Лучшая капча!
Press F to pay respects
Press F to pay respects
Привет!
Решил рассказать как мы расследовали DDoS атаку на свой проект. Это не реклама моего проекта, просто хочу поделиться тем, как это работает. Так что упоминать что за проект не буду. Возможно, механика этой атаки поможет кому-то справиться с атакой на его проект.
Думаю, многим Пикабушникам может быть не известно что такое DDoS атака или они представляют это примерно. Ну если вы не айтишник, конечно. Расскажу просто и понятно: смысл атаки в том, чтобы закидать сервер (сайт) ненужными запросами, чтобы он просто физически не успевал отвечать на все запросы и в итоге был недоступен. Обычно это делается с множества зараженных устройств, которые в один момент вместе начинают делать запросы, а их хозяева об этом даже и не знают.
Зачем это делают? Ну, так можно "уронить" сайт конкурента и получить преимущество. Ведь пользователи не будут ждать, пока сайт оживет, они уйдут к конкуренту. А того, кто заказал атаку потом фиг найдешь. Атакуют то устройства, что заражены, а не сам заказчик.
А еще это могут делать, чтобы предотвратить распространение или нераспространение информации. Именно по этому многие СМИ в России попали под атаки. Те, кто вообще ничего не пишет про известные действия, либо те, кто высказывается "за".
Вернемся к теме. В один момент мы заметили, что сайт сильно тормозит и даже иногда недоступен. Стали разбираться. Оказалось, что на сайт приходит больше 2 миллионов запросов в день на адреса типа https://сайт/?CszXcMgwhNGzq3YfY. Буковки после знака "?" всегда разные.
Угу, значит атакующие решили не просто открывать сайт, а еще и с уникальным адресом, чтобы наша кэш-система (а это специальная такая штука, которая позволяет не выполнять код на сервере каждый раз, а, если ничего не меняется, просто отдавать сразу готовую страницу), постоянно пропускала запрос и сервер был сильнее нагружен ненужными вычислениями.
Стали изучать логи доступа и обнаружили, что трафик идет со многих сайтов. В интернете есть такая клевая штука как HTTP referer, это такой специальный заголовок в запросе на сайт, который рассказывает ему с какого сайта пришел запрос. Сайты заражаются каждый день и добавляются, но на текущий момент - вот список этих сайтов (конкретно сегодня я не проверял все, может какие то уже и вылечили):
Лучше не открывайте их, это просто для информации! Если вы можете как то связаться с администрациями этих сайтов, то сообщите им, пожалуйста, что их взломали и заразили.
5sfer .comКак я заметил, сайты построены на системе WordPress, так что следите за своими сайтами на этой CMS, если у вас такие есть. Видимо, там есть неопубликованные уязвимости.
vituo .by
d-d-d .spb .ru
language .az
priboi .news
proputeshestvie .ru
gzocm .ru
picworld .ru
gelengizer .ru
ilike .guru
lnvistnik .com .ua
vsfedotov .com
prosvetlenie .pro
eraofunity .world
propestit .ru
jantrish .com
imda .uz
criminology-center .org
navremy .ru
csedu .ru
obu4alka .ru
autotopik .ru
линуксблог .рф
graj .by
sn-portal .ru
coinspaidmedia .com
yanva .ru
subcultures .wiki
bibl20 .ru
gazeta-vestnik .com .ua
media-zvezda .ru
krutomama .ru
vlg-34 .ru
Айтишники могли сразу понять что это такое. Для тех, кто не понял, поясню. Это закодированный через алгоритм Base64 адрес сайта. Можно расшифровать например тут base64decode.org.
Но я расшифрую для вас: https://jquery.fra1.digitaloceanspaces.com/jquery.json
Адрес притворяется популярной библиотекой у разработчиков jquery, в надежде на то, что его не заметят или, как минимум, не сразу найдут. Если открыть ссылку, то там нас встречает еще один непонятный для не айтишников текст. (Открыть можно, там нет ничего страшного).
Владельцам облака, который содержит список для атаки ботнета был отправлен запрос на эту тему в специальную форму на сайте. На текущий момент (24 апреля 2022 г.) ответа не поступало.