23.08.2009: DDOS на advanta.org

[admin]

Возымели контроль над Россией. Жестоко было.

[alabama]

Тем не менее пока сайты на российских серверах не работают. А на американском работает.

[admin]

К сожалению, у меня нет возможности уведомлять обо всех плановых отключениях и действиях по борьбе с атакой. Пишу здесь основное.

В любом случае, волноваться не стоит.

 

Сейчас еще напишем программки, дабы больше так по конкретной причине не терять сервер

[Су-27]

В более неформальных местах в таких случаях говорят "респект и уважуха". За то, что не идёте на поводу у сетевой гопоты, а смело им указываете их место у известного санитарно-гигиенического устройства.

Последний год это кубло распоясалось совершенно, напоминает девяностые, только перенесённые в он-лайн.

 

Да я и с МТС и c Билайна не могу зайти, видимо такое соединение с интернетом.

У МТС какие-то глобальные проблемы с GPRS: был в Бурятии, думал, из за Белой Тары глушат, приехал к себе - здесь тоже работает через пень-колоду.

[onitam]

Какова ситуация на данный момент? На сайт заходит шустро, даже через ЖПРС.

[admin]

Да я и с МТС и c Билайна не могу зайти, видимо такое соединение с интернетом.

У МТС какие-то глобальные проблемы с GPRS: был в Бурятии, думал, из за Белой Тары глушат, приехал к себе - здесь тоже работает через пень-колоду.

Может МТС вешают на один IP кучу клиентов и как только от какого-то клиента происходит атака на наш сервер, IP банится и зайти не могут уже все.

Какова ситуация на данный момент? На сайт заходит шустро, даже через ЖПРС.

Количество DDOS-запросов снизилось, но файроволлы все еще банят новых ботов.

[Су-27]

Может МТС вешают на один IP кучу клиентов и как только от какого-то клиента происходит атака на наш сервер, IP банится и зайти не могут уже все.

Присвоение IP у МТС действует, как у обычного модемного пула - меняется хвост. Но у них вообще ничего не открывается, не только сайты на Адванте...

 

Через выделенку сайты на Адванте, в т.ч. этот форум доступны, что и так заметно

Иногда не догружаются изображения, но это уже мелочи.

[gunn]

Не знаю, чего добивался этот парень, но результат получается обратный. За сегодняшний день я проникся к этой фирме, нет, Фирме, большим уважением. И теперь я здесь уже навсегда. А ведь зашел почти случайно, просто статья понравилась.

[Shogo]

Уважаемая Адванта, пользуюсь вашими услугами уже наверно года два, и честно скажу, вы какие то неудачники, столько проблем не было не на одном из хостингов, которыми я пользуюсь паралельно

За эти два года, раза три выгребал кучу вирусов с хоста, постоянно идут на пустом месте какие то перегрузки проца, ДОС атаки и прочая жуть Лично моё мнение, вы просто криворучки (не в обиду будет сказано), могу это с уверенностью сказать, ибо 2 года теста не малый срок, вы уж не обижайтесь на меня, но когда увидел письмо стало просто смешно ))

В октябре кончается оплаченный срок, думаю буду от вас сваливать всё таки, тем более что все важные проекты давно перенёс. Так что сроку чтобы исправиться у вас не много ) Успехов Вам в вашей борьбе с тенью

[Shogo]

Хех, даже на форуме тока с 3го раза пост опубликовался ))) красавчики ))

[admin]

Не знаю, чего добивался этот парень, но результат получается обратный.

У нашей технической поддержки нет доступа к финансовым счетам фирмы, и соответственно нет возможности решать какие-то финансовые вопросы. Сотрудник ясно в воскресенье сказал человеку, что вопрос будет рассмотрен в понедельник, а у него (сотрудника) соответствующих полномочий нет. Что в ответ - DDOS через полчаса. Адекватный человек так поступать не будет.

Деньги теперь мы естественно возвращать не будем. Они потрачены на противодействие атакам, как работы на сервере, вызванные действиями клиента, о чем собственно давно и сообщили ддосеру в столе помощи.

Уважаемая Адванта, пользуюсь вашими услугами уже наверно года два, и честно скажу, вы какие то неудачники, столько проблем не было не на одном из хостингов, которыми я пользуюсь паралельно

За эти два года, раза три выгребал кучу вирусов с хоста

Ну это уже Ваши проблемы. Проверяйте используемое ПО на дырявость, а компьютер на вирусы. Нами когда-то проводился служебный анализ нескольких таких аккаунтов клиентов. Выяснилось, что основные причины:

1. Трояны крадут сохраненные в ftp менеджерах пароли и, зачастую даже непосредственно с зараженного компьютера, заливают по ftp вирусы на сайты.

