Aktywne Wpisy
restofme +720
Napisałem ten komentarz pod znaleziskiem 44-latek spędził niemal dobę na SOR-ze. Był po udarze i trafił na laryngologię.
Ktoś zasugerował że dobrze go tu wrzucić.
To ja coś z życia. Historia taka jak tu. Udar SOR itp. Długo będzie ale mam nadzieję że coś wniosę.
Jak się ogarnąłem to przez moment pisałem coś na Mirko
Chce Wam opowiedzieć swoją historię trochę terapeutycznie a trochę Wam ku przestrodze.
Nie chce pisać o szpitalach,
Ktoś zasugerował że dobrze go tu wrzucić.
To ja coś z życia. Historia taka jak tu. Udar SOR itp. Długo będzie ale mam nadzieję że coś wniosę.
Jak się ogarnąłem to przez moment pisałem coś na Mirko
Chce Wam opowiedzieć swoją historię trochę terapeutycznie a trochę Wam ku przestrodze.
Nie chce pisać o szpitalach,
daeun +114
W tym wpisie wrzucamy wszystkie kobiece RED FLAGI dyskwalifikujące je jako potencjalne partnerki, matki czy małżonki. Ja zaczynam
1. Tatuaże - widzisz taki brudnopis i od razu wiesz że trafił ci sie egzemplarz z defektem, nieprzepracowanymi traumami wymagającymi dlugotrwalej terapii, której w poczatkowym okresie dziecinstwa zabrakło silnych wzorców i autorytetów
#tatuaze #bekazpodludzi #rozowepaski #logikarozowychpaskow #zwiazki #glupiewykopowezabawy #tatuazboners
1. Tatuaże - widzisz taki brudnopis i od razu wiesz że trafił ci sie egzemplarz z defektem, nieprzepracowanymi traumami wymagającymi dlugotrwalej terapii, której w poczatkowym okresie dziecinstwa zabrakło silnych wzorców i autorytetów
#tatuaze #bekazpodludzi #rozowepaski #logikarozowychpaskow #zwiazki #glupiewykopowezabawy #tatuazboners
Mam dość dziwny przypadek... Dziwny, bo dotąd myślałem że DDoS dotyczy głównie firm świadczących usługi przez internet - bo chodzi o zaszkodzenie komuś konkretnemu. A tu mamy zupełnie inny target...
Jakiś miesiąc temu nagle coś się zaczęło dziać na jednym serwerze. A konkretniej na jednej stronie. To był akurat serwis PHPowy - ot strona-wizytówka w wordpressie pewnej firmy z branży budowlanej, nikt istotny. A tymczasem w stronę napierdzielało 1000 w porywach do 2000 zapytań na sekundę o stronę główną:
115.75.188.205 - - [21/Jul/2021:18:12:56 +0200] "POST / HTTP/1.1" 502 559 "-" "Mozilla/5.0 (Linux; Android 10; K70EEA) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.116 Safari/537.36" "-"
115.75.188.205 - - [21/Jul/2021:18:12:56 +0200] "POST / HTTP/1.1" 502 559 "-" "Mozilla/5.0 (Linux; Android 10; K70EEA) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.116 Safari/537.36" "-"
115.75.188.205 - - [21/Jul/2021:18:12:56 +0200] "POST / HTTP/1.1" 502 559 "-" "Mozilla/5.0 (Linux; Android 10; K70EEA) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.116 Safari/537.36" "-"
Oczywiście php-fpm się wyłożył, co widać po ślicznych 502.
To, że tu są POSTy - nie ma znaczenia. Nawet sprawdziłem co w nich szło... absolutnie nic. Cały czas same zapytania o stronę główną, nic poza tym. Kilkaset w porywach do tysiąca hostów, każdy wielokrotnie rzucający się na serwer.
Atak był na tyle intensywny, że zauważyłem to po nagłym skoku obciążenia maszyny i... zapychania systemu plików. Tak, plik logu nginxa zaczął puchnąć tak znacznie, że było to istotnym problemem i atak nie tylko zaszkodziłby temu serwisowi, ale i pozostałym - nawet operującym na innych silnikach. Po chwili już dostałem info z Hetznera, że rozpoczął się atak na dane IP i będą odcinali requesty do niego. Ale zanim to się skończyło - atak się zakończył.
A przynajmniej tak mi się wydawało, dopóki sytuacja się nie powtórzyła następnego dnia nad ranem. I w południe. I później.
Ponieważ było to coraz bardziej uciążliwe - złożyłem propozycję nie do odrzucenia: wyprowadzkę na serwer firmy, która oferuje profesjonalny hosting WP. A ponieważ firma właśnie była w trakcie modernizacji serwisu, to firma zajmująca się modernizacją i administracją tego WP zaoferowała swojego sprawdzonego partnera. W to mi graj, w godzinę przekopiowali dane, ja zmieniłem wpisy w DNSach i w końcu święty spokój.
