Атака на phpbbguru.net - обсуждение

[Mr. Anderson]

Обсуждаем эту новость. Только, пожалуйста, спокойно.

[Leviafant]

Ну если есть прямые доказательства что с их сервера проводилась атака почему бы с этим не обратиться в датацентр или фсб?

[kassidy]

Вполне возможно, что на их сервере просто установлен ботнет, через который и выполняются запросы на отправку пакетов. Не думаю, что они причастны к этому.

[FelexS]

мну тоже кажется что это не их рук дело...

собственно не зачем...

[Mr. Anderson]

Leviafant
Логи антиддос-фильтров и тп я К-шникам отдавал дважды. Но они фактически клали болт. В прицнипе оно и понятно - пара сотен разных ИП, нафига такой гемор? А IP сервера говорит еще меньше...
Ну, справедливости ради, замечу, что двух кулхацкеров они вроде как быстро вычислили и прижали (читай - пожурили и отпустили - там смех был, а не атака). Но они к атакам вообще никаким боком, у них, видимо, свои мелочные счеты.
На площадку не постучались - это да, мы дали маху, но тогда было совсем не до того. 2 недели выпадения сайта, потом еще 2 подряд переезда и тп... А последствия по мелочам "чиним" до сих пор.
kassidy
"Все возможно" (с) Вопрос только в том почему это осталось незамеченным. Или если заметили-таки и прекратили, то почему нас не известили, как потерпевших...
В общем потому и хочется услышать "официальное" мнение...
FelexS
Чужая душа - потемки. Но, конечно, не хочется верить в плохое...

[Atlanto]

Отвечаю от имени сайта BB3x.ru.

1. Просьба уточнить, почему я узнаю об этом обвинении от людей, которые посещают Ваш сайт и, благо, сообщили мне о публикации этой новости. Контактные данные владельца домена bb3x.ru доступны в сервисе Whois. Отправлялось ли на мой e-mail официальное обвинение от Вашего имени? Сайт bb3x.ru объединяет множество постоянных пользователей, для которых подобное заявление является оскорблением. Я думаю, логично было бы сперва запросить технические подробности инцидента у меня как владельца домена.

2. Официально заявляю, что никем из лиц, имеющих доступ к хостинговому аккаунту сайта, никакие ддос-атаки никогда не предпринимались. Кроме того мы никогда не проявляли каких-либо враждебных действий по отношению к Вашему сайту.

3. Мы готовы ответить на все технические вопросы, которые позволят Вам убедиться в нашей невиновности. Можете сообщить, какие логи для Вас в таком случае будут доказательством. Также прошу Вас предоставить даты и время описанных атак и простоев, мы сравним их с нашими данными и приведём все возможные логи и скриншоты.

Мы располагаем следующими доказательствами:
1) выделение IP (подтверждается датацентром)
2) статистика трафика (подтверждается датацентром)
3) бинарный лог atop'a всех процессов за текущий месяц

4. С Вашей стороны в качестве обвинения пока что предоставлен только один лог, который к тому же явно является неполным. Команда
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
должна в топе показать IP сервера самого владельца атакуемого ресурса, т.к. во время ддоса должна быть масса коннектов от самого сервера. А, как мы видим, в списке даже нет Вашего IP, и даже нет 127.0.0.1. Если выкладываемые Вами логи модифицируются, то, пожалуйста, предупреждайте об этом, а лучше размещайте скриншот.

4. Сайт bb3x.ru размещается не на собственном сервере и пользуется услугами обычного хостинга. Но при этом у него собственный IP. Почему Вы считаете, что мы могли бы производить ддос-атаку с собственного аккаунта хостинга? Почему считаете, что пакеты будут отправляться от IP аккаунта, а не main ip сервера? Или мы специально использовали особый софт, чтобы в качестве IP отправителя был именно наш личный IP? А если этот чудо-бот умеет модифицировать IP отправителя запросов, то зачем нам прописывать в нём себя, а не кого-то другого? Это уже абсурд.

# telnet bb3x.ru 25
Trying 77.221.157.250...
Connected to bb3x.ru (77.221.157.250).
Escape character is '^]'.
220-server17.say.net.ru ESMTP Exim 4.69 #1 Wed, 21 Oct 2009 23:32:38 +0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
^]
telnet> q
Connection closed.
# telnet server17.say.net.ru 25
Trying 77.221.131.162...
Connected to server17.say.net.ru (77.221.131.162).
Escape character is '^]'.
220-server17.say.net.ru ESMTP Exim 4.69 #1 Wed, 21 Oct 2009 23:32:51 +0400
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
^]
telnet> q
Connection closed.
#

Сервер находится в датацентре Инфобокс. Вы можете сделать запрос в датацентр для подтверждения приведённой информации.

Будем ожидать от Вас более конкретной информации.

[Mr. Anderson]

Отправлялось ли на мой e-mail официальное обвинение от Вашего имени?

Обвинение? Мы, вообще-то, не в суде.