2. Дыры в широко используемом ПО на php и perl.

 

постоянно идут на пустом месте какие то перегрузки проца

Тоже разбирайтесь самостоятельно. В F.A.Q. есть информация по этому поводу. Если не получается, - обращайтесь к нам, проверим логи и скорее всего назовем причину. У нас стоит автоматизированная система мониторинга, которая производит рассылки и блокировки.

Другие хостеры может за подобным и не следят, ну это уже их дело.

 

ДОС атаки

Если хостер не имеет опыта борьбы с DDOS, на него никогда не шли атаки, то по моему мнению,

1. При DDOS он надолго ляжет, т.к. не знает что и как нужно делать.

2. Это маленький хостер. На крупных и средних атаки идут часто.

 

и прочая жуть

Расскажите поподробнее, что еще осталось.

Хех, даже на форуме тока с 3го раза пост опубликовался ))) красавчики ))

При посещении форума одновременно к серверу идут запросы на

php скрипт

ява скрипты

стили

картинки

и может что-то еще. На время ддоса ввели некоторые ограничения на количество одновременных подключений к серверу с одного IP, причина думаю в этом.

 

Своего же Вы добились? Посты написали?

 

У меня например с первого раза все открывается и постится. А если понажимать F5 несколько раз подряд, то действительно начнут возникать ошибки.

[admin]

Со вчерашней ночи уже не экспериментировали, просто держим оборону на обкатанных настройках файроволлов и с использованием дополнительного проверенного и настроенного за предыдущие два дня ПО. Согласно статистике с портов на серверах, атака идет полным ходом, но гасится на трех рубежах:

1. Аппаратный файроволл.

2. Программный файроволл.

3. Дополнительное ПО.

 

Доступ к серверам конечно немного затруднен, на глаз это больше видно для сервера России, т.к. там мы не имеем возможность увеличить пропускную способность порта до 1000 mbps, как это сделали в США, но сайты все равно стабильно доступны.

 

Если ничего не изменится, то и дальше будем сидеть "в танках", попутно модернизируя их механизмы и броню

[Shogo]

Уважаемый админ, мы с вами говорим на разных уровнях Вы исполнитель, которому в ломы признать что он облажался, я покупатель - которому как то побоку ваши проблемы. Я просто резюмировал.

Трояны крадут ВСЕ пароли(беру конкретно мой случай), а заражение было только у вас на хостинге, при прочих равных условиях. Поэтому и делаю вывод что проблемы у Вас, тем более, что после одного "заражения на моём компьютере", вы общественно заявили, что дыра была по хостинге, и автоматом сменили все пароли. Хотя один раз конечно была моя вина, и вирус на моей машине.

На счёт перегрузок тоже самое, у меня сотни сайтов, похожих друг на друга по структуре, на кучи разных хостов, и ваш хостинг не может нормально вытащить даже один (когда его спамят), когда другие хосты тянут 50 и больше.

Наверно по тем же причинам на других хостеров не шли ДОС атаки ) Руки просто прямые у людей, и зла на них держать смысла нету ) А Ваш суппорт меня своей некомпетентностью постоянно вымораживал, сколько помню - говорю это опять же как специалист в этой теме, могу понять когда человеку просто в лом что то делать.

Ну по большому счёту уже нет смысла ВАМ что то доказывать, это я написал обычным людям, а я уже всё решил, и решение это вызвано именно таким твердолобым отношением вашего суппорта, который почему то не помнит, кто ему платит за его существование (хотя конечно в жизни это обычное дело). Так то хостинг по большому счёту терпимый, но ваш суппорт это нечто, смешнее только на Агаве )))

 

P.S. Форум постоянно выдаёт Service Temporarily Unavailable

[admin]

исполнитель, которому в ломы признать что он облажался

Где конкретно облажался, в чем?

Да, за время атаки были отключения, вызванные "экспериментами", в т.ч. и неудачными, о чем я собственно упоминал. Не ошибается тот, кто ничего не делает.

 

что после одного "заражения на моём компьютере", вы общественно заявили, что дыра была по хостинге

это когда такое было? Ссылку на пост.

 

и автоматом сменили все пароли.

Такие акции по смене паролей были, неоднократно и в профилактических целях. При этом нами рассылались рекомендации по созданию сложных паролей, информации по их хранению и пр.

Хотя один раз конечно была моя вина, и вирус на моей машине.

Может и другой раз тоже? У нас в практике постоянно возникают случаи, когда клиенты сначала кричат "да Вы шо, у меня все защищено, а вот у Вас серверы дырявые" и т.п., в итоге наши специалисты бесплатно тратят время на анализ логов, находят в них запросы на дырявое ПО, установленное клиентом, авторизации от имени клиента с его IP адреса или т.п., предоставляют логи и разъясняют их значение. Часть клиентов извиняется, а другая - продолжает гнуть "да Вы шо".

