Liczba wyświetleń: 2949
Informacja z 9 kwietnia
„Dobry wieczór. Nie mogę wejść na wolnemedia.pl. Pojawia się komunikat, jak w temacie e-maila. Czyżby atak hakerski czy może blokada ze strony władzy?” – takiego maila otrzymałem od zaniepokojonego czytelnika.
Natychmiast sprawdziłem wykresy i czy strona działa. Okazało się, że ubiegłej nocy nasz serwer był atakowany i padł na ok. 3,5 godziny. W tym czasie pojawiał się komunikat „Błąd połączenia z bazą danych”.
Według wykresów były dwa ataki. Pierwszy wczoraj, 7 kwietnia, między godziną 13:50 a 15:05, ale wówczas strona działała cały czas, aczkolwiek zapewne wolniej, a potem w nocy między godziną 2:03 a 5:42, przy czym od 2:25 do 5:40 strona była niedostępna.
Na pierwszy rzut oka wygląda to na atak botów. O ile cyberataki z grudnia i stycznia udało się wykryć po statystykach wejść (boty atakowały z Singapuru), o tyle teraz nie widać podejrzanie wysokiej liczby wejść z jakiegoś nietypowego dla wcześniejszych statystyk państwa (drugie państwo na wykresach, po Polsce, to USA, czyli tak, jak wcześniej).
Na szczęście serwer padł wtedy, gdy większość czytelników spała, aczkolwiek sytuacja jest niepokojąca. W tym tygodniu będę częściej monitorował wykresy, by sprawdzić, czy to był jednostkowy przypadek, czy też jakiś haker obrał nas na cel. W przeszłości w podobnych sytuacjach zawsze zaczynało się od krótkich, epizodycznych przeciążeń serwera, a potem było coraz gorzej.
Dziękuję czytelnikowi, którzy powiadomił mnie o problemie z serwerem. Gdyby nie on, byłbym nieświadomy, że działo się coś złego, kiedy spałem.
Maurycy Hawranek
Administrator WolneMedia.net
Aktualizacja z 10 kwietnia
Wczoraj, 8 kwietnia, było jeszcze gorzej. Były dwa ataki, pierwszy mocniejszy od drugiego, z krótką przerwą między nimi. Sami zobaczcie wykres.
Po liczniku wejść nie widać, by boty atakujące portal nabijały licznik, tak jak boty z grudnia. Nie widać też jakiegoś wzrostu wejść z dziwnych państw. Możliwe więc, że cyberatak następuje z polskich adresów IP, bo tylko one wzrosły wczoraj.
W logach na serwerze tez nie widać niczego podejrzanego.
Kilka dni temu ukazała się nowa wersja WordPressa. Ponieważ mam ostatnio młyn na głowie (w życiu prywatnym), a aktualizacja wymaga ręcznych edycji kilku plików php (niestandardowe ustawienia dla WM poprawiające pracę wyszukiwarki), odwlekałem to do dzisiaj. I niespodzianka — po raz pierwszy od lat WordPress nie chciał się sam automatycznie zaktualizować. Zrobiłem to dzisiaj ręcznie. Nie wiem, czy to dzieło botów, które znalazły dziurę w poprzedniej wersji CMS-a i zablokowały aktualizację do nowej wersji, która być może tę dziurę załatała, aby z tej dziury korzystać, ale dzisiejszy dzień pokaże, czy jest związek.
Należy spodziewać się kolejnego cyberataku, który może objawiać się:
– bardzo długim czasem wczytywania strony;
– problemami z dodawaniem komentarzy;
– komunikatami o niedostępności strony – „Bad gateway”
– padnięciem mysql na serwerze – „Błąd połączenia z bazą danych”.
Z góry przepraszam za utrudnienia z winy cybeprzestępców atakujących „Wolne Media”.
Aktualnie szukam pomysłu, jak wytropić atak na serwerze (logi i dane statystyczne niczego podejrzanego nie wykazują) i co z tym zrobić. Jeśli ktoś z Was zna się na tym — niech napisze. Używamy wtyczek antyspamerskich i do przeciwdziałania cyberatakom. Ale wygląda na to, że boty znalazły jakąś dziurę w WordPressie.
Najlepszym rozwiązaniem byłoby przejście na inny CMS, mniej popularny jak najpopularniejszy WordPress, który jest głównym celem cyberprzestępców, ale migracja wymagałaby pomocy specjalisty, który by wszystko zmigrował i skonfigurował, aby strona zachowała podobny wygląd i funkcjonalność.
