Od paru godzin sensacją dnia jest rzekomy skuteczny atak hakerów na stronę WWW popularnego tygodnika wSieci. Przyczyną ataków miała być kontrowersyjna okładka tygodnika z obrazem „islamskiego gwałtu na Europie”.
Do bliżej niesprecyzowanego ataku miało dojść kilka dni temu a jego skutkiem jest trwająca do dzisiaj niedostępność strony WWW tygodnika. Kilka elementów jednak nie pasuje nam do całej układanki.
Cyber Justice Team
Sprawcami rzekomego ataku ma być grupa ukrywająca się pod nazwą Cyber Justice Team. Powiązane z nią konto Twittera powstało około 24 stycznia tego roku i wskazuje, że jest to osoba lub grupa osób sprzyjająca ruchom islamskim. Sami twierdzą, że walczą z ISIS, ekstremistami i niesprawiedliwością. 19 lutego wieczorem w jednym z wpisów opublikowanych przez to konto zwrócono uwagę na kontrowersyjną okładkę magazynu wSieci.
Krótko potem opublikowano informację „TangoDown”, co oznacza wyłączenie serwera. Faktycznie, od około godziny 19 dnia 19 lutego serwis wSieci.pl pokazuje tylko jeden ekran – błąd 404.
Czy takie są efekty ataku DDoS?
Z reguły efektem ataku DDoS (w tym rodzaju ataków specjalizują się aktywiści) jest niedostępność serwera, a nie błąd 404. Tymczasem serwer wSieci.pl wyświetla błąd sugerujący, że albo jego zawartość została usunięta, albo strony zostały po prostu wyłączone. Co więcej, inne strony znajdujące się pod tym samym adresem IP, w tym witryna wydawnictwa odpowiedzialnego za wSieci.pl (www.fratria.pl) są ciągle dostępne bez żadnych przeszkód.
Strona wSieci.pl zamieszczona jest na serwerach dostawcy Linux.pl.com, który z kolei korzysta z usług ogromnej firmy Hetzner. Niestety Linuxpl odmówił odpowiedzi na pytanie o ewentualne ataki na wSieci.pl a skrzynka pocztowa wydawnictwa Fratria wydaje się być przepełniona. Nie znaleźliśmy też jakiejkolwiek informacji o awarii w serwisach społecznościowych gdzie konta ma wSieci.pl
Wobec chwilowego braku możliwości uzyskania informacji od samych zainteresowanych pozwolimy sobie na moment spekulacji. Do ataku miało dojść w piątek wieczorem. Być może podjęto decyzję o wyłączeniu serwisu na weekend i w poniedziałek, gdy do pracy wróci informatyk, strona także powróci?
Czy to oznacza, że ataku nie było? Na to pytanie trudno odpowiedzieć, niewykluczone jednak, że atak miał miejsce, lecz jego długotrwałe efekty nie są skutkiem niezwykłej sprawności atakujących, a raczej decyzji o wyłączeniu strony na cały weekend.
Aktualizacja 23:00
Robi się jeszcze śmieszniej – jak wskazuje komentator Marek strona pojawiła się pod adresem www.tygodnikwsieci.pl, która znajduje się na tym samym serwerze co wSieci.pl. Pojawił się także komentarz redakcji wspominający, że strona wSieci.pl została wyłączona. Zupełnie nie rozumiemy tej logiki wydarzeń (ktoś im hasła pozmieniał i nie potrafią ich zresetować?) ale dobrze oddaje ją cytat z artykułu redakcji:
Aktualizacja 2016-02-22 7:00
Nasi Czytelnicy wskazują na inne możliwe wyjaśnienie sytuacji, które pasuje do objawów. Jest możliwe, że to dostawca usług wybrał wyłączenie zaatakowanego serwera jako najprostszą formę obrony przed atakiem na klienta o niskim budżecie. To tłumaczy „błąd 404” – właściciel, wyłączając serwis, raczej umieściłby tam jakiś jasny komunikat dla czytelników.
Komentarze
powinniscie dac jeszcze okladke skoro to ona ma byc przyczyna zamieszania, a faktycznie jest mocna i bardzo celna.
>celna
xD
Kolonia, sylwester, kojarzy ci sie coś?
Tak czy inaczej, wylaczenie strony – badz co badz – sporego tygonika na caly weekend, to spora wtopa.
