szukaj

06.06.2013 | 17:37

avatar

Adam Haertle

Atak na nasz serwis – podsumowanie incydentu

Jak część z Was mogła zauważyć, od wczorajszego wieczora do wczesnego poranka (lub dla niektórych do południa) nasz serwis był niedostępny. Poniżej znajdziecie opis wydarzeń, które miały miejsce w ostatnich kilkunastu godzinach i nasze wnioski.

Wczoraj rano opublikowaliśmy artykuł Polskie fora przestępcze w sieci TOR znikają jedno po drugim. Przez dokładnie półtora roku działalności nikt nie pofatygował się, by wysłać w naszą stronę coś więcej niż proste żądanie GET czy czasem POST. Sytuacja ta zmieniła się kilka godzin po tym, jak światło dzienne ujrzał powyższy wpis. Oto przebieg wydarzeń.

18:26:31

O tej godzinie w logach httpd zanika normalny ruch (trochę wyższy niż zazwyczaj ze względu na popularność linków do ostatniego postu w serwisach Strims.pl i Wykop.pl).

18:27

Na naszym profilu na Facebooku pojawia się wpis Michała Kuszpita, znanego kiedyś w sieci jako linc0ln.dll.

Powiadomienie o nowym wpisie

Powiadomienie o nowym wpisie

Do wpisu nie możemy zalinkować, ponieważ chwilę później zostaje usunięty przez autora.

18:27 – 18:45

W ciągu ostatnich 18 minut działania serwera www dociera do niego jeszcze ok. 200 zapytań. Ostatnie trafia o 18:45:52

18:55

Na naszą skrzynkę dociera alert systemu powiadamiającego o niedostępności usługi. Pierwsza myśl – wykop effect. Niestety Google Analytics pokazuje zero odwiedzających. Szybka weryfikacja – serwer nie chce z nami rozmawiać. Próba otwarcia ticketu w home.pl nieudana – mobilna przeglądarka nie obsługuje JavaScriptu a bez obsługi JavaScriptu nie da się otworzyć ticketu. Niestety możliwość pracy przy komputerze będziemy mieć dopiero wieczorem.

19:15

Wrzucamy komunikat o problemach z dostępem na nasz profil na Facebooku.

20:11

Home.pl przesyła nam komunikat o treści

Pragniemy poinformować, że w chwili obecnej może wystąpić niedostępność Państwa serwisu, która jest spowodowana atakiem DDoS na serwer. W chwili obecnej prowadzone są działania mające na celu zablokowanie źródeł ataku.

22:00

Michał Kuszpit ponownie się odzywa, tym razem w komentarzu do naszego wpisu:

Komentarz pod naszym wpisem

Komentarz pod naszym wpisem

23:00

Siadamy przy komputerze i po weryfikacji, że serwer nadal się nie odzywa, odzyskujemy kopie bezpieczeństwa sprzed 24h z innej lokalizacji i wgrywamy je na serwer, który do tej pory był środowiskiem rozwojowo-testowym.

01:10

Dzięki dużej pomocy zaprzyjaźnionego administratora uruchamiamy tymczasową wersję serwisu. Brakuje ostatniego artykułu i części grafiki, ale lepsze to niż nic. Widzimy powoli powracający ruch, jednak propagacja wpisów DNS sprawia, że nie wszyscy trafiają jeszcze na działającą stronę.

07:00

Konfigurujemy usługę CloudFlare na wypadek kolejnych ataków. Po raz kolejny musimy zmienić wpisy DNS, dzięki czemu w sieci funkcjonujemy już pod 3 różnymi adresami IP, z których 66% działa :)

11:27:31

17 godzin i minutę po rozpoczęciu ataku serwer wraca do życia Strona powinna być już kompletna i dostępna dla wszystkich.

12:10

Otrzymujemy wiadomość od home.pl o treści

Pragnę poinformować, iż usługa została odblokowana. Dostęp do danych powinien już być możliwy.

