Mamy zmasowany atak botów na serwer, są to ilości przeogromne, serwis siada. Były problemy z dostępnością forum, teraz się wyświetla, wyłączone są załączniki, bo to ich pobieranie jest głównym problemem zabijającym procesy.
W nocy zajmę siętym i od rana powinno to już dzialać prawidłowo.
Atak botów
-
admin
- Administrator
- Posty: 1641
- Rejestracja: 04 lutego 2004, 03:41 - śr
- Lokalizacja: Tomaszów Maz.
- Has thanked: 4 times
- Been thanked: 7 times
- Kontakt:
Re: Atak botów
Zdjęcia są tymasoczwo wylaczone ze względu na to, ze jeśli są włączone to forum staje się niedostępne. Boty zaciągają zdjęcia masowo obrazy wykorzystując 100% zasobów.
Sprawa jest poważniejsza niz początkowo myślałem. Forum jest poddane ciągłemu atakowi botów. Wdrożyłem Cloudflare, ale on nie zasłoni ruchu przychodzącego po IP serwera, ktory boty już znają. Prawdopodobnie tylko zmiana IP pomoże, bo boty nie będą znały nowego adresu z powodu Cloudflare, ktory jest parawanem. Ale do tego muszę się przygotować technicznie.
Atak nie wpływa na subdomeny.
Sprawa jest poważniejsza niz początkowo myślałem. Forum jest poddane ciągłemu atakowi botów. Wdrożyłem Cloudflare, ale on nie zasłoni ruchu przychodzącego po IP serwera, ktory boty już znają. Prawdopodobnie tylko zmiana IP pomoże, bo boty nie będą znały nowego adresu z powodu Cloudflare, ktory jest parawanem. Ale do tego muszę się przygotować technicznie.
Atak nie wpływa na subdomeny.
-
admin
- Administrator
- Posty: 1641
- Rejestracja: 04 lutego 2004, 03:41 - śr
- Lokalizacja: Tomaszów Maz.
- Has thanked: 4 times
- Been thanked: 7 times
- Kontakt:
Re: Atak botów
W dalszym ciągu trwa atak, ilość wywołań obrazków na sekundę idą w tysiące. IP znane jest dla botów atakujących wiec Cloudflare przed nimi nie jest żadnym zabezpieczeniem. Wdrożyłem kilka innych, dlatego nie da się powiększać teraz obrazów w Lightbox. Forum powinno być widoczne. Te ataki doprowadzały nie tylko do zaniku entomo.pl ale także sąsiednich witryn na serwerze, zżerając zasoby.
-
admin
- Administrator
- Posty: 1641
- Rejestracja: 04 lutego 2004, 03:41 - śr
- Lokalizacja: Tomaszów Maz.
- Has thanked: 4 times
- Been thanked: 7 times
- Kontakt:
Re: Atak botów
Forum już działa a jak będzie działało przez najbliższe dni to się okaże w ciągu tych kilku dni.
Doinstalowałem kilka zabezpieczeń, skryptów, wtyczka, skrypt czyszczący tabele bazy, zabezpieczając ja przed przepełnieniem z powodu dużej ilości botów.
Doinstalowałem kilka zabezpieczeń, skryptów, wtyczka, skrypt czyszczący tabele bazy, zabezpieczając ja przed przepełnieniem z powodu dużej ilości botów.
-
admin
- Administrator
- Posty: 1641
- Rejestracja: 04 lutego 2004, 03:41 - śr
- Lokalizacja: Tomaszów Maz.
- Has thanked: 4 times
- Been thanked: 7 times
- Kontakt:
Re: Atak botów
Poddałem analizie statystycznej logi z ataku.
Z kilku próbek logów, średni czas to 110 sekund, 500 wywołań:
Średnia unikalnych IP - 375 IP
Średni % unikalnych IP - 75%
Średnie tempo żądań - 4.62 req/s
Średnie tempo nowych IP - 3.51 IP/s
Max tempo (log 28-03) - 5.68 req/s, 5.31 IP/s
Skoordynowany botnet. ~3.5 nowych IP co sekundę to klasyczna distributed attack signature.