множество постоянных пользователей, для которых подобное заявление является оскорблением

Как было сказано в новости - каждый сам решает как расценивать приведенную информацию. Никакие мнения не навязываются, а опубликована эта информация была только потому, что "вроде как обещали" и только для того, чтобы разобраться. Если бы не определенные обстоятельства - новости скорее всего не было бы.

Я думаю, логично было бы сперва запросить технические подробности инцидента у меня как владельца домена.

Не вижу ничего логичного в том, чтобы стучать к (пусть даже только предполагаемому) "зловреду" и спрашивать - это не вы ли, значится, малину нам шухерите?
Да, подобные предложения (типа задать прямой провокационный вопрос) от команды звучали, но я их отверг. Это было мое осознанное решение. Почему? А все просто - в ответ мы бы очевидно услышали "это не мы!". И тут два варианта:
а - это действительно не вы, а ип в нетстате и логах... ну не знаю - подставной. Проблемы, очевидно, не решает.
б - это все же вы... неужели атака бы прекратилась? Сомневаюсь - это было бы моментальное признание своей вины.

Официально заявляю, что никем из лиц, имеющих доступ к хостинговому аккаунту сайта, никакие ддос-атаки никогда не предпринимались

Какие ваши доказательства? (с)
В том смысле, что вы ИСКЛЮЧАЕТЕ, скажем, взлом хостингового аккаунта? Или какого-либо ПО/скрипта, крутящегося на сервере (скажем какой-то зловред положил вам шелл в какую-нибудь папочку)... ну или даже возможность заражения компьютера любого из этих лиц каким-нибудь троянчиком-бэкдорчиком?

Можете сообщить, какие логи для Вас в таком случае будут доказательством

Я бы сказал так - все, что вы сами сочтете нужным показать.
Потому что
а - если я правильно понял ваше сообщение - вы на шареде, а значит кое что будет получить просто невозможно
б - это превосходно покажет вашу честность и открытость _на самом деле_, а не на словах

Также прошу Вас предоставить даты и время описанных атак и простоев, мы сравним их с нашими данными и приведём все возможные логи и скриншоты.

Точного времени появления "вашего" ипа среди атакующих у меня нет, но с 12 по 15 сентября он неиллюзорно и с завидной периодичностью светился и в текущей сетевой активности, и в логах вебсервера и антиддос-фильтров. 15-го же сентября где-то в районе полдвенадцатого-двенадцать ночи (по Москве) после бэк-форвардинга ваш сайт "упал" (сначала 500-ая ошибка, а через 30 секунд уже перестал откликаться). И, как уже упоминалось, больше в атаке не участвовал.
Если совсем открыто - ИП ваш появлялся еще несколько раз с бешеным количеством запросов, но
а - быстро исчезал
б - это был уже не хттп-флуд с пустыми запросами, а как раз наоборот. Складывалось впечатление, что вы нас "качаете" (что, если честно, выглядит "слегка" странно).
Вот такой коленкор. Причем я сейчас понимаю, что дал вам инфы достаточно, чтобы замести следы, если допустить, что это действительно вы.

С Вашей стороны в качестве обвинения пока что предоставлен только один лог

Еще раз и ПОСЛЕДНИЙ. Это НЕ обвинение. Для обвинения логов (всех вообще) недостаточно - они сами по себе показывают мало конкретного.
И поверьте - было бы что-то "более осязаемое" (чтобы можно было говорить об обвинении) - не было бы ни темы, ни текущих "разборок".

который к тому же явно является неполным

Вот только вот этого не надо, ладно? Возможно у вас она выдает то, что вы описали (на впс мастерхоста она вообще выводила невесть что - особенность vzpp)? Но уверяю вас, что стандартный её вывод именно такой, как приведен. Он такой у нас на сервере (если принципиально - покажу скриншот), он такой на моем "домашнем линуксе".
Или вот например - http://deflate.medialayer.com/ Скриптик работает именно с этой командой и по крону банит те ипы, которые "перешли лимит". Как вы думаете, если ваши слова верны, то КОГО этот скрипт забанит первым?

4. Сайт bb3x.ru размещается ... а не кого-то другого? Это уже абсурд.

Вот то-то и оно, что абсурд. Я ваш ип даже не замечал среди других атакующих (и мне было вообще все равно где чей ип), пока не настало просветление (не без помощи партнеров). Как вы думаете - сильно я был удивлен как ОТКРЫТО ип "палится"? Уверяю вас - это было ОЧЕНЬ сильное впечатление.
И ИМЕННО ПОЭТОМУ у меня есть определенные сомнения в непосредственной причастности руководящего состава bb3x к данной фигне. Ну потому что извините, но тупизм полнейший. Мозг отказывается верить...
Поэтому, как я уже спрашивал, исключен ли взлом-итп? И, хотя я не очень представляю сие технически, может это какая-то генеральная подстава вас перед нами?

[Rayden]

Ну если есть прямые доказательства что с их сервера проводилась атака почему бы с этим не обратиться в датацентр или фсб?

