Atak na nasz serwis – podsumowanie incydentu
Jak część z Was mogła zauważyć, od wczorajszego wieczora do wczesnego poranka (lub dla niektórych do południa) nasz serwis był niedostępny. Poniżej znajdziecie opis wydarzeń, które miały miejsce w ostatnich kilkunastu godzinach i nasze wnioski.
Wczoraj rano opublikowaliśmy artykuł Polskie fora przestępcze w sieci TOR znikają jedno po drugim. Przez dokładnie półtora roku działalności nikt nie pofatygował się, by wysłać w naszą stronę coś więcej niż proste żądanie GET czy czasem POST. Sytuacja ta zmieniła się kilka godzin po tym, jak światło dzienne ujrzał powyższy wpis. Oto przebieg wydarzeń.
18:26:31
O tej godzinie w logach httpd zanika normalny ruch (trochę wyższy niż zazwyczaj ze względu na popularność linków do ostatniego postu w serwisach Strims.pl i Wykop.pl).
18:27
Na naszym profilu na Facebooku pojawia się wpis Michała Kuszpita, znanego kiedyś w sieci jako linc0ln.dll.
Powiadomienie o nowym wpisie
Do wpisu nie możemy zalinkować, ponieważ chwilę później zostaje usunięty przez autora.
18:27 – 18:45
W ciągu ostatnich 18 minut działania serwera www dociera do niego jeszcze ok. 200 zapytań. Ostatnie trafia o 18:45:52
18:55
Na naszą skrzynkę dociera alert systemu powiadamiającego o niedostępności usługi. Pierwsza myśl – wykop effect. Niestety Google Analytics pokazuje zero odwiedzających. Szybka weryfikacja – serwer nie chce z nami rozmawiać. Próba otwarcia ticketu w home.pl nieudana – mobilna przeglądarka nie obsługuje JavaScriptu a bez obsługi JavaScriptu nie da się otworzyć ticketu. Niestety możliwość pracy przy komputerze będziemy mieć dopiero wieczorem.
19:15
Wrzucamy komunikat o problemach z dostępem na nasz profil na Facebooku.
20:11
Home.pl przesyła nam komunikat o treści
Pragniemy poinformować, że w chwili obecnej może wystąpić niedostępność Państwa serwisu, która jest spowodowana atakiem DDoS na serwer. W chwili obecnej prowadzone są działania mające na celu zablokowanie źródeł ataku.
22:00
Michał Kuszpit ponownie się odzywa, tym razem w komentarzu do naszego wpisu:
Komentarz pod naszym wpisem
23:00
Siadamy przy komputerze i po weryfikacji, że serwer nadal się nie odzywa, odzyskujemy kopie bezpieczeństwa sprzed 24h z innej lokalizacji i wgrywamy je na serwer, który do tej pory był środowiskiem rozwojowo-testowym.
01:10
Dzięki dużej pomocy zaprzyjaźnionego administratora uruchamiamy tymczasową wersję serwisu. Brakuje ostatniego artykułu i części grafiki, ale lepsze to niż nic. Widzimy powoli powracający ruch, jednak propagacja wpisów DNS sprawia, że nie wszyscy trafiają jeszcze na działającą stronę.
07:00
Konfigurujemy usługę CloudFlare na wypadek kolejnych ataków. Po raz kolejny musimy zmienić wpisy DNS, dzięki czemu w sieci funkcjonujemy już pod 3 różnymi adresami IP, z których 66% działa :)
11:27:31
17 godzin i minutę po rozpoczęciu ataku serwer wraca do życia Strona powinna być już kompletna i dostępna dla wszystkich.
12:10
Otrzymujemy wiadomość od home.pl o treści
Pragnę poinformować, iż usługa została odblokowana. Dostęp do danych powinien już być możliwy.
Możliwe przyczyny ataku
Wydarzenia ostatnich godzin wskazują, że przyczyną ataku mógł być następujący akapit wczorajszego artykułu:
Na początku kwietnia w serwisie pojawiły się informacje sugerujące (wraz z licznymi poszlakami), że współzałożyciel PBM, nvm, to tak naprawdę linc0ln.dll, jeden ze znanych polskich włamywaczy. Poszlaki wskazujące na prawdziwość tej teorii zostały najwyraźniej potraktowane poważnie, ponieważ nvm stracił swoje uprawnienia na forum.
Najwyraźniej opis faktów, które są kawałkiem historii PB&M (a być może również fragmentem wyjaśnienia, czemu forum już nie działa), kogoś trochę zdenerwował.
Podsumowanie
Nasz serwis nie zarabia ani grosza. Nie jesteśmy bankiem ani Allegro, nawet nie mamy żadnych reklam, więc cały atak kosztował nas jedynie kilka godzin pracy, którą i tak planowaliśmy kiedyś wykonać. Nie zamierzamy przestać opisywać istotnych faktów związanych z bezpieczeństwem informacji, więc liczymy się z tym, że ataki mogą się powtórzyć. Niestety nic nie poradzimy na to, że niektórzy internauci potrafią swoje problemy rozwiązywać jedynie siłą. Mamy nadzieję, że kiedyś z tego wyrosną.
