Proč Chronomag jede mizerně - 503

[Chronomag]

Pánové, dámy. Omlouvám se, věc intenzivně řeším, akorát to není vidět, což je na tom o to smutnější.

 

Co se děje? Já nevím. Tedy vím to technicky: někdo na chronomag spustil bootnet s DDOS útokem. Pro ty, co nevědí: hromada nahackovaných počítačů se snaží přistupovat na Chronomag stejně, jako vy, ale dělají to za účelem jeho přetížení. A je jich opravu hodně, vyšší desítky až stovky ve vteřině.

 

Co nevím, je, proč se tak děje. Běžně se to dělá za účelem prolomení díry v software a postování spamu, jenže to není tenhle případ, dávka spamu se nezvýšila. Nebo za výkupné, ale to nikdo nepoptával. Jediná moje teorie je, že to někdo prostě zkouší, protože téma hodinek je atraktivní, chronomag zaběhnutý, takže se dostal na nějaký seznam ... jinou teorii nemám

 

Co se s tím dá dělat? To je to nejhorší. Nic moc, těžko se odlišuje DDOS útok od návštěvníka. Zatím se vyhazují dotazy ze zjevně vadných IP adres (sorry, z Ukrajiny a Číny se na Chronomag už moc nepodíváte), ale i vyhazování stojí režii serveru, kromě toho nemůžeme blokovat všechno, řada útočících botnet počítačů má i české IP adresy

 

Zatím analyzujeme další IP adresy a postupně je blokujeme, hledáme nějaké profi řešení, které bude cenově přítulné, ale tohle bohužel nemá jednoduché řešení, kromě toho, že ti debilové toho nechají.

 

Mimochodem, kdyby nebyl vyhražený server, nejelo by to s touto zátěží vůbec, takže ještě jednou díky všem, co se investice do něj účastnili. Na virtuálním hostingu už bychom byli dávno odpojeni.

 

Prosím tedy o trpělivost, věnuju se tomu už dva týdny a řešení toho není nic moc

 

Chronomag.

[Lemare]

Díky za vysvětlení. Je to hodně nepříjemná situace. Pokud se Chronomag skutečně dostal na "nějaký seznam" a není v tom nějaký hlubší záměr útočníka(ů), co zkusit změnit IP adresu? Pokud útočník neresolví DNS záznam a není na Chronomag skutečně fokusovaný, mohlo by to pomoct. Je to relativně levný a rychlý fix, který dle mě stojí za pokus. Předem se omlouvám, pokud jste již toto zkoušeli

[lib]

...... Pokud útočník neresolví DNS záznam a není na Chronomag skutečně fokusovaný, ....

 

:lol2:

Omlouvám se za příspěvek mimo mísu, ale nešlo jinak.

Upraveno 24. února 2011 uživatelem lib

[Murphy97]

Bulharsko nevypinat!

[Chronomag]

Díky za vysvětlení. Je to hodně nepříjemná situace. Pokud se Chronomag skutečně dostal na "nějaký seznam" a není v tom nějaký hlubší záměr útočníka(ů), co zkusit změnit IP adresu? Pokud útočník neresolví DNS záznam a není na Chronomag skutečně fokusovaný, mohlo by to pomoct. Je to relativně levný a rychlý fix, který dle mě stojí za pokus. Předem se omlouvám, pokud jste již toto zkoušeli

 

Jo, to je pravda, je to v plánu jako jedna z variant, která už vyžaduje větší spolupráci ISP (nová IP). Problém je, že ty útoky jsou v nějaké časy (nevím je dopředu), takže se to nastaví, čeká, co to udělá atd :/

[Lemare]

:lol2:

Omlouvám se za příspěvek mimo mísu, ale nešlo jinak.

 

Jsem si vědom obou výrazů a stojím si za jejich použitím Ale pro formu - "překládá jmenný záznam na numerické vyjádření" a "soustředí dostatečnou část své pozornosti"

[lib]

Jsem si vědom obou výrazů a stojím si za jejich použitím Ale pro formu - "překládá jmenný záznam na numerické vyjádření" a "soustředí dostatečnou část své pozornosti"

 

Nene, já to chápu; jen toho v tom jednom souvětí bylo moc najednou a úplně jsem vyprskl.

[little_w]

no, a "fix" ma v cestine taky trochu jiny vyznam nez v anglictine. takze se nevztekej pochopit se to da, ale taha to usi, a to teda uplne silene.

[bandicoot]

...nojo, je to takovej kůl spíč.

[KFL]

Co zkusit ISA server nebo jeho nástupce Forefront TMG? Ty mají ochranu proti DDOS útokům a historicky snad nebyly nikdy prolomený .

(nekamenovat, musel jsem to zkusit )

[Lemare]

no, a "fix" ma v cestine taky trochu jiny vyznam nez v anglictine. takze se nevztekej pochopit se to da, ale taha to usi, a to teda uplne silene.

