Portály forum.viry.cz a viry.cz se zřejmě zapsaly mezi slavné, neboť se staly obětí mezinárodního DDoS útoku. Nově přidávám první hmatatelné informace.

DDoS útok spočívá v zahlcení serveru nesmyslnými požadavky z různých počítačů. Výsledkem je, že server nestíhá, což můžete pociťovat pomalejším chodem webu a nebo celkovou nedostupností.

Nejprve se stalo obětí diskuzní fórum forum.viry.cz a to kolem 17 hodiny v úterý. O den později pak přišlo na řadu přímo viry.cz, které běží na jiném serveru a tedy i jiné IP adrese. Důvod útoku zrovna na viry.cz neznám, možná je to za to, že tu dlouho nebyla žádná novinka 🙂

Oba portály jsou nyní v provozu i když možná trochu pomalejší. Nebohý server viry.cz s 2 GB RAM musí snášet přes 200 tisíc nesmyslných požadavků za minutu, aktuálně (sobota, 12:30) nějakých 60 tisíc. Zcela určitě jde o cílený útok řízený někým, kdo má pod kontrolou tzv. botnet, tedy síť / “armádu” zavirovaných počítačů nic netušících majitelů. Jejich počítače jsou pak bez jejich vědomí zneužity právě na tuto špinavou činnost. A protože je víkend a řada z nich počítač nezapíná, máme tu “klidných” 60 tisíc útoků/min. místo zmiňovaných 200 tisíc/min. v pracovních dnech. Kontrolou některých IP adres bylo možné dopátrat, že stejné IP adresy (resp. počítače, které se za ní schovávají) rozesílají i nevyžádanou poštu.

Dovolil jsem si připravit mapu, která vyznačuje, odkud je útok veden. I když je veden masivně co do množství požadavků za minutu, v reálu příchází “pouze” z několika stovek IP adres (upřesním až v následujících dnech). Kolik se na útoku podílí počítačů, to těžko soudit, neboť za jednou IP adresou jich může být hned několik (díky existenci NAT).

Všimněte si “přepuntíkované” České republiky, tedy skutečnosti, že útok je veden převážně z počítačů v České republice. Ono to možná vychází i z toho, že pokud jde útok hodně z dálky, může ho teoreticky něco na cestě “zaříznout” a k serveru viry.cz se tak vůbec nedostane. S poskytovateli těchto tuzemských rozsahů IP adres bych rád zahájil komunikaci a třeba i zjistil, jaká centrálně řízená “havěť” se o tenhle útok postarala…


31 komentářů » for Aktualizováno: DDoS útok na viry.cz
  1. pavuk29 napsal:

    No co, kinderhackeri sa pobavili a teraz sup do prace 🙂

  2. Mc_Murphy napsal:

    Že by někdo z odmítnutých\zabanovaných kinderů? 😀

    • komár napsal:

      Estli to má být narážka na mě (krtek), tak ne, já bych se pouze s DDoS útokem nespokojil. Pokud bych provedl já útok na viry.cz a forum.viry.cz, tak na prvním serveru bych na dálku vytáhl kabel z eletriky a na druhém bych místo fóra dal nápis a obrázek:
      “Tento web nepotřebujete, dejte si do systému 5 až 7 antivirů a nic vám tam nevleze!”
      http://s3.postimage.org/u85llvar5/bezpecnost_pc_v5u2.png

      • riffman napsal:

        tak vycurat, najit dudlika a sup do postylky

      • Mc_Murphy napsal:

        Na Tebe jsem vůbec nemyslel, Ty pakouši. Na to známe jiné kapacity, které jen neplácají nesmysly, aby si ukojily své zvrhlé choutky v pruzení ostatních. Ty bys nedokázal zaútočit ani na mou kalkulačku, co mám na stole, Ty virtuální hrdino. 😀

        • komár napsal:

          Tak já ti nevím, ale mně přijde víc kinder tady ty reakce, že viry.cz napadli kinder, než samotné napadení. Tož estli teda podle tebe je kapacita někdo, kdo svede udělat ddos útok, tak podle mě tedy ne a to myslím jakýkoliv druh ddos útoku a to i včetně případného vytvoření botnetu. Mimochodem ddos útok i botnet bych svedl zrealizovat, ale tu potřebu fakt nemám.
          Na tvou kalkulačku bych zautočil kladivem, myslím, že útok by byl úspěšný.
          Já prudím? Já šířím osvětu. Navíc si nedělám prdel z lidí jako vy na forum.viry.cz, viz např. toto:
          http://forum.viry.cz/viewtopic.php?p=1191697#p1191697
          vyosek: BitDefender neni spatnym AV, vizte citaci kolegy (testoval BitDefender Free)
          JaRon píše: tak som v piatok v ramci dovolenky a vedeckeho badania v oblasti BitDefender FREE lozil asi 4 hodiny po strankach pre dospelych, v sobotu som preskumal NTB a bol cisty, cize ak niekto potrebuje AV dobrej znacky, ktory neotravuje a neda sa nom nic nastavovat, tak ho DOPORUCUJEM