 

ваш хостинг не может нормально вытащить даже один (когда его спамят)

Если его спамят, создают паразитическую нагрузку на сервер, которая нежелательна, нами принимаются соответствующие меры.

На других хостингах не принимают, не видят или т.п.? - это только их проблемы. У нас свое ПО, проверяющее доступность серверов, нагрузки и еще много чего, которое в обязательном порядке при проблемах уведомляет дежурного сотрудника и/или администратора по СМС.

когда другие хосты тянут 50 и больше.

Другие тянут по 50 сайтов, которые атакуют, спамят и т.д. и при этом не принимают никаких мер? Не думаю.

Наверно по тем же причинам на других хостеров не шли ДОС атаки ) Руки просто прямые у людей, и зла на них держать смысла нету )

Вероятные причины конкретно этой атаки были названы. При чем здесь кривые руки?

 

А Ваш суппорт меня своей некомпетентностью постоянно вымораживал, сколько помню - говорю это опять же как специалист в этой теме, могу понять когда человеку просто в лом что то делать.

Открывайте тему в разделе "хостинг" и сообщайте в деталях конкретные факты, будем разбираться в обязательном порядке. А подобные абстрактные заявления не рассматриваются.

 

P.S. Форум постоянно выдаёт Service Temporarily Unavailable

У меня подобное было лишь ночью, а после за все время, сколько по форуму не лазил, не было. Сейчас понажимал F5 три раза, на третий действительно вылетела ошибка. На время атаки это - вынужденная мера недопущения перегрузок сервера.

Уменьшите частоту обновлений страниц форума.

[Су-27]

...у меня сотни сайтов, похожих друг на друга по структуре, на кучи разных хостов...

А вы не "из этих" часом?

[Shogo]

...у меня сотни сайтов, похожих друг на друга по структуре, на кучи разных хостов...

А вы не "из этих" часом?

 

Не из этих Это сайты клиентов, как не трудно догадаться на одинаковых движках

 

Уважаемый админ, да ну не спорить я сюда влез с вами ) Просто было настроение хорошее, зашел посмеяться, когда у вас очередное ЧП ) Я имел ввиду что ваш хостинг лидер по таким случаям, вот и всё, ничего личного

 

А на счёт вирусов (задели за живое), знаете, когда я звоню свому провайдеру, и говорю "Интернета нету, проверьте у себя", знаете что мне отвечают? Если вы хороший сисадмин должны знать, а именно "У вас антивирус (или как вариант фаервол) настроен не правильно, смотрите у себя", и знаете в скольки случаях они правы? Наверно в одном из 20. Но я лично знаком с их начальником, и могу влиять на этих лентяев чуть ли не физически, вам же я могу только платить деньги, и смотреть как в общем работает ваш хост, а работает он потешно и жутко не стабильно, вот и всё.

[admin]

Уважаемый админ, да ну не спорить я сюда влез с вами ) Просто было настроение хорошее, зашел посмеяться, когда у вас очередное ЧП )

Мда У соседа сдохла корова, пойду отмечу этот праздник.

Я имел ввиду что ваш хостинг лидер по таким случаям, вот и всё, ничего личного

Смотрите по новостям на форуме. Все подобные события освещаются максимально подробно. Как на других хостингах, - не знаю, не интересовался.

А на счёт вирусов (задели за живое), знаете, когда я звоню свому провайдеру, и говорю "Интернета нету, проверьте у себя", знаете что мне отвечают? Если вы хороший сисадмин должны знать, а именно "У вас антивирус (или как вариант фаервол) настроен не правильно, смотрите у себя", и знаете в скольки случаях они правы? Наверно в одном из 20.

В 19 случаев пропажи Интернета из 20 сотрудники технической поддержки интернет-провайдера говорят, что проблема только у Вас, а у других ее нет? Может Вы из тех, кто "да Вы шо".

Но я лично знаком с их начальником, и могу влиять на этих лентяев чуть ли не физически, вам же я могу только платить деньги, и смотреть как в общем работает ваш хост, а работает он потешно и жутко не стабильно, вот и всё.

Повторяю еще раз, создайте тему на форуме в разделе "хостинг", максимально подробно опишите проблему и возрадуйтесь, что повлияли и на нас, если проблема действительно есть. Пока же ничего кроме абстрактных фраз я от Вас не услышал.

[Shogo]

Повторяю еще раз, создайте тему на форуме в разделе "хостинг", максимально подробно опишите проблему и возрадуйтесь, что повлияли и на нас, если проблема действительно есть. Пока же ничего кроме абстрактных фраз я от Вас не услышал.

