Перейти к содержанию
Форумы
admin

23.08.2009: DDOS на advanta.org

Рекомендуемые сообщения

Вот уже в течение 12 часов и по сей момент на сервер advanta.org, биллинг, форум и некоторые другие ресурсы идет ДДОС-атака.

Предположительным инициатором является кардер, которому службой безопасности advanta.org было отказано в аренде сервера.

 

При проверке информации по заказчику сервера обнаружились существенные противоречия и неточности и ему был направлен запрос на предоставление скан-копии паспорта. Данные в предоставленном скане, во-первых, полностью отличались от указанных при регистрации, а во-вторых, как оказалось, на самом деле этот паспорт принадлежит человеку, который знать не знает про адванту и уж тем более ни слухом, ни духом про заказ на сервер.

 

На данный момент на ответы по DDOS-запросам истрачено порядка 1,5-2 TB трафика, а ситуация практически полностью взята под наш контроль, однако временные периоды недоступности все равно не исключены.

 

За время атаки суммарно на несколько часов отключались advanta.org, order.advanta.org, forum.advanta.org и др. На несколько десятков минут отключались некоторые сайты клиентов на основном сервере в США. На все время атаки имелись незначительные проблемы со скоростью доступа к сайтам клиентов, размещенных в США.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Атака продолжается и по сей момент, однако большинство ее запросов успешно блокируется без последствий в скорости доступа к сайтам.

Что примечательно, большая часть ботнета - зараженные компьютеры из СНГ, зарубежных IP практически нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Час назад атака началась с новой силой, затронуты уже все хостинг-серверы.

На данный момент нам удалось добиться восстановления работоспособности сайтов и взять под контроль поступающие DDOS-запросы.

 

Если мощность атаки останется такой же, как и сейчас, то нами предсказываются лишь небольшие задержки в скорости доступа к сайтам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сейчас DDOS все еще продолжается и постоянно нарастает, за сегодняшний день суммарно серверами потрачено порядка 1-1,5 TB трафика.

Сайты, хоть и с небольшими тормозами, продолжают быть доступны, порт на основном сервере в США временно расширен до 1000 mbps.

 

Нами произведены соответствующие настройки аппаратных и программных файроволлов.

Прогнозируется, что даже увеличение силы атаки на 25-50% не приведет к существенной недоступности сайтов.

 

Завтра в правоохранительные органы будет подано заявление со всей имеющейся у нас информацией по кардеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>> Сайт вообще не грузиться.

Скиньте в личку адрес сайта, проверю, может это не связано с ДДОСом, т.к. все сайты доступны, хоть и с тормозами.

>> Он может как то пострадать?

В каком смысле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gintos, Ваш сайт прогружается, но с тормозами.

Это связано с DDOS атакой?

Да.

Я даже в cPanel пробиться не могу.

Я напр. без особых проблем захожу на атакуемые серверы, иногда правда не с первого раза.

 

Постепенно атака начинает стихать, т.к. по всей видимости, владельцы инфицированных компьютеров ложатся спать :P

А завтра проснутся и, полагаю, осада наших суровых и жесточайших серверов опять продолжится :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что-то атака совсем протухла :blink: идет все еще, но уже явно не более 20 mbit по http, вроде и боты уже должны просыпаться. Если сравнивать, вчера например в час ночи и то мощнее было.

Я кстати сегодня планировал на будущеее поизучать на этом DDOS некоторые приемчики, потестировать программки, реалтайм проабгрейдить текущие настройки... За вчера например немало опыта получил, прокачал себя в методах борьбы с атаками, оттестировали различные конфиги файроволлов, доработали внутреннее антиддос ПО и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Атака все еще продолжается, но доступ к серверам с сегодняшнего утра - стабильный. Возможно мы большинство ботов перебанили, или они сами поиздыхали (я бы например начал "копать", если бы смоего ПК неизвестно куда валил трафик), или у ддосера заканчиваются ресурсы на поддержку атаки, а может все перечисленное вместе и что-то еще.

Не интересно в общем, я то сегодня настраивался на продолжение борьбы, защиты наших бастионов, модернизации катапульт, пушек и стен-файроволлов, получению опытным путем навыков ведения боя :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В 15-16 проводили некоторые опыты, посему трясло, а сейчас все еще потрясывает, но доступ к сайтам, хоть и немного затрудненный, - есть.

 

Краткая хронология событий, данные по Ф.И.О. третьих людей скрыты, информация по алгоритмам проверки клиентов, верификации предоставленных данных и пр. - служебная и огласке не подлежит.

 

21-08-2009 13:53:29 услуги аренды сервера заказывает Б******* Алексей Михайлович из г. Москва с голландским IP адресом.

 

21-08-2009 13:55:56 услуги аренды в $50 оплачивает некто Сергей из Санкт-Петербурга.

 

22-08-2009 04:18:22 из-за серьезных сомнений нами отправлен запрос на предоставление скана паспорта, информации по номеру телефона и адресу. При положительных результатах проверки обещано $5 в качестве компенсации за неудобства.

 

22-08-2009 18:09:14 из аккаунта Алексея Михайловича Б. предоставляется скан паспорта на имя Козенко Дениса Вячеславовича из Санкт-Петербурга, xx.xx.xxxx года рождения.

