PDA

Просмотр полной версии : "Хроника пикирующего бомбардировщика"/с Запасного



krivitch
03.12.2003, 01:25
boris
администратор

Отправлено: 01.12.2003 14:01
Заголовок сообщения: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
В субботу, 29 ноября, приблизительно в 18-19 часов по Москве http://forums.lifanovsky.com снова подвергся DoS атаке аналогичной той, которая произошла около двух недель назад. Строго говоря, это не совсем DoS атака. Некто (вероятнее всего, с помощью специального скрипта) стал генерировать большое количество запросов к базе форума, что привело в состояние неработоспособности сначала форум, а потом и весь сервер, на котором размещены, кроме lifanovsky.com, многие другие клиенты HostRocket. Для того, что нейтрализовать атаку, администрация HR отключила мой аакаунт до выяснения обстоятельств. Строго говоря, это общепринятая практика: HR не можеть разбираться с тысячами способов, которыми могут атаковать сайты их клиентов. Они защищают свои сервера от общих атак, при этом атаки на конкретных клиентов, да еще используя дыры в скриптах, которые установлены у этих конкретных клиентов - проблема самих клиентов.
Так или иначе, из-за того, что это уже вторая подобная атака за последние две недели, мне было предложено перебраться на dedicated server, так, чтобы при атаках на него падал только он.
Я бы с радостью, но стоит это удовольствие порядка ста долларов в месяц, что совершенно неприемлемо для меня.
В итоге HR согласились открыть мой аккаунт снова, но с условием, что это будет последний раз и я приму какие-то меры для того, чтобы ограничить себя и тех клиентов, с котрыми я делю свой сервер, от подобных инцидентов в будущем.
В настоящее время я рассматриваю два варианта. 1. - установка специальной заплатки в phpBB, которая позволяет ограничивать количество одновременных подключений к базе. 2. - полная смена движка (с переносом всех сообщений и пользовательской базы под него, разумеется).
Если HR удовлетворится установкой мода, тогда, возможно, смены движка не произойдет. Хотя вчера я относительно внимательно изучил возможности новой версии vBulletin и пришел к выводу, что, возможно, поменять движок все-таки стоит. Единственной проблемой там остается отсутствие внятной русификации.
Так или иначе, я надеюсь, что весь Lifanovsky.com вернется on-line сегодня ближе к вечеру. Вероятно, некоторое время после этого форум все еще будет недоступен, т.к. мне нужно будет некоторое время для того, чтобы установить и протестировать мод. При этом раскладе можно ожидать, что форум снова начнет работать сегодня ночью (по Москве).
Если же HR категорически откажется от варианта с установкой мода, процесс несколько затянется, т.к. мне окончательно надо будет определиться с новым движком, установить его и перевести под него всю базу старого форума. Для меня такой авральный вариант менее удобен (равно как и для всех, кто хочет, чтобы форум начал работать снова как можно скорее), однако не во всем это зависит от меня.
Вот такая ситуацимя. Мне остается только извиниться за столько долгое отсутстви форума в Сети. Думаю, все понимают, что все произошло по независящим от меня обстоятельствам.
Что касается личности атакующего, то, как только я получу доступ к своим логам, я смогу выяснить хотя бы его IP. Что будет происходить дальше - посмотрим.
Благодарю за понимание.
--------------------------------------------------------------------------------

Ответов - 13 [только новые]
!KSL
новичок
Отправлено: 01.12.2003 16:43
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------


boris пишет:
цитата
--------------------------------------------------------------------------------
Некто (вероятнее всего, с помощью специального скрипта) стал генерировать большое количество запросов к базе форума, что привело в состояние неработоспособности сначала форум, а потом и весь сервер, на котором размещены, кроме lifanovsky.com, многие другие клиенты HostRocket. Для того, что нейтрализовать атаку, администрация HR отключила мой аакаунт до выяснения обстоятельств.
...
Что касается личности атакующего, то, как только я получу доступ к своим логам, я смогу выяснить хотя бы его IP
--------------------------------------------------------------------------------
Это, вполне может быть и не злой умысел, а, скажем, действия поискового робота. Такие случаи бывали неоднократно, к примеру, при переиндексации базы Рамблера. При обилии ссылок число запросов растет, сервер падает. Борьбы с этим явлением очень проста, т.к. робот сообщает о себе, что он - робот.

