Pull to refresh

Школьный DDoS и стоит ли его бояться

Reading time3 min
Views14K
Современный интернет предлагает четыреста относительно честных способов зарабатывания денег. К сожалению, не все алчные до наживы персонажи ими ограничиваются. К счастью, только некоторые из них обладают достаточной квалификацией, чтобы причинить серьезный вред. Тем не менее их действия для неподготовленных людей могут оказаться достаточно разрушительными. Под катом вы найдете душещипательную историю с угрозами, шантажом, вероломным нападением и традиционным киношным хеппиэндом.

Один из наших клиентов имеет интернет-магазин по продаже компьютерной техники. Утром в пятницу 25-го ноября он получил угрожающее письмо:

Здравствуйте!

Вам необходимо заплатить 200$ (эквивалент в Украинских гривнах — 1600гривен). Вам необходимо подойти к терминалу (найти их можете в любом супер маркете) и выбрать оплату WebMoney. Обращаем Ваше внимание на то, что необходимо не на прямую перечислить средства на кошеелк, а купить ваучеры (вм-карты) на нужную сумму. В терминале выбираете оплату WebMoney и покупаете ваучеры, далее на чеке будут номера и коды ваучеров, которые вы должны прислать в письме. Обращаем ваше внимание, что не все терминалы позволяют купить ваучеры вм, но большинство. Оплату необходимо произвести в течении суток.В противном случае ваш сайт будет атакован мощнейшей DDoS атакой, из-за которой ваш сайт перестанет быть доступен на долгое время, вплоть до нескольких недель и даже более. Атака прекращаться не будет.
— орфография и пунктуация сохранены.

Злоумышленники не утруждали себя отправкой отдельного письма каждой жертве, поэтому в поле получателя были перечислены адреса нескольких, не связанных между собой, интернет-магазинов.

Естественной его реакцией был не совсем вежливый отказ. Посчитав инцидент исчерпанным он его благополучно забыл… До вечера.

Вечером в 17:09 началась DDoS-атака, небольшая, но достаточная, чтобы вызвать перебои в работе сайта. В течение четверти часа ваш покорный слуга был поставлен в известность о том, что что-то происходит.

Беглый взгляд на логи Apache сразу же выявил закономерность в действиях злоумышленников:

X.X.X.X - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"
Y.Y.Y.Y - - [25/Nov/2011:17:19:18 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"
Z.Z.Z.Z - - [25/Nov/2011:17:19:17 +0200] "GET //user-agreement.html HTTP/1.1" 200 32283 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63"

Думаю, люди, знакомые с настройкой веб-сервера уже знают, что будет дальше. Но я возьму на себя смелость продолжить, вдруг кому-нибудь пригодится готовый рецепт.

Сразу бросается в глаза, что несмотря на то, что атака велась с нескольких IP-адресов, атакуемый URL и User-Agent браузера использовался один и тот же. Само-собой напрашивается использовать эти данные для отсева вредителей. Поскольку хочется максимально оградить обычных пользователей от нашего небольшого конфликта, будем использовать только User-Agent, благо, он скопирован у достаточно старой версии оперы.

Дабы потешить самолюбие нападающих, в корне сайта был создан файл-заглушка out-of-order.html с простым содержимым:

<h1>Our site is temporarily unavailable</h1>

А в .htaccess добавлены пять строк:

RewriteEngine On
RewriteBase /

RewriteCond %{HTTP_USER_AGENT} ^Opera/9.80\s\(Windows\sNT\s5\.1\;\sU\;\sru\)\sPresto/2\.6\.30\sVersion/10\.63$
RewriteRule ^(.*)$ out-of-order.html

После чего на все запросы с указанным User-Agent стал отдаваться маленький статический файл. С этого момента атака перестала оказывать сколь-либо существенное влияние на работу сервера.

Но наша борьба еще не окончена! Был выбран один из IP-адресов атакующих и с помощью whois определен его провайдер. Администратор, ответивший на звонок любезно согласился проверить, действительно ли осуществляется атака с этого адреса. Удостоверившись, он позвонил абоненту и поставил его в известность о происходящих безобразиях. Со слов администратора, абонент всячески отрицал свою вину но пообещал изменить пароль к своему Wi-Fi, «который, наверное, злодеи поломали». Спустя пару минут атака прекратилась не только с этого IP, но и со всех остальных, включая другие города. (Мы же все еще помним, что абонент совершенно не при чем!)

В приподнятом настроении мы разослали всем получившим письмо с угрозой рецепт защиты и довольные разошлись по домам.
Tags:
Hubs:
Total votes 225: ↑196 and ↓29+167
Comments121

Articles