Może warto by zwrócić uwagę, że atak jest skierowany na serwer który jest serwerem współdzielonym WPRO z oferty Linuxpl (tak przynajmniej mówi stopka 404 która mówi o serwerze na LiteSpeed Web Server). Zapewne to server nie tylko z domenami należącymi do Fratria Sp z o.o. ale także innych ducha winnych użytkowników.
Łatwiej jest odłączyć jedną atakowaną domenę niż poświęcić cały serwer. Użytkownicy tego samego serwera IP zapewne odczuli w piątek wieczorem skutki ataku ponieważ serwer nie działał około pół godziny, sam jestem jednym z użytkowników na tym IP więc wiem o czym piszę :)
Uruchomili stronę na innym adresie na tym serwerze http://www.tygodnikwsieci.pl … widać jest to atak na konkretny adres a nie IP serwera.
Ja dokładnie rozumiem o co chodzi :) Zaatakowany został jeden adres na serwerze dedykowanym. Atak na ten adres przeciążał serwer WPRO od Linuxpl (serwer współdzielony z innymi użytkownikami) – przestały około 18:30 działać wszystkie strony na tym serwerze. Hostingodawca łatwo zlokalizował atakowaną domenę i ją odłączył. Nie będzie przecież dla jednej domeny która płaci jakieś (cena według cennika na stronie Linuxpl) 344.40 brutto / 12 m-cy włączał filtrowania ruchu – antyddos. To nie jest klient z serwerem dedykowanym :) Co innego zapewne gdyby to IP serwera zostało zaatakowane to wtedy ciężko byłoby określić przyczynę ataku i zapewne atak zostałby odfiltrowany przecież obsługuje ich Hetzner który umie :)
Ale skoro serwis wrócił na tym samym serwerze tylko pod inną domeną to znaczy że kupili kolejną usługę? :)
no wygląda to tak, że nic nie wykupili tylko na tym samym serwerze (koncie) podpięli zapasową domenę pod serwis który fizycznie był już na tym serwerze (domena tygodnikwsieci.pl według whois.pl wykupiona 2012.12.11 12:41:00) skoro hostingodawca odłączył im atakowaną domenę wsieci.pl od serwera :) prostrzego rozwiązania nie widzę, jeżeli kogoś nie stać na serwer dedykowany z antyddos :)
Miało być: Zaatakowany został jeden adres na serwerze „współdzielonym” :)
„popularnego tygodnika wSieci”? I ten niby popularny tygodnik nie ma pieniedzy na dobry serwer a placi tylko 28zl na miesiac? Dla kogo jest popularny to jest. Robicie reklame dla wcale niezbyt popularnego tygodnika.
Popularny nie znaczy koniecznie bogaty. A popularny jest, zobacz dane na temat nakładu i sprzedaży.
ktoś się będzie musiał dowiedzieć do czego służy cloudflare ;>
Uważasz, że jak kogoś nie stać na serwer dedykowany to będzie go stać na cloudflare z antyddos za 200$ miesięcznie? :)
W planie Free masz podstawową ochronę antyDDoS, a w Pro jest WAF, które chroni przed botnetami/atakami na warstwie 7, czyli XML/RPC, etc. są z góry wycięte. Enterprise jest bardziej do naprawdę zaawansowanych ataków, którym nie został raczej dotknięty wSieci.pl ;)
Myślę że nawet podstawowa ochrona jaka jest w planie free może dość skutecznie ograniczyć DDoS jakichś wielbicieli kozich wdzięków. Poza tym lepszy taki darmowy cloudflare niż serwer współdzielony bez żadnej ochrony anty DDoS i którego admin chętnie zablokuje Ci stronę w przypadku podobnego zdarzenia (zresztą nie ma co się dziwić takiemu zachowaniu, sam pewnie bym tak zrobił)
Czyzby działał na strone sploit ktory „zawiesza” cala witryne lacznie z sql i admin boi sie o baze? teraz ich strona, ta druga wyglada tak
—-
Warning: mysql_connect() [function.mysql-connect]: Zbyt wiele po�?cze� in /home/apella/domains/tygodnikwsieci.pl/public_html/classes/DB.class.php on line 26
nie moge sie polaczyc
—–
Na Linuxpl.com byłby pewnie komunikat „Strona zablokowana”, a nie 404 z informacją o ciasteczkach z, z tego co mi się wydaje, motywem redakcji…
Linuxpl w taki profesjonalny sposób blokuje strony – przenoszą zawartość public_html w inne miejsce. Sprawdzone empirycznie.