Możliwe przyczyny ataku

Wydarzenia ostatnich godzin wskazują, że przyczyną ataku mógł być następujący akapit wczorajszego artykułu:

Na początku kwietnia w serwisie pojawiły się informacje sugerujące (wraz z licznymi poszlakami), że współzałożyciel PBM, nvm, to tak naprawdę linc0ln.dll, jeden ze znanych polskich włamywaczy. Poszlaki wskazujące na prawdziwość tej teorii zostały najwyraźniej potraktowane poważnie, ponieważ nvm stracił swoje uprawnienia na forum.

Najwyraźniej opis faktów, które są kawałkiem historii PB&M (a być może również fragmentem wyjaśnienia, czemu forum już nie działa), kogoś trochę zdenerwował.

Podsumowanie

Nasz serwis nie zarabia ani grosza. Nie jesteśmy bankiem ani Allegro, nawet nie mamy żadnych reklam, więc cały atak kosztował nas jedynie kilka godzin pracy, którą i tak planowaliśmy kiedyś wykonać. Nie zamierzamy przestać opisywać istotnych faktów związanych z bezpieczeństwem informacji, więc liczymy się z tym, że ataki mogą się powtórzyć. Niestety nic nie poradzimy na to, że  niektórzy internauci potrafią swoje problemy rozwiązywać jedynie siłą. Mamy nadzieję, że kiedyś z tego wyrosną.

Powrót

Komentarze

  • avatar
    2013.06.06 18:05 martys

    Ja bym się martwił na miejscu lincolna nie wejscia policji, a kogoś innego, który może mu łeb upierdolić.

    Odpowiedz
  • avatar
    2013.06.06 18:07 Rozg

    sergiusz i linc0ln straznicy internetu hahaha.

    Odpowiedz
    • avatar
      2013.06.06 20:26 Janusz

      Nawet śmiechłem. Pewnie go zapiekło.

      Odpowiedz
  • avatar
    2013.06.06 18:38 Kszysztof

    Może po prostu lepiej zmienić hosting…

    Odpowiedz
    • avatar
      2013.06.09 05:40 marsjaninzmarsa

      Właśnie. Aż mi się smutno zrobiło po przeczytaniu, że stoją na Home…

      Odpowiedz
  • avatar
    2013.06.06 18:55 DOgi

    Podsumowanie:
    home.pl zablokował vpsa, bo zauważyli podejrzaną aktywność.

    Wnioski:
    Zakup konta PRO na Cloudflare gwarantującego bardzo wysoką dostępność (ew. serwujacego kopię strony sprzed paru godzin).
    Ewentualnie przejście na wordpress.com

    Odpowiedz
    • avatar
      2013.06.07 08:48 Jarek

      Nie czytałeś co Adam napisał na końcu? To jest serwis non-profit. Nie sądzę, że za 0gr kupi usługę PRO w CloudFlare.

      Adamie, zastanowiłbym się nad dotacjami w BTC z adresem na końcu artu ;-)

      Odpowiedz
  • avatar
    2013.06.06 20:04 qwerty

    hehe na 100% Sergiusz (fubu) razem z nvm (Michałek:)). Fubu ma własny mały botnecik którym terroryzuje Internet :P

    PS. linc0ln.dll, nvm, _elektryk czy jak tam wolisz, lubię jak mówisz, że nvm to nie Ty, a na PB&M po wpisie Twojego jak mniemam byłego przyjaciela od ataków sqli, lfi i innej dziecinady fir3 mówiącego kim jesteś naprawdę odpowiedziałeś mniej więcej tak:

    'A nvm jest aktywny na forum =)
    Fir3 ty sprzedajna ku**o oglądaj się od dzisiaj za siebie’ (cytat z pamięci)

    Po takiej wypowiedzi nawet dziecko by się domyśliło, że fir3 studencik korzystający z lapa Ani ma racje… Tymczasem wjeżdżaj na DT bo Cię zdegradowali:P

    PS2. Masz taką samą stylometrię w życiu jak na forum.

    I watch you all day, every day :))

    Odpowiedz
    • avatar
      2013.06.07 09:59 terefere

      true!