Как видишь, в управление К инфа ушла. И даже если на этот раз они не проявили служебного рвения, но все равно сигнал зафиксирован и в будущем может повлиять на многое.
Хотя мне их пассивность непонятна, у меня раньше было несколько знакомых К-шников в сибири, дык они всегда сами просили - дай нам хоть что-то, нам план надо выпонять.


kassidy, FelexS
парни, гадать можно сколько угодно. А заодно порассуждать, причастны ли тут ФСБ, СБУ, НКВД/ОГПУ и лично тов.Берия, евреи из МОССАД, инопланетяне и сектанты с острова Пасхи...

Нами решено было остановиться на таком варианте - описать ситуацию для наших пользователей, как она видится с нашей стороны. Потрясать чемоданами с компроматом мы не планируем, считаем достаточным передачи имеющейся инфы компетентным органам.
Впредь, собираемся реагировать аналогичным образом, обращаясь в правоохранительные структуры.
Надеемся, что такая открытая позиция заставит злоумышленников лишний раз подумать. Ну а если нет - двое уже запалились, если есть желающие еще подставить свою задницу... это их выбор.

[amka]

Это надо быть полным идиотом чтобы со своего ресурса, причем известного, организовывать атаку.
А в открытую обвинять, не пообщавшись с опонентами, не в какие ворота не лезет... Все таки есть управление К для разруливания таких ситуаций. Вот если бы они подтвердили Ваши обвинения или другая независимая сторона, тогда можно было бы в открытую обвинять. А сейчас данная ситуация смахивает на конкурентные войны в свете того что bb3x тоже стал официальным сайтом поддержки, как и Вы.

Никого не хотел обидеть. Просто взгляд на ситуацию простого пользователя обоих ресурсов.

[crash]

amka

Еще раз и ПОСЛЕДНИЙ. Это НЕ обвинение. Для обвинения логов (всех вообще) недостаточно - они сами по себе показывают мало конкретного.

[Grewi64]

Бред! Какая конкуренция?! Ну загнется один сайт, что у другого больше народа будет? Нет конечно, люди и так ходят с одного сайта на другой (выбор-то не шибко какой офигенный). Нет реального мотива, что бы так рисковать своей репутацией.
Я думаю, что тут с горяча много чего наговорили лишнего.... а разобраться надо бы.

[Rayden]

amka
Ты видимо плохо читаешь. Атаки на Гуру идут с сентября. Ну а то, что админ только сейчас выложил заявление, это мы его плохо пинали. Пишет долго.

Нет реального мотива, что бы так рисковать своей репутацией.

Абсолютно с тобой согласен. Я, когда узнал о засвеченном айпишнике, сказал Андерсону примерно такую же фразу:

надо быть полным идиотом чтобы со своего ресурса, причем известного, организовывать атаку

Поэтому мы стараемся осторожно комментировать ситуацию, и ни в коем случае не додумывать, почему такое могло произойти. Мы лишь констатируем известные нам факты.

[Mr. Anderson]

А сейчас данная ситуация смахивает на конкурентные войны в свете того что bb3x тоже стал официальным сайтом поддержки, как и Вы.

Если бы вы немного углубились в историю, то узнали бы, что ни я, ни кто либо другой из команды не против расширения phpBB-ориентированного сообщества за счет любых других ресурсов. А атаки, как верно заметил Rayden, идут с сентября (первая серьезная атака началась 6-го сентября). Хотя если подумать, то и августовские выпадения ресурса тоже можно связать с этими атаками - 22, 24, 26 и 28 августа сайт находился под подобными же атаками (http flood).
Ну и самое главное - кто бы ни был виноват, какие бы "терки" у нас внутри русскоязычных суппортов не происходили - это phpBB Group НЕ КОЛЫШЕТ (самые показательные, хоть и старые истории - это поляки и турки). Они приняли свое решение и точка. Тут хоть "чемоданами с компроматом" (с) обмахайся - ничего не изменится.
В свете всего вышесказанного, связывание этих событий как минимум глупо.
Что до "управления К" - ответ мне был дан доходчивый достаточно:
Объединять все эти ИПы из твоих логов в одно дело - бесперспективно, потому что 99% из них - завирусованные юзерские компы, а разбираться по конкретным Ипам, особенно серверным, еще более накладно, ибо для точного выявления атакующего, его нужно вырубить во время атаки, а под это нужно как минимум судебный запрос или предписание, которое под просто логи врядли дадут. Да и сам подумай - мы тут, сервер в Москве - какой резон нам столичных коллег дергать? Вот если бы твой хостер московский зашевелился...

А Мастерхост не зашевелился. Больше того - занялся откровенным подлогом и саботажем. Но это уже сооовсем другая история.

Ну загнется один сайт, что у другого больше народа будет?

Вообще-то, по всем известному закону сохранения, будет больше.
Что, правда, вопрос мотивации не снимает.

[FladeX]

Какая конкуренция?! Ну загнется один сайт, что у другого больше народа будет?

За время недоступности phpBB Guru вследствие ddos-атаки посещаемость ресурса bb3x.ru выросла более чем в два раза.

[Пузо]

почитал тут новость и обсуждения...
вот это трения, почти как войны...
:D нельзя же так убиваться, лучше объединяйтесь :)