          • Mc_Murphy napsal:

            Zbytečný Tě dál komentovat, Ty jsi opravdu vážně nemocen…

          • komár napsal:

            Mc_Murphy: Pokud jste na forum.viry.cz odborníky na bezpečnost a testujete antivir popsaným způsobem v předchozím příspěvku tak pak si dokážu představit jak asi relevantní může být výrok o duševním zdraví člověka.
            Já tě nenutím mě komentovat.

      • Aboutlukin napsal:

        No určitě to nemyslíš važně stějma antivirama?
        určitě ti tam nic nevleze a system maš stabilní,
        a maš určitě rychlou detekci 😀

  3. riffman napsal:

    kindervejce

  4. pavuk29 napsal:

    Celkom by ma zaujimalo, preco je zo Slovenska len jedna znacka, a aj to vyzera ako od nas z BB 😀

  5. komár napsal:

    Můj pc se pravděpodobně bohužel útoku na viry.cz neúčastnil, páč nejbližší puntik je nějakých 25 km daleko 🙁
    Mě by zajímalo jaký druh DDoS útoku byl proveden, jestli to není tajné.

  6. igi napsal:

    Je to SYN FLOOD útok na portu 80.

  7. JaRon napsal:

    mily komarik,
    ked si uz spomenul moje meno nemozem nezareagovat, a bude to z mojej strany jednorazova a jednoznacna odpoved, aj ked viem, ze Teba bavi rypanie a najlepsie na pokracovanie ,,, v zivote som s Tebou nemal konflikt, no kolegoc z fora si uz stihol pourazat snad vsetkych !!! Co si Ty za cloveka ??? Co sa rypes tam, kde Ta nechcu a zneprijemnujes ludom pracu, ktorej rozumeju a ich bavi. Ak nieco vies zaloz si svoje forum a tam si pis svoje poznatky.
    Co sa tyka profesionalneho testovania na to mame napr. http://www.av-comparatives.org/
    z ktoreho vypadne kopec cisel, ktore nieco naznacia, ale z uzivatelskeho pohladu nie vela ,,,
    Takze ak nieco testujem, viem co asi uzivatel potrebuje a aj ako sa moze rychlo zavirit ,,,
    Z Tvojich prispevkov mi je zle a jedine pozitivum – pribudne uzivatelov BD.
    Zamysli sa nad sebou a ZMIZNI do dejin. j++

    • komár napsal:

      Milý JaRon.
      Pod tímto článkem jsem reagoval abych nebyl spojován s ddos útokem a následnou debatu mimo téma jsem nevyvolal já. Pak tu mám příspěvek, kde píši ohledně polohy útoku ve spojitosti s polohou mého pc (něco podobného tu psal pavuk29) a otázku ohledně druhu ddos útoku (na tu odpověděl igi). Nevidím nic špatného na tom, když někdo napíše svůj názor, v mém případě jsem napsal názor na tvůj příspěvek. Pokud je ti z mých příspěvků zle, tak to bude spíš tvůj problém, než můj. Chybí ti náhled, malá tolerance vůči opačnému názoru, atp.
      Co se týče av-comparatives: Aha, takže z uživatelského hlediska nejsou podstatné a neříkají moc informace jako vítěz nebo pořadí “profesionálního” testu av-comparatives a porovnání detekčních schopností antivirů v tomto testu (slovně nebo v procentech), ale naopak z uživatelského hlediska hodně naznačí tvůj test, kdy 4 hodiny surfuješ po porno stránkách a nejsi nakažen, který jednak nenese žádnou informaci ohledně schopnosti detekce a jednak se dá chápat všelijak, já ho chápu tak, že ty jsi ty 4 hodiny prosurfoval po čistých stránkách (já se nikdy v životě nenakazil na porno stránce a to nemám antivir a prosurfoval jsem na nich o hodně víc než ty tvé 4 hodiny). Co se týče uvozovek u slova profesionálního, av-comparatives nepovažuju za profesionální test navíc ho považuju za naprosto zbytečný.
      Pokud něco testuješ a zrovna testuješ něco podle tebe kvalitního a chceš to doporučit a chceš to doporučení podpořit argumentama, tak příště vol lepší argumentaci, ne takovou hloupou jakou jsi volil.
      Když teda té práci rozumíš a víš jak se uživatel může rychle zavířit a navíc tu pracuješ zdarma, tak mám pár otázek týkajících se bezpečnosti, malware a antivirů:
      Jediný možný způsob jak jde napadnout můj pc je přes surfování na internetu (klidně rozeberu proč). Používám win 8 (defender zakázaný, přihlášen pod admin účtem), aktuální: firefox (adblock plus, web developer), javu, flash. Nejspíš nepodstatné info: chodím na weby psané česky, slovensky a anglicky, používám vyhledavač google.
      a) Jaký funkční aktivní malware na webové stránce (já pod tím slovem vidím cokoliv co nechci) je schopen v této chvíli něco způsobit na mém pc bez toho, aniž by k tomu potřeboval mou reakci (= něco způsobil po pouhém kliknutí na odkaz na google). Pokud možno něco ověřitelného.
      b) Jaký antivir (nebo jakýkoliv anti* program) v té samé chvíli je schopen tento malware detekovat
      c) Jakékoliv dohledatelné údaje ohledně a) a b) … např. rozšířenost
      A dvě poznámky nakonec:
      Můj pc používám já a děti k naprosté spokojenosti bez antiviru, přitom já nepoznám ani eicar. Druhý pc v domě používají dvě dospělé osoby a děti, též k naprosté spokojenosti bez antiviru, a to dokonce neví co to eicar je.
      Pokud pod zkratkou BD myslíš Bitdefender, tak mně je jedno jestli přibude nebo ubude jeho uživatelů, může být pravda tvé tvrzení ohledně pozitiva a to v rámci nenapravitelných nezodpovědných oveček, globálně nikoliv.