 

А я ничего кроме не хотел написать ) Мучайтесь дальше со своей дохлой коровой )))))) думаете она от моей темки на форуме воскреснет? Ну уж нет )))) Я не никтомант и не костоправ, чтобы вам руки выпрямлять ))))

[Shogo]

В 19 случаев пропажи Интернета из 20 сотрудники технической поддержки интернет-провайдера говорят, что проблема только у Вас, а у других ее нет? Может Вы из тех, кто "да Вы шо"

Нет, в 19 случаях они говорили что да, это мы обоср*лись, простите нас пожалуйста, после того как я им доказывал это. А в одном случае из двадцати, я просто проверял оборудование после их ответа что "Нет, всё в порядке, смотрите у себя" и находил проблему, но НИ РАЗУ не было проблемы в антивирусе (фаерволе)

[admin]

В 19 случаев пропажи Интернета из 20 сотрудники технической поддержки интернет-провайдера говорят, что проблема только у Вас, а у других ее нет? Может Вы из тех, кто "да Вы шо"

Нет, в 19 случаях они говорили что да, это мы обоср*лись, простите нас пожалуйста, после того как я им доказывал это.

Что-то слабо верится

Повторяю еще раз, создайте тему на форуме в разделе "хостинг", максимально подробно опишите проблему и возрадуйтесь, что повлияли и на нас, если проблема действительно есть. Пока же ничего кроме абстрактных фраз я от Вас не услышал.

 

А я ничего кроме не хотел написать ) Мучайтесь дальше со своей дохлой коровой )))))) думаете она от моей темки на форуме воскреснет? Ну уж нет )))) Я не никтомант и не костоправ, чтобы вам руки выпрямлять ))))

 

Ладно, хватить троллить. Будет что по теме - пишите.

[admin]

Атака все еще продолжается, причем постоянно нарастает по мощности, однако сайты продолжают быть доступны, особых проблем мы не испытываем.

 

Появилась еще одна интересная версия причины атаки. Человек мог просто хотеть "срубить бабло". Атаки ведь обычно производятся за деньги конкурентов или с целью выцыганить деньги у атакуемого, т.е. в любом случае для коммерческой выгоды.

В воскресенье, 23-08-2009 02:44:45, наш сотрудник сообщил ддосеру, что его вопрос будет решен в рабочий день, т.е. на следующий день (в понедельник), через полчаса после ответа начинается DDOS, а 13 часов спусят приходит требование оплатить за прекращение атаки $200 в качестве "моральной компенсации". В любом случае мы идти на поводу у вымогателя не будем, а продолжим и дальше производить защиту серверов и получение опытным путем навыков борьбы с DDOS.

Считаю что мы правильно отказали в аренде сервера человеку, первоначально указавшему данные третьего лица, а потом приславшему скан-копию еще одного третьего лица и впоследствии выдававшего себя за это третье лицо. По последним событиям можно предполагать, что на сервере ничего хорошего бы не хранилось, а наооборот мог бы размещаться мастер ботнета для контроля за подобными атаками и/или прочие гадости.

[Betatest]

Технические проблемы, вернее их подача для юзеров, на уровне второго класса. Лучше ничего не пишите, чем то что пишите. И дайте дорогу роботу Sape, денежки летят мимо дома, там давно уже по потерям больше 200 баксов набежало.

[Gintos]

Хех, даже на форуме тока с 3го раза пост опубликовался ))) красавчики ))

Ты че то гонишь! Я со своим конченым билайновским соединением и то нормально на форум прохожу.

[Betatest]

Хех, даже на форуме тока с 3го раза пост опубликовался ))) красавчики ))

Ты че то гонишь! Я со своим конченым билайновским соединением и то нормально на форум прохожу.

А головой подумать? Про диапазон айпишек например.

[admin]

Технические проблемы, вернее их подача для юзеров, на уровне второго класса. Лучше ничего не пишите, чем то что пишите.

Извините, не лингвист, для меня главное - держать клиентов в курсе событий. Буду писать и дальше

К данному моменту, например, никаких изменений нет, мощность атаки вроде таже, что и днем. Продолжаем и дальше смотреть на мир через окно танка и отстреливать тех, кто ведет ненормальную сетевую активность

И дайте дорогу роботу Sape, денежки летят мимо дома, там давно уже по потерям больше 200 баксов набежало.

Откройте билет в столе помощи, сообщите IP адрес робота Sape, занесем его в белый список. Видимо автоматически забанился из-за большого количества одновременных запросов к серверу.

Хех, даже на форуме тока с 3го раза пост опубликовался ))) красавчики ))

Ты че то гонишь! Я со своим конченым билайновским соединением и то нормально на форум прохожу.

А головой подумать? Про диапазон айпишек например.

Что конкретно не так или наоборот так с диапазоном?