Organizacja SANS postanowiła opublikować dokument opisujący perypetie dotyczące ostatniego ataku DDoS wymierzonego w ich serwery stron WWW. Sam atak nie był rozległy, nie wykorzystywał miliona zarażonych komputerów, a jednak odniósł zamierzony skutek. Witryna przestała działać. Prawie 14 000 zapytań na minutę do serwera WWW umiejętnie, a wręcz skutecznie zabiło podstawową działalność. Kilka informacji z analizy może zawsze przydać się jeśli będziemy ofiarą podobnego ataku. Zainteresowanych odsyłam do linka na dole tekstu, a dla tych bardziej leniwych postaram się streścić co najciekawsze fragmenty.
- pierwszą oznaką niespodzianki był SMS informujący o problemach z serwerem WWW,
- usługa SSH odpowiadała ale bardzo, bardzo powoli,
- administratorzy będący na nocnej zmianie zalogowali się szybciej i odnotowali load na poziomie 700 wygenerowany głównie przez serwery WWW,
- szybka analiza (tail access.log) plików dziennika serwera WWW wykazała, że masowo jest wywoływany plik search.html, który odwoływał się do bazy danych,
- szybka zamiana pliku search.html na statyczną zawartość i drastyczne zmniejszenie obciążenia pokazały, że trop jest prawidłowy,
- taki sam UserAget z około 40 różnych adresów IP i blokada adresów na firewallu,
- kilka zapytań wciąż wykorzystywało protokół IP w wersji 6 (IPv6) więc ponownie blokada adresów na firewallu,
- przed zmasowanym atakiem, zostało nawiązane jedno połączenie z irańskiego adresu IP (Teheran),
- pierwsze zapytanie zawierało dane Cookie i miało inny User-Agent oraz Referrer,
- kolejne adresy IP wskazują na perskie adresy blogów,
- na dziesięć kontaktów technicznych, które mogły pomóc – odezwały się 4,
- atakujące systemy to Windowsy w wydaniu serwerowym od wersji 2000 do 2008,
- najpewniej atakujące skrypty .ASP zostały przesłane do wykradzionych kont FTP,
- warto było kontaktować się z osobami odpowiedzialnymi za adresy źródłowe, dostarczyli oni wielu cennych informacji oraz oczyścili swoje zarażone systemy.
4 komentarze do
14 stycznia, 2010 o godzinie 17:21
Na wykresie jest 14000/minute a Ty napisales, ze na sekunde :> Kto sie pomylil?
14 stycznia, 2010 o godzinie 18:05
Ja.
Ewidentnie na minutę czyli 233 / sekundę :].
Poprawione.
Dzięki!
14 stycznia, 2010 o godzinie 21:56
Nie ma sprawy ;) W ogole to byl moj pierwszy komentarz na blogu, a jestem powiedzmy, ze regularnym czytelnikiem od kilku dobrych miesiecy. Bardzo ciekawe wpisy tu umieszczasz. Pozdrawiam.
15 stycznia, 2010 o godzinie 01:33
Dziękuję bardzo.
Każdy zwłaszcza negatywny lub poprawkowy komentarz jest ceniony w pełni :]