!KSL aka Serg
--------------------------------------------------------------------------------


boris
администратор

Отправлено: 01.12.2003 18:15
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Про этот случай я еще не знаю.
Что касается предыдущего раза, то там был не робот. Там был IP одного из американских провайдеров, abuse team которого меня послала. Вернее, проигнорировала. Я их понимаю - в большинстве случаев, наверное, так же поступает и HR, когда-то кто-то пытается наехать на их клиента. Другое дело, что я никого не DoSил...
А всех роботов, которые индексируют форум я «в лицо» знаю. Как раз и Гугл, и Яндекс, и Рамблер ведут себя довольно прилично. В том плане, что не доводят сервер до падения.
Я знаю, что некоторые роботы могут открыть много сессий.
Однако практика показывает, что это не робот, да и саппорт HR мне бы специально указал на то, что это робот.
Так что спасибо за наводку, но, думаю, в данном случае это не совсем то. К сожалению.
--------------------------------------------------------------------------------


!KSL
новичок


Отправлено: 01.12.2003 18:50
Re: Хроника пикирующего бомбардировщика


--------------------------------------------------------------------------------
boris пишет:
цитата
--------------------------------------------------------------------------------
А всех роботов, которые индексируют форум я «в лицо» знаю. Как раз и Гугл, и Яндекс, и Рамблер ведут себя довольно прилично. В том плане, что не доводят сервер до падения.
--------------------------------------------------------------------------------
Прилично-то, прилично, но случаи падения бывали, если админ лопухался.

Рамблер твой сайт и форум еще совсем недавно не индексировал. Это я знаю точно. Я даже просил зарегистрировать, но сделали или нет, я не знаю. Дома вечером спрошу. :-)

В общем, я только предположение сделал, исходя из того, что мне кажется маловероятным, что кому-то захотелось целенаправленно завалить такой безобидный ресурс. Разве что студентам-практикантам-психологам… но что-то не верится.

!KSL aka Serg
--------------------------------------------------------------------------------


zarastro
новичок
Отправлено: 02.12.2003 00:14 Re: !KSL

--------------------------------------------------------------------------------
Борь, а можно ли сделать полное автономное зеркало форума, на каком либо другом сайте? Я думаю, что можно на эту тему с Сергеем Чижиком поговорить. У него и сайт cdguide.nm.ru - по теме.
--------------------------------------------------------------------------------


boris
администратор

Отправлено: 02.12.2003 01:18
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Основную версию подниму - тогда буду думать насчет зеркала.
--------------------------------------------------------------------------------


!KSL
новичок
Отправлено: 02.12.2003 14:26
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Вчера вечером я как Штирлиц раскинул мозгами, а так же посоветовался с людьми, которые существенно глубже в теме, нежели я.

Вызывает удивление поведение провайдера. В наше время подобные атаки не редкость, а заурядное явление. В этой связи странны заявления, дескать, включим, но это в последний раз. Огромные службы с сотнями серверов ложатся, и ничего… никто не думает их отключать. Да что там… домены ложаться. Один поисковик около года назад весь народ пару раз клал. : -)
Более того, часто борьба клиента в одиночку малоэффективна. Обычно, это совместные действия прова и клиента.

Самый действенный способ борьбы это тормозить ответы, если запросы идут с одного АйПишника. Ну, там секунд 5 – 10… Таким образом можно тормознуть целые домены - весь народ.ру вообще, с двух трех адресов ходит в инет, но, зато, сервера не лягут. В общем, смотреть надо по обстоятельствам. Не зная конкретики сложно что-то конструктивное советовать.

Опять таки, повторюсь, это может быть не злой умысел. Помимо цивилизованных поисковиков, существуют сотни доморощенных.
Жена мне вчера рассказывала анекдотичные случаи. Типа, набрала запрос, нажала Ентер, ушла обедать, а кнопка-то и залипла. Возвращается на рабочее место – телефон обрывается: караул! Вы положили такую-то службу…

У моего приятеля – банковского сисадмина за последний год пару раз банковская сеть падала… ничего личного – мелкое хулиганство хацкеров.

А вообще, положить или взломать при желании можно все что угодно. Можно взять швейцарский банк… Только при взломе, лучше уже находиться на борту какого-нибудь самолета, летящего туда, где не выдают.