Od jakiegoś czasu trwają prace nad nakładką na WordPressa, która ogłupi boty hakerów, ale problemem jest kwestia ukończenia skryptów logowania i dodawania komentarzy w nakładce (to najtrudniejsza rzecz do napisania).
Aktualizacja z 11 kwietnia
O 8:55 zaczął się dzisiaj – 11 kwietnia – kolejny cyberatak botów. Należy spodziewać się spowolnienia strony, problemów z logowaniem lub komunikatów o problemie z wczytaniem strony. Włączyłem dodatkową ochronę, w postaci testu Captcha przy wchodzeniu na portal, ale spadek na wykresach był znikomy, więc odznaczyłem tę opcję.
Zablokowałem na chwilę wejścia spoza Polski („na oko” wg wykresów z Polski pochodzi ok. 85% ruchu, z USA ok. 15% i 10% z innych państw) i wykresy spadły prawie do zera. Następnie zablokowałem USA i odblokowałem świat. Tak to wygląda na wykresach.
Potem użyłem opcji „also know bots” i odblokowałem USA. Wynik końcowy wyszedł podobny, ale nie wiadomo, czy narzędzie CloudFlare blokuje wszystkie boty, w tym pozyteczne roboty sieciowe indeksujące dla wyszukiwarek (np. Google). Na razie tymczasowo odblokowałem też Singapur – wykresy nie wzrosły.
Aktualizacja z 12 kwietnia
Testowałem wczoraj wtyczkę do WordPressa do walki ze złymi botami, ale mocno zamulała stronę (bardziej niż boty).
Mamy już dwa narzędzia do walki z botami. Można zablokować na czas ataków wszystkie wejścia z całego świata oprócz Polski (niestety, również te dobre, które indeksują zawartość WM dla wyszukiwarek), albo państwa, z których jest największy ruch (ostatnie ataki są z USA, ale stamtąd pochodzą też prawie wszystkie dobre boty, dlatego w statystykach nie było widać niczego podejrzanego).
Aktualny pomysł, to funkcja, by podczas włączenia blokowania wszystkich botów przepuszczane były tylko boty z Google (listę ich adresów IP można z czasem poszerzyć o dobre boty innych wyszukiwarek, z których obecnie wejścia na WM są niewielkie).
Na razie, po wczorajszych testach z blokowaniem całego świata, tylko USA i wszystkich botów, sytuacja na serwerze się uspokoiła. Jak widać na wykresie wyżej, z wczoraj, podczas blokowania całego świata, oprócz Polski, krzywa na wykresie była bardzo niska. Oznacza to, że te niebieskie obszary na wykresie, to w ok. 95% boty (dobre i złe).
W każdym razie problem został zidentyfikowany (złe boty) i ogólnie wiadomo, jak z tym walczyć (blokerem złych botów). Kwestią jest tylko brak darmowego narzędzia, bo płatne są, ale do tanich nie należą. Przydałaby się często aktualizowana online lista dobrych lub złych botów – wtedy można byłoby zrobić własny bloker (blokujący boty z listy złych, lub blokująca wszystkie boty, oprócz dobrych). Ktoś z Was zna taką? W CloudFlare w planie za 25 USD na miesiąc (240 USD na rok) mają rozszerzoną funkcję blokowania botów, a w planie za 250 USD na miesiąc (2400 USD na rok) ochrona jest bardzo silna (boty są analizowane). Nie wiadomo, ile warty jest plan za 25 USD, a plan za 250 USD to astronomiczny wydatek.
Poznaj plan rządu!
> Pierwszy wczoraj, 7 kwietnia, między godziną 13:50 a 15:05, ale wówczas strona działała cały czas, aczkolwiek zapewne wolniej,
Przed 15 próbowałam (kilka razy) zamieścić komentarz ale za każdym razem kończyło się to błędem “502 Bad Gateway” natomiast strona główna działała ale wczytywanie trwało powyżej minuty (podstron też). Pytanie KTO tak nieładnie się bawi no i zbieżność terminu daje do myślenia ..
Jeżeli ataki były typu ddos, są serwisy oferujące przed tym ochronę takie jak cloudflare, pytanie tylko czy koszt ok. 200$/mc nie jest zbyt wysoki
“Aktualnie szukam pomysłu, jak wytropić atak na serwerze” to jest właśnie sedno problemu, Kto to robi?