      Odpowiedz
    • avatar
      2013.06.09 16:08 Fir3

      ale jesteś pojebany. Uważasz mnie za takiego przygłupa abym pisał na forum w torze coś na swojego ziomka? o.O i to jeszcze podpisując się swoim nickiem? a Może to nvm, znalazł sobie kozła ofiarnego jak chciał zejść ze sceny ? ku*wa że musicie mnie mieszać w jakieś wasze pojebane sprawy jak ja półtora roku się nie udzielam w sieci ? o.O

      Odpowiedz
  • avatar
    2013.06.06 20:18 ojoj

    Dawno dawno temu jak jeszcze niebezpiecznik hostowal się na dreamhoscie a ktoś zrobił DDoSa to właścicielowi tego serwisu zajęło 24h ustalenie numeru telefonu do jakiejkolwiek osoby pracującej w DH. Provider zablokował cały hosting i miał w nosie ten serwis. W ogóle nie odpowiadali na tickety a system backupu nie pozwalał na dostęp ze względu na całkowita blokadę konta ;)
    W ich przypadku downtime trwał chyba w okolicach 36-48h (może mnie ktoś poprawi bo nie jestem pewny, ale raczej było to więcej niż 24h).

    Odpowiedz
  • avatar
    2013.06.06 22:30 Skrzat

    Internet ma to własnie do siebie, że ci (pisane z małej litery zamierzenie) tak spragnieni mimo wszystko popularności zawsze zostawią jakiś ślad. Ciekawe jak to się ma to całej tej teroii i przekonywania, że jest się kimś innym niż fakty o tym świadczą.
    http://paste.openstack.org/raw/15123/

    Odpowiedz
    • avatar
      2013.06.07 07:47 anonim

      hehehe chłopaki zapominają że siłowe rozwiązywanie problemów w necie może zostać ukrócone nie tylko przez policje i sądy które są lekko opóźnione w wymierzaniu sprawiedliwości ;]

      Odpowiedz
    • avatar
      2013.06.08 17:04 ortograf

      „(pisane z małej litery zamierzenie)” polecam wrócić do podstawówki na lekcje polskiego, bo w takiej sytuacji „ci” ZAWSZE pisze się z małej litery.

      Odpowiedz
      • avatar
        2013.06.10 11:44 Frędzel

        Te, Ortograf, NIGDY NIE PISZEMY „z małej litery”. Z wielkiej też nie piszemy, a już na pewno nie „z dużej”. Zawsze piszemy „małą literą”. Ewentualnie „wielką literą”. To tak w ramach programu „Przyganial kocioł garnkowi 9.97”, który jest sponsorowany ze środków UE ;-)

        Odpowiedz
  • avatar
    2013.06.07 00:19 adas

    nowe forum pb&m 2 mozna zobaczyc na stronie polish hackers zone

    Odpowiedz
  • avatar
    2013.06.07 02:55 abrah4m.exe

    Jak wielkim trzeba być nolifem, by tak spinać się, że ktoś go zabolał w neciku, ojojoj. ;-) Kompleksik mikruska jak nic.

    Odpowiedz
  • avatar
    2013.06.07 08:31 Voo

    Podziękujemy. Obiecujemy. Have nice day

    Odpowiedz
  • avatar
    2013.06.07 08:33 Mario_Vs

    Tango Down :)

    Odpowiedz
  • avatar
    2013.06.07 09:27 Michał

    Jaki atak? Przecież to tylko zwykły DDoS :P

    Odpowiedz
  • avatar
    2013.06.08 02:20 roman

    Ale h4xory sie zezloscily, strach sie bac uuuuuuu. Pewnie jak nie przeprosicie zatopia jakis tankowiec ;D

    Odpowiedz
  • avatar
    2013.06.08 02:59 inter

    Ciekawi mnie jak bardzo trzeba mieć spotęgowany ból dupy, żeby odstawiać taką dziecinadę jako reakcję na wzmiankę o sobie :)

    Odpowiedz
  • avatar
    2013.06.08 07:16 Mati

    „Próba otwarcia ticketu w home.pl nieudana”

    Trochę c…o, że jak wasze konto pada to pada panel zarządzania kontem… wraz z ticket system… to powinno być niezależne jak u reszty….

    Odpowiedz
    • avatar
      2013.06.08 09:03 adamh

      Nieudana, bo przeglądarka telefonu nie obsługuje JavaScriptu. Nie ma nic wspólnego z niedostępnością serwera.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Atak na nasz serwis – podsumowanie incydentu

Komentarze