Podobne wpisy
- Przestańcie nagłaśniać rosyjskie ataki DDoS – to ich akcje propagandowe
- Ofiara ransomware kontratakuje i to całkiem skutecznie
- Co się dzieje w sieci Tor – od historii polskich serwisów po teraźniejszość
- TAMA – operatorski system ochrony przed atakami DDoS
- O sieci Tor, hejtowaniu opozycji i anonimowości w internecie
Ja bym się martwił na miejscu lincolna nie wejscia policji, a kogoś innego, który może mu łeb upierdolić.
sergiusz i linc0ln straznicy internetu hahaha.
Nawet śmiechłem. Pewnie go zapiekło.
Może po prostu lepiej zmienić hosting…
Właśnie. Aż mi się smutno zrobiło po przeczytaniu, że stoją na Home…
Podsumowanie:
home.pl zablokował vpsa, bo zauważyli podejrzaną aktywność.
Wnioski:
Zakup konta PRO na Cloudflare gwarantującego bardzo wysoką dostępność (ew. serwujacego kopię strony sprzed paru godzin).
Ewentualnie przejście na wordpress.com
Nie czytałeś co Adam napisał na końcu? To jest serwis non-profit. Nie sądzę, że za 0gr kupi usługę PRO w CloudFlare.
Adamie, zastanowiłbym się nad dotacjami w BTC z adresem na końcu artu ;-)
hehe na 100% Sergiusz (fubu) razem z nvm (Michałek:)). Fubu ma własny mały botnecik którym terroryzuje Internet :P
PS. linc0ln.dll, nvm, _elektryk czy jak tam wolisz, lubię jak mówisz, że nvm to nie Ty, a na PB&M po wpisie Twojego jak mniemam byłego przyjaciela od ataków sqli, lfi i innej dziecinady fir3 mówiącego kim jesteś naprawdę odpowiedziałeś mniej więcej tak:
'A nvm jest aktywny na forum =)
Fir3 ty sprzedajna ku**o oglądaj się od dzisiaj za siebie’ (cytat z pamięci)
Po takiej wypowiedzi nawet dziecko by się domyśliło, że fir3 studencik korzystający z lapa Ani ma racje… Tymczasem wjeżdżaj na DT bo Cię zdegradowali:P
PS2. Masz taką samą stylometrię w życiu jak na forum.
I watch you all day, every day :))
true!
ale jesteś pojebany. Uważasz mnie za takiego przygłupa abym pisał na forum w torze coś na swojego ziomka? o.O i to jeszcze podpisując się swoim nickiem? a Może to nvm, znalazł sobie kozła ofiarnego jak chciał zejść ze sceny ? ku*wa że musicie mnie mieszać w jakieś wasze pojebane sprawy jak ja półtora roku się nie udzielam w sieci ? o.O
Dawno dawno temu jak jeszcze niebezpiecznik hostowal się na dreamhoscie a ktoś zrobił DDoSa to właścicielowi tego serwisu zajęło 24h ustalenie numeru telefonu do jakiejkolwiek osoby pracującej w DH. Provider zablokował cały hosting i miał w nosie ten serwis. W ogóle nie odpowiadali na tickety a system backupu nie pozwalał na dostęp ze względu na całkowita blokadę konta ;)
W ich przypadku downtime trwał chyba w okolicach 36-48h (może mnie ktoś poprawi bo nie jestem pewny, ale raczej było to więcej niż 24h).
Internet ma to własnie do siebie, że ci (pisane z małej litery zamierzenie) tak spragnieni mimo wszystko popularności zawsze zostawią jakiś ślad. Ciekawe jak to się ma to całej tej teroii i przekonywania, że jest się kimś innym niż fakty o tym świadczą.
http://paste.openstack.org/raw/15123/
hehehe chłopaki zapominają że siłowe rozwiązywanie problemów w necie może zostać ukrócone nie tylko przez policje i sądy które są lekko opóźnione w wymierzaniu sprawiedliwości ;]
„(pisane z małej litery zamierzenie)” polecam wrócić do podstawówki na lekcje polskiego, bo w takiej sytuacji „ci” ZAWSZE pisze się z małej litery.
Te, Ortograf, NIGDY NIE PISZEMY „z małej litery”. Z wielkiej też nie piszemy, a już na pewno nie „z dużej”. Zawsze piszemy „małą literą”. Ewentualnie „wielką literą”. To tak w ramach programu „Przyganial kocioł garnkowi 9.97”, który jest sponsorowany ze środków UE ;-)
nowe forum pb&m 2 mozna zobaczyc na stronie polish hackers zone
Jak wielkim trzeba być nolifem, by tak spinać się, że ktoś go zabolał w neciku, ojojoj. ;-) Kompleksik mikruska jak nic.
Podziękujemy. Obiecujemy. Have nice day
Tango Down :)
Jaki atak? Przecież to tylko zwykły DDoS :P
Ale h4xory sie zezloscily, strach sie bac uuuuuuu. Pewnie jak nie przeprosicie zatopia jakis tankowiec ;D
Ciekawi mnie jak bardzo trzeba mieć spotęgowany ból dupy, żeby odstawiać taką dziecinadę jako reakcję na wzmiankę o sobie :)
„Próba otwarcia ticketu w home.pl nieudana”
Trochę c…o, że jak wasze konto pada to pada panel zarządzania kontem… wraz z ticket system… to powinno być niezależne jak u reszty….
Nieudana, bo przeglądarka telefonu nie obsługuje JavaScriptu. Nie ma nic wspólnego z niedostępnością serwera.