Борис, если будет необходимость, могу организовать консультацию с очень опытным сисадмином, с более чем двадцатилетним стажем. Помимо того, что он сисадмин, он еще и композитор :-)

!Ksl aka Serg
--------------------------------------------------------------------------------


AVK
новичок

Отправлено: 02.12.2003 15:10
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Для поднятия духа (предыдущий пост не опубликован. Warum - не пойму... Если опубликуют - ну, значит, два раза читать одно и то же придётся... Сори...)


В сторожевую сторожку у подножья гоpы пpиходят плачущие pодители и говоpят:
- Вчеpа наш сын пошел в гоpы кататься на лыжах, и до сих поp не веpнулся!
- Подождите немного. Как зовут Вашего сына?
- Генpих Пупкин!
- Яндекс, ко мне!
Подбегает здоpовый сенбеpнаp, ему:
- Генpих Пупкин, понял? Ищи!
Чеpез некотоpое вpемя Яндекс возвpащается и говоpит:
- По Вашему запpосу в гоpах ничего не найдено. Hашел 283265 Генpихов и 222388 Пупкиных. Может в долине поискать?



тут уж не до подписи...
--------------------------------------------------------------------------------


Stanislav
был не раз

Отправлено: 02.12.2003 15:18 Re: AVK

-------------------------------------------------------------------------------
Сторожевая сторожка - это хорошо.
--------------------------------------------------------------------------------


boris
администратор

Отправлено: 02.12.2003 15:29
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
KSL, хостер как бы защищает. И сэйгарды у них стоят, и много чего - я точно знаю. Но все запросы от движка форума (и от всех других скриптов у всех юзеров на этом сервере) к базе идут в основном как от localhost. Т.е. все скрипты обращаются к базе с одного IP. Даже несмотря на то, что технически возможно организовать передачу реального IPшника базе, это автоматом сделает весь процесс на порядок более сложным, к тому же замедлится все сильно. Таким образом, получается, что отсекать флуд при таком раскладе должен все-таки скрипт. Или, как вариант, демон апача - но вот это и есть как раз вариант dedicated server. ;)
Мод для форума, который бы блокировал флуд, я уже нашел. Теперь вопрос, устроит ли их такой вариант. Пока что они думают.
К тому же хостер и не выгоняет меня, строго говоря. Онипросто мне говорят, что в связи с «атакоемкостью» моего ресурса, грамотнее было бы его перевести на отдельный сервак, потом что так будет легче его поднимать, а кроме того не будут постоянно страдать другие клиенты, которые со мной находятся на shared hosting.
И все это правильно, только черта лысого я буду платить $120 в месяц только ради того, чтобы затруднить кому-то атаки. Я лучше какой-нибудь другой способ найду.
За все остальное - спасибо большое, возможно, как-нибудь и придется воспользоваться предложением.
--------------------------------------------------------------------------------


boris
администратор

Отправлено: 02.12.2003 16:30
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Если до пятницы (5.12) проблемы с HR не разрешатся положительно, 95%, что форум (и вообще весь сайт) переедет на masterhost.ru. Результаты предварительного общения с их клиентской службой только что меня полностью удовлетворили. Несмотря на то, что это более дорогая история, впечатление они производят серьезное.
-------------------------------------------------------------------------------


!KSL
новичок
Отправлено: 02.12.2003 17:18 Re: boris

--------------------------------------------------------------------------------
Борис, когда сайт поднимется, зарегистрировать его в Рамблере? Дело в том, что Рамблер автоматом com’овские адреса не индексирует.
--------------------------------------------------------------------------------


Gtn
новичок


Отправлено: 02.12.2003 18:17
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Давно пора переехать... они там только улыбаться могут.
--------------------------------------------------------------------------------


Стас
новичок

Отправлено: 02.12.2003 19:23
Re: Хроника пикирующего бомбардировщика

--------------------------------------------------------------------------------
Борис, мы с Вами!
Морду бить согласен врагам.
--------------------------------------------------------------------------------

boris
03.12.2003, 02:49
Насчет переезда - посмотрим. Пока что я все-таки буду готовить запасную площадку, но без спешки. Спешить нам пока некуда.

Что касается избиений морд - да ну, к чему это...

Stanislav
13.12.2003, 03:11
http://fomenko.ru/pic/pho/archive/242.jpg

8)

Яндекс.Метрика Rambler's Top100