -A INPUT -s 94.100.176.0/20 -j DROP
sudo iptables -A INPUT -s 95.163.32.0/19 -j DROP
sudo iptables -A INPUT -s 95.163.212.0/22 -j DROP
sudo iptables -A INPUT -s 95.163.216.0/22 -j DROP
sudo iptables -A INPUT -s 95.163.248.0/21 -j DROP
sudo iptables -A INPUT -s 128.140.168.0/21 -j DROP
sudo iptables -A INPUT -s 178.22.88.0/21 -j DROP
sudo iptables -A INPUT -s 178.237.16.0/20 -j DROP
sudo iptables -A INPUT -s 178.237.29.0/24 -j DROP
sudo iptables -A INPUT -s 185.5.136.0/22 -j DROP
sudo iptables -A INPUT -s 185.16.148.0/22 -j DROP
sudo iptables -A INPUT -s 185.16.244.0/23 -j DROP
sudo iptables -A INPUT -s 185.16.246.0/24 -j DROP
sudo iptables -A INPUT -s 185.16.247.0/24 -j DROP
sudo iptables -A INPUT -s 188.93.56.0/21 -j DROP
sudo iptables -A INPUT -s 194.186.63.0/24 -j DROP
sudo iptables -A INPUT -s 195.211.20.0/22 -j DROP
sudo iptables -A INPUT -s 195.218.168.0/24 -j DROP
sudo iptables -A INPUT -s 217.20.144.0/20 -j DROP
sudo iptables -A INPUT -s 217.69.128.0/20 -j DROP
sudo iptables-save
Список для ленивых. Если у вас есть тачка с прокси/VPN.
NB: для тех, кто не понимает, что делает — ОСТОРОЖНЕЕ! Сначала погуглите.
Для микротиков:
add action=drop chain=forward comment="MRG blok" dst-address-list=MRG protocol=tcp
add address=5.61.16.0/21 list=MRG
add address=5.61.232.0/21 list=MRG
add address=79.137.157.0/24 list=MRG
add address=79.137.174.0/23 list=MRG
add address=79.137.183.0/24 list=MRG
add address=94.100.176.0/20 list=MRG
add address=95.163.32.0/19 list=MRG
add address=95.163.212.0/22 list=MRG
add address=95.163.216.0/22 list=MRG
add address=95.163.248.0/21 list=MRG
add address=128.140.168.0/21 list=MRG
add address=178.22.88.0/21 list=MRG
add address=178.237.16.0/20 list=MRG
add address=178.237.29.0/24 list=MRG
add address=185.5.136.0/22 list=MRG
add address=185.16.148.0/22 list=MRG
add address=185.16.244.0/23 list=MRG
add address=185.16.246.0/24 list=MRG
add address=185.16.247.0/24 list=MRG
add address=188.93.56.0/21 list=MRG
add address=194.186.63.0/24 list=MRG
add address=195.211.20.0/22 list=MRG
add address=195.218.168.0/24 list=MRG
add address=217.20.144.0/20 list=MRG
add address=217.69.128.0/20 list=MRG
Нашли еще один токсичный IP-шник
Но он принадлежит Ру-Центру.
Возможно, с этих сетей сидят уже в ГРЧЦ, да. Но надо проверить сначала.
И тут еще историки гражданской войны просят -j DROP
дополнить -j LOG — ну, чтоб фиксировать обращения. Логи с удовольствием почитаем/поанализируем.
109.70.27.44
Но он принадлежит Ру-Центру.
Возможно, с этих сетей сидят уже в ГРЧЦ, да. Но надо проверить сначала.
И тут еще историки гражданской войны просят -j DROP
дополнить -j LOG — ну, чтоб фиксировать обращения. Логи с удовольствием почитаем/поанализируем.
СЛИВ
Опсосы получили команду блочить СМС для регистрации Тележки. Чот они там слоупоки совсем
Опсосы получили команду блочить СМС для регистрации Тележки. Чот они там слоупоки совсем
Так. Поясню, как работает сканилка прокси/VPN. Много вопросов в личку, потому надо подробнее.
0. Это только гипотеза. Как все на самом деле сделано — я не знаю. Мы можем только наблюдать, что происходит.
Кстати, чтоб лучше наблюдать — рекомендую включить логирование. Еще круче pcap, но это требует сноровки. Ловленные логи отправлять мне :)
1. Спайдеры МРГ ходят по /0 и выискивают открытые * стандартные * порты проксиков тележеньки
2. При выявлении оных, * возможно * запускают какой-то тест-скрипт, который * возможно * пытается подцепиться как клиент
3. При ответе ‘OK’ запускается процесс абуза хостеру. Если хостер не ведется — в реестр.
как-то так. Ну, я б так сделал, если б был по обратную сторону.
0. Это только гипотеза. Как все на самом деле сделано — я не знаю. Мы можем только наблюдать, что происходит.
Кстати, чтоб лучше наблюдать — рекомендую включить логирование. Еще круче pcap, но это требует сноровки. Ловленные логи отправлять мне :)
1. Спайдеры МРГ ходят по /0 и выискивают открытые * стандартные * порты проксиков тележеньки
2. При выявлении оных, * возможно * запускают какой-то тест-скрипт, который * возможно * пытается подцепиться как клиент
3. При ответе ‘OK’ запускается процесс абуза хостеру. Если хостер не ведется — в реестр.
как-то так. Ну, я б так сделал, если б был по обратную сторону.
Скрипт по блоку МРГ
Прислал подписчик (более подкованный, чем я):
1) Скрипт проверяет на наличие правила для полного запрета входных выходных данных. Если он есть, то он временно удаляется чтобы добавить нужные нам IP адреса для блокировки. Потом обратно добавляется. Если оставить это правило, то блокировки могут не сработать. Ну, я так думаю, ибо был опыт, хотя мои знания в Линукс не совсем уровня "эксперт".
2) Поддержка IPv6
3) Поддержка удаления
4) Скрипт не сохраняет правила, потому что есть различные фильтры для сохранения. В моем случае это netfilter-persistent. Поэтому оставил без сохранения, чтобы пользователи могли сохранить сами используя свой вариант.
Прикрепляю файл ниже
Прислал подписчик (более подкованный, чем я):
1) Скрипт проверяет на наличие правила для полного запрета входных выходных данных. Если он есть, то он временно удаляется чтобы добавить нужные нам IP адреса для блокировки. Потом обратно добавляется. Если оставить это правило, то блокировки могут не сработать. Ну, я так думаю, ибо был опыт, хотя мои знания в Линукс не совсем уровня "эксперт".
2) Поддержка IPv6
3) Поддержка удаления
4) Скрипт не сохраняет правила, потому что есть различные фильтры для сохранения. В моем случае это netfilter-persistent. Поэтому оставил без сохранения, чтобы пользователи могли сохранить сами используя свой вариант.
Прикрепляю файл ниже