Poszperałem i okazuje się że ten atak miał siłe 4-5 żądań na sekundę i był trudny do zatrzymania - 75% unikalnych IP uniemożliwia prostą blokadę per-IP — klasyczny fail2ban jest tu niemal bezużyteczny. Był to celowy, niskopoziomowy atak precyzyjny (Low-and-Slow) — nie ma na celu "zalania" łącza, lecz powolne wyczerpanie zasobów aplikacyjnych (pula połączeń MySQL, pamięć PHP, CPU) przy minimalnej wykrywalności przez standardowe systemy antyDDoS.
Miliony żądań przez kilka dni to poziom, który generują komercyjne botnety lub sieci residential proxy (Bright Data, Oxylabs i podobne) — dostęp do takiej infrastruktury kosztuje pieniądze, ktoś za to zapłacił.
Przez kilka dni Forum nie było dostępne, bo skonczył sie zasoby, ale dopiero support hostigu trafił na ślad, przepełniona tabela sesji.
Ja w tym czasie porobiłem różne zabezpieczenia: reguły htaccess, ustawienia forum, zmiany katalogów, Cloudflare, teraz także pliki php i cron w tle.
W sieci nikt nie jest bezpieczny. Serwery wystawione są na 24h/dobę a "wojsko IT" w połączeniu z AI może dzisiaj zrobić z serwerem praktycznie co zechce. nie mam wątpliwości, że branża hostingowa dostanie po uszach.
Atak mógł być i raczej był przeprowadzony przy użyciu narzędzi AI.
Atak nie został zakończony - Forum jest nadal skanowane:
ostatnich 10 000 wpisów / 4669 s = 2,14 req/s / 4195 unikalnych adresów IP
Kluczowy wniosek: 4195 unikalnych IP to rozmiar klasycznego botnetu residential proxy — nie jest to przypadkowy scraper ani pojedynczy serwer. Taka pula IP kosztuje realnie pieniądze w serwisach typu Bright Data czy Oxylabs, co potwierdza, że ktoś świadomie i celowo zaatakował właśnie entomo.pl/forum/.
Z kilku próbek logów, średni czas to 110 sekund, 500 wywołań:
Średnia unikalnych IP - 375 IP
Średni % unikalnych IP - 75%
Średnie tempo żądań - 4.62 req/s
Średnie tempo nowych IP - 3.51 IP/s
Max tempo (log 28-03) - 5.68 req/s, 5.31 IP/s
Skoordynowany botnet. ~3.5 nowych IP co sekundę to klasyczna distributed attack signature.
Poszperałem i okazuje się że ten atak miał siłe 4-5 żądań na sekundę i był trudny do zatrzymania - 75% unikalnych IP uniemożliwia prostą blokadę per-IP — klasyczny fail2ban jest tu niemal bezużyteczny. Był to celowy, niskopoziomowy atak precyzyjny (Low-and-Slow) — nie ma na celu "zalania" łącza, lecz powolne wyczerpanie zasobów aplikacyjnych (pula połączeń MySQL, pamięć PHP, CPU) przy minimalnej wykrywalności przez standardowe systemy antyDDoS.
Miliony żądań przez kilka dni to poziom, który generują komercyjne botnety lub sieci residential proxy (Bright Data, Oxylabs i podobne) — dostęp do takiej infrastruktury kosztuje pieniądze, ktoś za to zapłacił.
Przez kilka dni Forum nie było dostępne, bo skonczył sie zasoby, ale dopiero support hostigu trafił na ślad, przepełniona tabela sesji.
Ja w tym czasie porobiłem różne zabezpieczenia: reguły htaccess, ustawienia forum, zmiany katalogów, Cloudflare, teraz także pliki php i cron w tle.
W sieci nikt nie jest bezpieczny. Serwery wystawione są na 24h/dobę a "wojsko IT" w połączeniu z AI może dzisiaj zrobić z serwerem praktycznie co zechce. nie mam wątpliwości, że branża hostingowa dostanie po uszach.
Atak mógł być i raczej był przeprowadzony przy użyciu narzędzi AI.
Atak nie został zakończony - Forum jest nadal skanowane:
ostatnich 10 000 wpisów / 4669 s = 2,14 req/s / 4195 unikalnych adresów IP
Kluczowy wniosek: 4195 unikalnych IP to rozmiar klasycznego botnetu residential proxy — nie jest to przypadkowy scraper ani pojedynczy serwer. Taka pula IP kosztuje realnie pieniądze w serwisach typu Bright Data czy Oxylabs, co potwierdza, że ktoś świadomie i celowo zaatakował właśnie entomo.pl/forum/.