@Truenamekian
To nie był DDOS. Korzystamy z ochrony CloudFlare, ale w wersji free.
@ emigrant001
Wiadomo kto – hakerzy. Piszą skrypty i próbują włamać się na znalezione w Google serwery stron www, aby wykradać różne dane (np. emaile, numery telefonów, hasła i loginy), by potem nimi handlować na czarnym rynku, albo żeby wykorzystać zaatakowane serwery do rozsyłania spamu, wirusów, produkcji kryptowalut (koparki), itp. Postawiłbym raczej pytanie – jak to robi?
Wczoraj – 9 kwietnia – był problem z mysql – przestał działać ok. 13.00, ale udało się go rozwiązać w pół godziny (tym razem to nie był atak). Przez resztę dnia było spokojnie (wykresy w normie).
Widzę, że dzisiaj już mój czytnik RSS nie pobiera curl’em nowych wpisów. Czy to też zostało zablokowane?
Sprawdziłem i widzę, że curl jest blokowany, bo dostaję taką wiadomość:
Attention Required! | Cloudflare Please enable cookies. Sorry, you have been blocked You are unable to access wolnemedia.net Why have I been blocked? This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data. What can I do to resolve this? You can email the site owner to let them know you were blocked. Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page. Cloudflare Ray ID: 872bbc17cf6966a4 • Your IP: (BUTTON) Click to reveal
Chyba będę musiał przejść na lynx’a do pobierania RSS, bo to na razie działa.
Kto to robi – owszem hakerzy, ale wątpię żeby jakiekolwiek dane użytkowników WM stanowiły istotną wartość handlową. Stawiałbym raczej na zlecenie. Kto jest zleceniodawcą? Ano pewnie instytucja, która sama powinna zajmować się zwalczaniem tego typu przestępstw. Taka podła zemsta za wiadomą sprawę sądową…
ABW raczej by o to nie podejrzewał. Tym razem to boty z USA.
Nie wiem czy to można zaadaptować do WM
Znalazłem jakąś wtyczkę do Worldpress (przeznaczoną do walki ze złymi botami) wraz z opisem i filmikiem – może się przyda.
https://pl.wordpress.org/plugins/antibots/
A tu bardziej skomplikowany i czasochłonny sposób walki z tym dziadostwem (to jest raczej ogólnego przeznaczenia – nie tylko do worldpress)
https://www.pecetowicz.pl/topic/lista-zlych-i-dobrych-robotow-indeksujacych-pozbadz-sie-szpiegow-105774/
Ja dzisiaj do poludnia mialem calkowicie zablokowana strone WM, i byla zablokowana nie tylko na komputerze ktorego normalnie uzywam lecz rowniez na innych komputerach i telefonach.
@ rici
Od której godziny do której?
Pierwsza moja proba byla okolo 8.00 moze pare minut po, pozniej probowalem kilkakrotnie do 11.00 i dopiero po 11 wszedlem na strone WM normalnie.
Nie wiem czy to nie zwiazku z tyn ze kilka dni temu dostalem ze musze wyczyscic firefoxa, odrzucilem to, poniewaz go nie uzywam, no i zaczely mi sie problemy z adblockiem, a dzisiaj jeszcze na niektorych stronach ktorych uzywam, pojawily mi sie informacje ze moja przegladarka na tych stronach nie chroni mnie przed prywatnoscia i moj IP moze byc udostepniany obcym podmiotom.
To może być kwestia plików cache. Ok. godz. 11.00, przez 10 minut mogła strona być zablokowana, bo testowałem wówczas blokowanie złych botów i niechcący zablokowałem cały ruch, nawet z mojego komputera. Ale trwało to krótko, bo szybko się zorientowałem. Natomiast o 8.00 nie powinno było być nic blokowane.
Aktualnie odblokowałem Singapur i zablokowałem w CloudFlare „znane boty” z wykluczeniem „dobrych botów”, by sprawdzić, czy Google uwzględni nowe wpisy w wynikach wyszukiwarki. Będzie wiadomo jutro lub pojutrze, po dodaniu nowych wpisów. Na razie widać, że wykresy zużycia serwera obniżyły się. Jeśli ktoś zauważy jakieś błędy ze stroną – niech da znać.
Cos sie chyba dzieje, mam juz dwa portale ktore zostaly zablokowane, jeden to Polski Portal Informacyjny R.Brzozy, a drugi to Cheops.