 

22-08-2009 19:40 мы связываемся с настоящим Козенко Денисом Вячеславовичем, владельцем паспорта, который говорит, что знать не знает про адванту и соответственно ничего у нас не заказывал, а скан паспорта давно высылал кому-то по делам вебмани.

 

22-08-2009 20:42:41 наш сотрудник сообщает в билете, что "Мы созвонились с Козенко Денисом Вячеславовичем и он сообщил нам, что не заказывал у нас выделенный сервер. Ждем Ваших комментариев."

 

23-08-2009 02:32:02 мы получаем требование "Деньги верни".

 

23-08-2009 02:44:45, воскресенье, наш сотрудник отвечает в билет "Будем решать вопрос в рабочий день.

Полагаю, что деньги выдадим владельцу аккаунта (Козенко Д.В. или Б.А.М.) под роспись с указанием паспорта в офисе, либо по нотариально заверенному заявлению, либо на р/с на физ. лицо в банке, либо другим способом, чтобы деньги точно дошли до владельца аккаунта.

 

По нашей информации, Вы незаконно используете скан паспорта Козенко Д.В. и выдаете себя за другого человека. Этот вопрос вероятно будут уже решать правоохранительные органы при соотв. заявлении от Козенко Д.В."

 

23-08-2009 02:47:05 повтор требования "Деньги верни".

 

23-08-2009 02:48:03 ответ сотрудника "Я не уполномочен принимать подобные решения. Вопрос будет рассмотрен в понедельник."

 

23-08-2009 03:11:02 на наши серверы начинается DDOS.

 

23-08-2009 03:27:09 получено подтверждение по инициатору атаки.

 

23-08-2009 16:40:54 получено требование оплаты $200 за прекращение атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уважаемый администратор! У меня такая ситуация:

Один хостинг размещен у вас, второй заказан.

Вчера были проплачены оба заказа. Помня, что первый хостинг у меня моментально был активизирован, после оплаты заказа второго хостинга, я сразу прописала ваши DNS в новом домене. Уже сутки RU-CENTER тестирует ваши SOA-записи, и присылает мне failedы. По первому домену срок заканчивается 27-го. По первому домену вчера не могла зайти в панель управления, но в два ночи пробилась, успокоилась, все нормально. Сейчас первый домен вообще не грузится. В связи с этим вопросы:

1 Прошли ли мои проплаты? (мне никакие письма не приходили)

2 На вылетит ли мой первый домен вообще? (если проплаты не пройдут до 27-го)

3 Когда мне рассчитывать на активацию второго домена? (заказчик нервничает, я уже сегодня должна была его выложить)

4 Могут ли у меня вылететь все файлы размещенные на вашем сервере? (исходные бэкапы конечно есть, но после выкладки на сайт много правила по мелочам ручками, будет обидно вспоминать где что заново)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 Прошли ли мои проплаты? (мне никакие письма не приходили)

Смотрите на order.advanta.org по каждому аккаунту. Если что-то не прошло в теч. 24х часов после совершения платежа, пишите на sales @ advanta.org во всех подробностях.

2 На вылетит ли мой первый домен вообще? (если проплаты не пройдут до 27-го)

Если Вы оплатили домен в руцентре и он зарегистрирован, то ничего вылететь не должно.

4 Могут ли у меня вылететь все файлы размещенные на вашем сервере?

С чего бы это им вылетать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первый домен зарегистрирован в зоне spb.ru, я имела ввиду не прекратите ли вы предоставлять услугу хостинга? Письмо я уже к вам отправила ответа нет. Проплату делала через Яндекс (копии счетов нет, только квитанция терминала).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Первый домен зарегистрирован в зоне spb.ru, я имела ввиду не прекратите ли вы предоставлять услугу хостинга?

Автоматически блокируются аккаунты, у которых остается нуль дней срока действия хостинга.

Проплату делала через Яндекс (копии счетов нет, только квитанция терминала).

Через терминал может долго идти, а иногда и теряется...

Письмо я уже к вам отправила ответа нет.

В столе помощи сейчас нету ни одного открытого билета, отправьте запрос через order.advanta.org -> авторизация -> стол помощи (helpdesk).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

До сих пор не могу пробиться в cPanel и просмотреть свой сайт.

Какова обстановка на этот час?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Собственно за все время атаки сайты клиентов суммарно отключались на время около двух часов, а в остальное - работают, но с небольшими тормозами.

Видимо С Вашего IP шла атака и он бы заблокирован (публичный IP, а может Вы сами заражены и т.п.). Проверяйте ПК на вирусы и/или заходите из-под другого провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Собственно за все время атаки сайты клиентов суммарно отключались на время около двух часов, а в остальное - работают, но с небольшими тормозами.

Видимо С Вашего IP шла атака и он бы заблокирован (публичный IP, а может Вы сами заражены и т.п.). Проверяйте ПК на вирусы и/или заходите из-под другого провайдера.

Да я и с МТС и c Билайна не могу зайти, видимо такое соединение с интернетом. Антивирусник стоит (Eset NOD32). На форум нормально захожу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На данный момент сила атаки значительно увеличилась. Возможны отключения сайтов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сбили атаку из США, работаем над российским сервером, тут посложнее, т.к. сервер сильно тормозит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

США под контролем, а вот в России зафлудили серьезно, что к серверу не пробиться. Сейчас связываемся с датацентром для помощи с их стороны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×