Wolfwood's Crowd blog

Kritika il’ hvala hrvatskog (IT) košmara

,

I kolcem i lancem i bokserom u glavu…

(ne)sigurnost

Load average
Server na kojem se sve moje vrti i nije baš opterećen, uglavnom besposličari i čeka teža vremena. Spamove na blogu sam riješio uz pomoć Spam Karma 2 plugina i rijetko se događa da neki promakne. Idila, rekli bi. Jučer ujutro sam dobio mail da je server bio nedostupan, a kako je poslije njega slijedio mail da je opet dostupan nisam se previše zabrinjavao, pretpostavljam sam da je neki nevažni problem. Tijekom dana opet je došao mail, provjerio sam, server je stvarno bio nedostupan, a najveće opterećenje proživljavao je VPS na kojem se vrti ovaj blog. Spajanje SSH-om na VPS nije uspjelo, ali bilo je moguće spajanje na host (dom0). S njega sam se spojio na konzolu VPS-a i vidio da je Apache sve zaklao. Problem je riješen jednostavnim zaustavljanjem i ponovnim pokretanjem tog servisa.

Tek danas sam uhvatio vremena da pogledam o čemu se radi i vidio da je ovu noć bilo još jedno opterećenje. Uvid u log web servera otkrio sam da se radi o distribuiranom spam komentarskom napadu na ovaj blog. Jedino što je napadačima zajedničko je user agent string, a svi napadi (pokušaji komentara) su dolazili s različitih IP adresa. U 4 napada izredalo se 4361 različitih IP adresa!!! Ti spameri su stvarno bolesni, nisam ni znao da su izmislili i comment spam DOS napad. Za sada postoji lijek za buduće napade jer je user agent svima isti, ali što ako ga budu mijenjali?

Izgleda da je za napad iskorišten Maxthon browser i neki maliciozan plugin ili je u pitanju nešto drugo, ali se zbog nekog razloga identificira kao on. Iako je po predviđanjima nekih vizionara ovo trebala biti godina bez spama, ipak crne prognoze dolaze na svoje, a spameri izmišljaju nove i inventivne načine za obavljanje svojeg prljavog posla. Prije par mjeseci sam naletio na jedan spamerski blog na kojem su se prodavali razni alati za spam biz i raspravljalo o metodama i svemu ostalom. Na žalost nije mi ostao u nijednom bookmarku, a ne sjećam se njegovog imena. Ali ostao mi je u sjećanju njihov mentalitet...ti tipovi skoro da zahtijevaju da se njihovo pravo na spam zaštiti ustavom i bijesni su na svakoga tko im ne dopušta da oni nesmetano obavljaju svoj posao. Valjda bi se trebali ponašati prema onoj biblijskoj: tko te zaspama jednom, a ti sam pruži i drugi obraz...ali mislim da bi učinkovitija bila metoda iz naslova ovog posta.

P.S. Priložena slika je Load average ovog servera iz kojeg se može isčitati prosječno opterećenje i 4 šiljka prilikom napada. Zaštitne mjere se za sada svode na jednu BrowserMatch i jednu Deny direktivu u konfiguracijskoj datoteci. A ako netko posjećuje ove stranice s Maxthon browserom naići će na zatvorena vrata...

Komentari

10. ožujka 2007. 19:13

auuuu! baš si me uplašio. hoće li spam doći glave blogovima, pitam se. Bogami su te žestoko napali, usporedbe radi, vidim kod sebe da je SK2 do sada zaustavio nešto manje 4000 spamova ukupno u zadnjih 6 mjeseci.

11. ožujka 2007. 17:03

Pretpostavljam da sam dospio na neku njihovu listu po kojoj napadaju, ali protumjera je, za sada, uspjela. Spam neće doći glave blogovima, ali će ljudima zagorčati život. SK2 meni uspješno rješava spamove, a iako ih je poprilično (u zadnjih 12 sati oko 100) do ovog DOS napada mi nisu predstavljali neki veliki problem niti su mi oduzimali previše vremena.

11. ožujka 2007. 18:02

na IE6 dobijem 403, pomislio sam da si se otarasio MS-ovtovaca pa sam došao sa FF

11. ožujka 2007. 18:42

Ne bi smio dobiti 403 na IE6, evo ja sam sad provjerio i stranica se normalno otvara.

11. ožujka 2007. 19:43

i dalje isto, jebiga 403

11. ožujka 2007. 19:46

remotao sam se na komp u firmi, također 403

12. ožujka 2007. 08:06

Ja sam provjerio doma na Win98 (MSIE 6.0) i WinXP (MSIE 7.0), a sada i na poslu. Normalno vidim stranicu bez ikakve greške. Možeš li mi poslati na mail (s t j e p a n @ g m a i l . c o m) user agent string tih tvojih browsera?

19. veljače 2009. 19:13

Ja koristim Joomlu koja ima hrpu dodataka za sve svrhe. Unatoč velikoj zastupljenosti ovog CMS-a uvijek postoji način da mi se dostavi svježa doza spam komentara. Zbog toga sam zabranio neregistriranim korisnicima da komentiraju članke, ali sam nedavno uz pomoć jednog dodatka opet vratio tu mogućnosti. I ne mogu nikako dokučiti taj spamerski način razmišljanja.