A nie, sorry. Mają konto z LiteSpeed, więc może…
’popularnego tygodnika wSieci’ – popularnego? Gdzie? Nawet nie wiem, że coś takiego istnieje. To jakiś underground prasowy?…
Od kilku godzin nie działa WP.pl
Linuxpl.org. Wojowałem z nimi z miesiąc żeby klienci mogli zobaczyć stronę. Okazało sie że maja serwery na IP poblokowanych przez dostawców internetu w moim przypadku strona nie była widoczna w obszarze woj. łódzkiego. Prosiłem o zmianę IP (przegranie serwisu na inny dysk) ale nie, miałem sobie korespondować z Orange. Okazało się szybsze i prostsze będzie przeniesienie strony do innego providera (hekko.pl) – od tego momentu skończyły się wszelkie problemy z wyświetlaniem strony.
Przy okazji cokolwiek u nich załatwić to była istna męka.
Jeszcze mam kw…a na nich stąd post ;(
To masz niezłych dostawców internetu (macie :D) jak się chce wycinać cokolwiek z internetu a stoi to na serwerach współdzielonych to dobrze korzystać z czegoś takiego jak DNS
i DNS black/sink holing to pozwala dość precyzyjnie wycinać określone domeny bez ip a co za tym idzie w przypadku współdzielonych hostingów pozostałe zasoby są dostępne, ale może nie będę podpowiadał po dostawca czegoś się nauczy i jeszcze napiszą o tym w jakieś gazecie :D
pewnie się niedługo okaże że w ten sposób zablokowali cały internet i z anty ddos-a powstał dos i nie będzie niczego, czyli będziemy bezpieczni :D
http://wsieci.pl nie ma już błędu 404. Zamiast tego w Firefoksie „Nie odnaleziono serwera”. Ping „nie może znaleźć hosta” :-( tygodnikwsieci.pl póki co OK.
Obecnie na stronie http://www.tygodnikwsieci.pl/ dostaję komunikat „508
Insufficient Resource
The website is temporarily unable to service your request as it exceeded resouce limit. Please try again later.”
A w stopce:
„Proudly powered by LiteSpeed Web Server
Please be advised that LiteSpeed Technologies Inc. is not a web hosting company and, as such, has no control over content found on this site.”
Szata graficzna taka sama jak na screenshocie w artykule.
Pytanie czy w ogóle był jakiś celowy DOS/atak, czy po prostu serwer nie jest w stanie uciągnąć ruchu z całej europy :)
Trochę idąc tropem Adama i jego dociekań na temat rzetelności dziennikarskiej i śledzenia jak powstaje plotka w internecie, zaciekawił mnie inny wątek. Mianowicie powstaje uzasadnione pytanie o profesjonalizm redakcji tygodnika i to czy do tworzenia swoich materiałów prasowych stosuje równie „zaawansowane” praktyki niskobudżetowe. Skoro „www” mają jakie mają to chyba nie świadczy o nich zbyt dobrze i pozwala przypuszczać, że cała reszta również nie grzeszy profesjonalizmem. Na koniec dla kochających Polskę patriotów, polskie przysłowie: jak cię widzą, tak cię piszą.
A może, po prostu napisz do nich zaoferuj pomoc. Tygodnik robiony od zera, redaktorzy zarabiają pewnie jakieś kiepskie pieniądze, ale robią to co uważają za słuszne. Może ktoś, kto ma trochę czasu i nie ma w d..pie interesu narodowegpo coś im doradzi
Jak się patrzy na nazwiska które tam piszą to nazwisk z mainstreamu prasy tam nie zobaczysz – więc groszem nie śmierdzą.
IE, FF: http://www.wsieci.pl – 502 Bad Gateway. http://www.tygodnikwsieci.pl to samo. Też tak macie? Zna ktoś może nowy adres (jest taki)?
PS. Pingi ok, 24 ms.
24.02 rano ruszyli na nowym IP na adresie http://www.wsieci.pl, inne domeny przekierowali na domenę http://www.wsieci.pl – czyżby znalazły się pieniądze na serwer dedykowany? :)