 

Tak ještě jednou zareaguju offtopic ;-) k tomuto tématu - v diskuzi o hodinkách bych si tento kůl spíč nedovolil, ale v IT oblasti se mluví trochu jinak a jak je vidět, Patrick bez problému porozuměl. A tady šlo o obsah, ne o formu.

[little_w]

ale jo, v pohode. ja vim, ze IT (tak jako ostatne spousta dalsich oboru) ma vlastni zargon. presto se to da rict "lidsteji". ja jsem tomu taky rozumel, ale uprimne receno, nikdy bych to takhle nerekl. jsem proste divnej, snazil bych se najit cesky vyraz. a prestoze "resolve dns" se presne prelozit neda, nepresvedcis me o tom, ze se neda rict "zamereny na chronomag", misto "fokusovany", pripadne "rychla oprava" nebo "rychle reseni" misto "rychly fix". ale jak rikam, ja jsem asi divnej.

[Lemare]

Ještě jedno, relativně radikálnější, ale asi funkční řešení mě napadlo - zobrazovat reálný obsah fóra pouze přihlášeným uživatelům. Tipuju, že ta 503ka vzniká přetížením backendu, nejspíš databáze, která nestíhá. Pokud by se na jakýkoliv dotaz nepřihlášeného uživatele zobrazila pouze statická stránka, tak k této zátěži nedojde. Pokud bude útočník extrémně motivovaný, tak si sice může zakládat uživatele, ale to už se dá snadněji dohledat a hlavně blokovat. Zautomatizování registrace uživatelů ze strany útočníka bych nepředpokládal, nehledě na to, že se to dá značně zobtížnit nějakou captchou.

Má to ale samozřejmě ten negativní dopad, že nepřilhášení uživatelé si nic nepřečtou. A ještě by se museli vychytat vyhledávače (Google, Seznam, apod), aby stránky Chronomagu nevypadly z jejich indexu. Ale tam by se daly třeba whitelistovat jejich IP rozsahy

[lupinus]

A což takhle spustit masivní letákovou kampaň?

[Honza.manta]

Spoustě těchhle výrazů moc nerozumím, ale smysl chápu. Já byl víc než rok jen čtenář fóra, než jsem se zaregistroval. Kdybych neměl přístup bez registrace, tak jsem byl registrovaným členem o moc dřív. Je to o zájmu a fandovství. Já bych to klidně zamáznul pro nečleny a mám pocit, že to chronomágu nijak neublíží - naopak to urychlí vstup nových členů.

 

Edit: chtěl jsem tak moc přispět svým moudrem, že jsem zapomněl napsat, jak mi ten servis temporary ... moc ser.

Upraveno 25. února 2011 uživatelem Honza.manta

[Martz]

Co zkusit ISA server nebo jeho nástupce Forefront TMG? Ty mají ochranu proti DDOS útokům a historicky snad nebyly nikdy prolomený .

(nekamenovat, musel jsem to zkusit )

 

Zařídíš licenci a implementaci jako propagační akci té jedenáctky, za kterou kopeš? :) Marketingoví by to mohli schválit, když tu budeme mít někde maličkej bannerek

 

 

Jinak taky nevidím problém v tom to zablokovat pro neregistrované, jestli by to problém vyřešilo...

[revue gt]

Mám doma při otevřeni Chronomagu, ale i jiného taky problém s pomalým (někdy vůbec) načtením.Když otevřu ESET, tak se mi každou chvíli ukazuje na monitoru - Probíhá načítání protokolu. Když pak otevřu Protokoly v ESETu, tak je tam plno toho co uvádím jako příklad. První datum je 15.12.2010

Příklad: 26.2.2011 14:41:37 Detekován útok ARP cache poisoning 94.113.180.1 94.113.182.74 ARP

Co se s tím dá dělat ?

[cody]

Odinstalovat ESET

[eXe]

Takovym dementum co se nudi a delaji tohle, by mel dat nekdo krumpac do ruky a poslat je nekde kopat radej kanaly, alespon tim nekomu prospejou. Fakt mentalitu tech lidi nikdy nepochopim.. Jestli na to bali nekde v Cine holky tak budiz...

 

 

EDIT: nejak sem si nevsiml ze uz je to starsiho data

Upraveno 18. května 2011 uživatelem eXe

[Tulky]

Takovym dementum co se nudi a delaji tohle, by mel dat nekdo krumpac do ruky a poslat je nekde kopat radej kanaly, alespon tim nekomu prospejou. Fakt mentalitu tech lidi nikdy nepochopim.. Jestli na to bali nekde v Cine holky tak budiz...

 

 

EDIT: nejak sem si nevsiml ze uz je to starsiho data

 

 

mno staršího jo, ale pokud se nepletu tak ten server je stále přetížený, je to tak?