  8. Přítel fora napsal:

    Práce zdejším moderátorů je výborná, i když občas udělají chybu (viz zavirovaný combofix), ale přiznejme si, kdo z nás nedělá. Nicméně v jedné věci má komár pravdu a to v případě mnohých komentářů, které jsou mnohdy nemístné a plné arogance, čímž ubírají na celkové úrovni fora.

    • vyosek napsal:

      Zdravim,

      tak my jsme arogantni a co uzivatele na nas, kdyz nas kolikrat posilaji do nevhodnych mist pote, co jim odmitneme pomoci, jelikoz porusuji jasne predem dana pravidla fora?? To neni nemistne ci nevhodne chovani?? Nebo arogatne reaguji, kdyz jim clovek do 30 minut (napr. v jedenact v noci) neodpovi?? Jaky je tam pomer “nevhodne posty uzivatelu : nevhodne posty tymu”, rekl bych ze uzivatele jasne vedou…

      A co se tyce CF, chyba nebyla u tymu radcu ale primo u autora a nez se na problem prislo, bohuzel par uzivatelu infikovany CF pouzilo – byl jim vsak poskytnut navod jak na opravu…

      Btw, sic jste mi psal mail, ja Vam odpovedel, ale od Vas uz odpoved neprisla 🙁

      Na komenty pana krtka (zde komar) nema cenu nejak reagovat, jeho vysazenost na forum ci mou osobu je znama a je zbytecne se nejak zamotavat do jeho radoby konverzaci – vystihl kolega JaRon.

      Tot vsjo 🙂

  9. Martin napsal:

    🙂 SYN FLOOD bol len zaciatok, dalsie dejstvo pride uz coskoro! 🙂

  10. lina napsal:

    Nemohu se do fora prihlasit ani cokoli otevrit, hazi to chybovou hlasku:

    General Error
    SQL ERROR [ mysql4 ]

    User igi has already more than ‘max_user_connections’ active connections [1203]

    An sql error occurred while fetching this page. Please contact an administrator if this problem persists.

    • vyosek napsal:

      DD,

      je problem s databazi, zrejme jako dusledek provedeneho DDoS utoku. Igi pracuje na naprave i v soucinnosti s provozovatelem serveru…

      vyosek – moderator a lektor fora

  11. Martin Dráb napsal:

    Ano, tuto chybu SQL jsem v minulých dnech dostával taky. Zřejmě se útočníci tentokrát rozhodli zaútočit na maximální limit souběžných připojení k databázi, což asi bude mnohem jednodušší (a méně nákladné na stroje) než útok předchozí.

    Dnes už mi ale jde fórum i blog normálně a rychle.

  12. wwsy napsal:

    dajte tomu Komarovi ip BANan

  13. Jonek445 napsal:

    To nebyl mezinarodni Dos, ty decka si stahly anonymizer a byly napojeny na nahodny proxy.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..