Jump to content

Proč Chronomag jede mizerně - 503


Chronomag

Recommended Posts

Pánové, dámy. Omlouvám se, věc intenzivně řeším, akorát to není vidět, což je na tom o to smutnější.

 

Co se děje? Já nevím. Tedy vím to technicky: někdo na chronomag spustil bootnet s DDOS útokem. Pro ty, co nevědí: hromada nahackovaných počítačů se snaží přistupovat na Chronomag stejně, jako vy, ale dělají to za účelem jeho přetížení. A je jich opravu hodně, vyšší desítky až stovky ve vteřině.

 

Co nevím, je, proč se tak děje. Běžně se to dělá za účelem prolomení díry v software a postování spamu, jenže to není tenhle případ, dávka spamu se nezvýšila. Nebo za výkupné, ale to nikdo nepoptával. Jediná moje teorie je, že to někdo prostě zkouší, protože téma hodinek je atraktivní, chronomag zaběhnutý, takže se dostal na nějaký seznam ... jinou teorii nemám

 

Co se s tím dá dělat? To je to nejhorší. Nic moc, těžko se odlišuje DDOS útok od návštěvníka. Zatím se vyhazují dotazy ze zjevně vadných IP adres (sorry, z Ukrajiny a Číny se na Chronomag už moc nepodíváte), ale i vyhazování stojí režii serveru, kromě toho nemůžeme blokovat všechno, řada útočících botnet počítačů má i české IP adresy

 

Zatím analyzujeme další IP adresy a postupně je blokujeme, hledáme nějaké profi řešení, které bude cenově přítulné, ale tohle bohužel nemá jednoduché řešení, kromě toho, že ti debilové toho nechají.

 

Mimochodem, kdyby nebyl vyhražený server, nejelo by to s touto zátěží vůbec, takže ještě jednou díky všem, co se investice do něj účastnili. Na virtuálním hostingu už bychom byli dávno odpojeni.

 

Prosím tedy o trpělivost, věnuju se tomu už dva týdny a řešení toho není nic moc :(

 

Chronomag.

Link to comment
Share on other sites

  • Replies 95
  • Created
  • Last Reply

Top Posters In This Topic

Díky za vysvětlení. Je to hodně nepříjemná situace. Pokud se Chronomag skutečně dostal na "nějaký seznam" a není v tom nějaký hlubší záměr útočníka(ů), co zkusit změnit IP adresu? Pokud útočník neresolví DNS záznam a není na Chronomag skutečně fokusovaný, mohlo by to pomoct. Je to relativně levný a rychlý fix, který dle mě stojí za pokus. Předem se omlouvám, pokud jste již toto zkoušeli :)

Link to comment
Share on other sites

Díky za vysvětlení. Je to hodně nepříjemná situace. Pokud se Chronomag skutečně dostal na "nějaký seznam" a není v tom nějaký hlubší záměr útočníka(ů), co zkusit změnit IP adresu? Pokud útočník neresolví DNS záznam a není na Chronomag skutečně fokusovaný, mohlo by to pomoct. Je to relativně levný a rychlý fix, který dle mě stojí za pokus. Předem se omlouvám, pokud jste již toto zkoušeli :)

 

Jo, to je pravda, je to v plánu jako jedna z variant, která už vyžaduje větší spolupráci ISP (nová IP). Problém je, že ty útoky jsou v nějaké časy (nevím je dopředu), takže se to nastaví, čeká, co to udělá atd :/

Link to comment
Share on other sites

:lol: :lol2: :lol2:

Omlouvám se za příspěvek mimo mísu, ale nešlo jinak. :D

 

Jsem si vědom obou výrazů a stojím si za jejich použitím :) Ale pro formu - "překládá jmenný záznam na numerické vyjádření" a "soustředí dostatečnou část své pozornosti" :)

Link to comment
Share on other sites

Jsem si vědom obou výrazů a stojím si za jejich použitím :) Ale pro formu - "překládá jmenný záznam na numerické vyjádření" a "soustředí dostatečnou část své pozornosti" :)

 

Nene, já to chápu; jen toho v tom jednom souvětí bylo moc najednou a úplně jsem vyprskl. :D :cheers:
Link to comment
Share on other sites

no, a "fix" ma v cestine taky trochu jiny vyznam nez v anglictine. takze se nevztekej ;) pochopit se to da, ale taha to usi, a to teda uplne silene.

 

Tak ještě jednou zareaguju offtopic ;-) k tomuto tématu - v diskuzi o hodinkách bych si tento kůl spíč nedovolil, ale v IT oblasti se mluví trochu jinak a jak je vidět, Patrick bez problému porozuměl. A tady šlo o obsah, ne o formu.