Do czasu. Minął dzień, a firma od administracji WP pisze rozpaczliwe maile, że trzeba szybko zmienić wpisy w DNS na 127.0.0.1 bo obecny hostingodawca grozi konsekwencjami ze względu na masywne ataki, które zagrażają jego infrastrukturze... OK, zapadła decyzja o takim wygaszeniu strony na czas tygodnia w nadziei, że ataki miną (w końcu ktoś je finansuje i chyba nie ma nieograniczonych zasobów?).
Po tygodniu okazało się, że nikt nie chce tego gorącego ziemniaka wziąć do siebie. Przemyślałem sprawę i zaproponowałem, że wykupię VPS w OVH (bardzo się chwalą swoim systemem anty-DDoS), postawię tam stronkę i zobaczymy jak się sprawy mają.
Po uruchomieniu całości wszystko wyglądało cacy... ale po dniu ataki już wróciły. WTF?
Załączam obrazek z obciążeniem procesora - bardzo dobrze obrazuje kiedy ataki następowały. Wykresu sieci nie podam, bo różnymi metodami doprowadzam powoli do sytuacji, gdzie atakujący nie dostają się nawet do treści strony i tym samym ataki są ledwo widoczne na wykresie transferu. Swoją drogą, OVH w mailach informuje o początku i końcu ataku, ale IMHO wykrywa tak 1/3 z nich... Ciekaw jestem jakie są kryteria.
Dobra, teraz pytania:
1. WTF? Ataki DDoS dotyczą głównie stron które zarabiają: banki, instytucje finansowe, serwery gier, sklepy internetowe itp. Czasami atakuje się strony jakichś firm uczestniczących w wielkich przetargach itp. Tutaj mamy po prostu stronę-wizytówkę (ciut bardziej rozbudowaną, bo z mniej więcej przedstawioną produktówką) - brak strony najwyżej skutkuje telefonem od klienta "ej, a tak w ogóle to strona chyba wam nie działa"
2. Drugie WTF: atak DDoS sobie trwa godzinę, kilka godzin, dzień, dwa... ale miesiąc? Taki atak za darmo nie jest, ktoś za niego płaci... gdzie sens?
3. Trzecie WTF: zrozumiem atak o 8 rano, w południe, ale 1 rano? 4 rano? ლ(ಠಠ ლ)
4. Czwarte chyba WTF: mam wrażenie, że po drugiej stronie nie jest jakiś zapomniany botnet w którym przypadkiem odpalił się losowy atak na losową stronę - wydaje mi się, że różne stosowane przeze mnie techniki po jakimś czasie spotykały się z odpowiedzią i na każdą tarczę pojawiał się kolejny, specjalizowany topór który ją przebił. Parę godzin temu udało mi się zmodyfikować narzędzie tak, że mimo napierdzielania ~2000 requestów na sekundę strona działała świetnie... i atak zakończył się (przynajmniej tak mi się wydaje) wcześniej niż zwykle. Przypadek?
Mieliście kiedyś podobną sytuację? Jak sobie z tym radziliście?
Jak ktoś się uczy to do Amazonu nie wystartuje bo szybko padnie.
Do prostej wizytówki nie bo za szybko padnie.
A tutaj widzi że strona próbuje walczyć więc i on się czegoś nauczy.
Klientowi już tłumaczyłem - że chyba po prostu ma pecha.
Ciekaw jestem, czy obecne rozwiązanie zostanie szybko przełamane - mam jeszcze parę tricków w zanadrzu, ale wolałbym się z nich nie wypsztykiwać.
Tak jak @djmentos wspomniał, jezeli to jest static: kupujesz proxy na cloudflare, zmieniasz adresacje vps, ustawiasz fqdn na cloudflare, pilnujesz żeby dane servera z contentem nie były nigdzie widoczne, można nawet gre tunnel zestawić i ograniczyć do niego ruch.
Drugą opcja to kolokacja do serwerowni gdzie ogarniają scrubbing center.
https://www.abuseipdb.com/check/115.75.188.205
Ostatnio Radware opowiadał o atakach Ransomware wspomaganym DDoS albo płacicie albo nie przestaniemy, ale to raczej było powiązane z zaszyfrowaniem czegoś wcześniej.
PS. Dzięki za fajny opis tematu
@yggdrasil: cloudflare to kolejne koszty, poza tym w ten sposób sobie trochę potestuję różne strategie ;)
@breja: ale darmowy plan jest "for individuals", więc IMHO nie można go brać dla strony firmowej
dla pewności zawsze możesz odezwać się do supportu, czy na pewno na takie działania zezwalają