Link to comment
Share on other sites

ale jo, v pohode. ja vim, ze IT (tak jako ostatne spousta dalsich oboru) ma vlastni zargon. presto se to da rict "lidsteji". ja jsem tomu taky rozumel, ale uprimne receno, nikdy bych to takhle nerekl. jsem proste divnej, snazil bych se najit cesky vyraz. a prestoze "resolve dns" se presne prelozit neda, nepresvedcis me o tom, ze se neda rict "zamereny na chronomag", misto "fokusovany", pripadne "rychla oprava" nebo "rychle reseni" misto "rychly fix". ale jak rikam, ja jsem asi divnej.

:cheers:

Link to comment
Share on other sites

Ještě jedno, relativně radikálnější, ale asi funkční řešení mě napadlo - zobrazovat reálný obsah fóra pouze přihlášeným uživatelům. Tipuju, že ta 503ka vzniká přetížením backendu, nejspíš databáze, která nestíhá. Pokud by se na jakýkoliv dotaz nepřihlášeného uživatele zobrazila pouze statická stránka, tak k této zátěži nedojde. Pokud bude útočník extrémně motivovaný, tak si sice může zakládat uživatele, ale to už se dá snadněji dohledat a hlavně blokovat. Zautomatizování registrace uživatelů ze strany útočníka bych nepředpokládal, nehledě na to, že se to dá značně zobtížnit nějakou captchou.

Má to ale samozřejmě ten negativní dopad, že nepřilhášení uživatelé si nic nepřečtou. A ještě by se museli vychytat vyhledávače (Google, Seznam, apod), aby stránky Chronomagu nevypadly z jejich indexu. Ale tam by se daly třeba whitelistovat jejich IP rozsahy :)

Link to comment
Share on other sites

Spoustě těchhle výrazů moc nerozumím, ale smysl chápu. Já byl víc než rok jen čtenář fóra, než jsem se zaregistroval. Kdybych neměl přístup bez registrace, tak jsem byl registrovaným členem o moc dřív. Je to o zájmu a fandovství. Já bych to klidně zamáznul pro nečleny a mám pocit, že to chronomágu nijak neublíží - naopak to urychlí vstup nových členů.

 

Edit: chtěl jsem tak moc přispět svým moudrem, že jsem zapomněl napsat, jak mi ten servis temporary ... moc ser.

Edited by Honza.manta
Link to comment
Share on other sites

Co zkusit ISA server nebo jeho nástupce Forefront TMG? Ty mají ochranu proti DDOS útokům a historicky snad nebyly nikdy prolomený :).

(nekamenovat, musel jsem to zkusit :D)

 

Zařídíš licenci a implementaci jako propagační akci té jedenáctky, za kterou kopeš? :) :) Marketingoví by to mohli schválit, když tu budeme mít někde maličkej bannerek :)

 

 

Jinak taky nevidím problém v tom to zablokovat pro neregistrované, jestli by to problém vyřešilo...

Link to comment
Share on other sites

Mám doma při otevřeni Chronomagu, ale i jiného taky problém s pomalým (někdy vůbec) načtením.Když otevřu ESET, tak se mi každou chvíli ukazuje na monitoru - Probíhá načítání protokolu. Když pak otevřu Protokoly v ESETu, tak je tam plno toho co uvádím jako příklad. První datum je 15.12.2010

Příklad: 26.2.2011 14:41:37 Detekován útok ARP cache poisoning 94.113.180.1 94.113.182.74 ARP

Co se s tím dá dělat ? :crying_anim02:

Link to comment
Share on other sites

  • 2 months later...

Takovym dementum co se nudi a delaji tohle, by mel dat nekdo krumpac do ruky a poslat je nekde kopat radej kanaly, alespon tim nekomu prospejou. Fakt mentalitu tech lidi nikdy nepochopim.. Jestli na to bali nekde v Cine holky tak budiz...

 

 

EDIT: nejak sem si nevsiml ze uz je to starsiho data :D

Edited by eXe
Link to comment
Share on other sites

Takovym dementum co se nudi a delaji tohle, by mel dat nekdo krumpac do ruky a poslat je nekde kopat radej kanaly, alespon tim nekomu prospejou. Fakt mentalitu tech lidi nikdy nepochopim.. Jestli na to bali nekde v Cine holky tak budiz...

 

 

EDIT: nejak sem si nevsiml ze uz je to starsiho data :D

 

 

mno staršího jo, ale pokud se nepletu tak ten server je stále přetížený, je to tak? :worried_anim:

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...