0,0
рейтинг
18 января 2011 в 17:19

Разработка → rospil.info и ruleaks.net подверглись DOS-атаке

Сайт rospil.info «лежит».
Update: ruleaks.net тоже «лежит» со страницей «500+»
Update: Люди, ассоциированные с проектами, подтверждают, что это DDOS-атаки.

Напомню, что сегодня у Навального увели почту на GMail. По запросу в техподдержку он её себе вернул.

Буду дополнять топик по мере поступления информации.


UPD 17:36: Судя по поиску по блогам и форумам, сайт лежит где-то с 13:20.
UPD 17:40: Кто-то из спецов в области DNS и хостинга может исследовать вопрос? Поменялся DNS? Упал весь хостинг или только этот хост? Идёт атака?
UPD 18:24: Разные юзеры рапортуют о том, что сайт «лежит». За час ничего не изменилось, поэтому открываю пост. Whois указывает на хост в США. Это так и было? Кто знает нормальный (бесплатный) whois history?
UPD 19:28: Оказывается, исходный код rospil.info открыт (может это всем известно, но я не знал). Разработчик сайта Pavel Senko пишет в своём твиттере: Работаю с хостинговой компанией над проблемой. Возможно, это DDOS. (из коммента unreal)
UPD 19:38: По просьбам сочувствующих убрал прямую ссылку на сайт из поста, чтобы не создавать дополнительного хабраэффекта. Хотя раньше сайт выдерживал ссылки из блога Навального и СМИ.
UPD 19:44: @senko: MT расследует причины проблемы с хостингом. Пока неясно что проиходит. #rospil — хеш-тег с последними сообщениями на эту тему в Твиттере.
UPD 19:56: ruleaks.net тоже «лежит» со страницей «500+» (из комментария @IamIvan)
UPD 20:02: Беглое расследование по ruleaks показало, что 4 часа назад они выложили компромат на тему «дворца Путина» (копия в ЖЖ). Возможно, просто не справились с хабраэффектом.
UPD 21:49: ChooJoy от имени руликс подтверждает DOS-атаку.
UPD 21:49: Из Твиттера @senko:
20:17 сервисы лежат, SSH доступа нет, рестарт сервера не помогает, дело направили в техподдержку.
20:44 kpmemsize и tcpsndbuf в «черной зоне». Это я и так знал. Техподдержка посоветовала проапгрейдить сервис. Сделал. Жду.
21:19 196 запросов в секунду к базе. Как-то многовато на мой взгляд. 300К в час запросов типа set option. Что делать?
Помогайте, хабраюзеры. Рекомендации отправляйте @senko.
UPD 23:05: rospil.info и ruleaks.net работают, полёт нормальный. Тема закрыта. Ждём комментариев участников проектов.

UPD 20.01 19:55: На rospil.info висит заглушка с надписью «обновляемся».
Лапшин Анатолий @rubyrabbit
карма
120,8
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (166)

  • +21
    Роспотребнадзор мстит за вчерашний х-эффект.
    • +16
      Росхабрнадзор внимательно следит за спецэффектами ))
  • 0
  • +3
    Имхо, после публикации на хабре он будет добит хабраэффектом :)
    • +1
      Насколько я понимаю, он уже выдерживал хабраэффект достойно :-)
    • +2
      И да, пока публикация под замком, так что хабраэффект минимален.
      Когда наберётся достаточно информации или когда попросят — выложу в общий доступ.
      • 0
        Убрал прямую ссылку, чтобы не вносить лепту хабраэффекта из открытого поста.
        • 0
          Кстати, похоже что досить нас стали в одно и то же время.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +4
      Ну когда задача стоит серьезно, то возможно всё.
      Начиная от снифинга на уровне провайдера и заканчивая специальными методами
      • +3
        Я конечно понимаю, что Навальный враг государства номер один. Но это уже теория заговора, контент в ssl трафике перехватить непросто, мягко говоря (точнее расшифровать, перехватить весь трафик на уровне провайдера конечно можно).

        Проще вариант с кейлогером, но это значит либо он подхватил троян (а надо быть аккуратнее, раз стал публичной фигурой), либо, что еще менее вероятно — это логер хардварный.
        • +2
          Однажды с удовольствием наблюдал работу «социнженера», который в короткие сроки получал доступы к Gmail & Yahoo!..
          Ещё вариант: если вдруг за Навального взялась госконтора, то почему бы на уровне провайдера не подменить DNS GMail на фальшивку? Такое очень сложно просечь и суровый пароль не спасёт.
          • +3
            а ключи SSL?
            • +2
              Да хотя бы так: habrahabr.ru/blogs/infosecurity/111714/
              Вряд ли Навальный перед каждой аутентификацией смотрит на наличие SSL
              • 0
                Сложно не увидеть, если отсутствует корректный сертификат, то в фоксе он будет красный, в хроме зачеркнутый. Входить же в гмэйл надо именно через https, а не http, чтобы не забывать — просто добавить правильный урл в закладки.

                Но мне кажется наиболее вероятный вариант — это троян с кейлогером. И на самом деле всё может быть банально, ящик под спам-рассылку брался, автоматом ;)

                ЗЫЖ не говоря о том, что если бы это была работа спец.служб, то они все сделали бы за 5 минут (слили ящик), не меняли пароль, и никогда бы Навальный об этом не узнал. Смысл менять пароль? Просто я не верю в заговоры. Хотя, конечно, это не означает, что их не может быть. :)
                • 0
                  Про методы работы спецслужб просветите, пожалуйста. Или предположите хотя бы, как «слить ящик» Гмейла.
                  • 0
                    Ну если вы читали всю ветку комментов, то заметили, что народ предполагает, что это спецслужбы получили пароли. Имея логин/пароль не составит никакого труда слить весь ящик, думаю это очевидно :) И смысла менять пароль никакого нет.
                    • +1
                      Скорее интересует этот посыл:
                      … если бы это была работа спец.служб, то они все сделали бы за 5 минут (слили ящик)… и никогда бы Навальный об этом не узнал.

                      1. У Гмейла иная ширина канала до спецслужб в сравнении с простыми смертными? Или «за 5 минут слить ящик» — это совсем не о получении копий всех писем?

                      2. IP-адреса спецслужб в списке «Last account activity» как-то по иному отображаются в сравнении с простыми смертными?
                      • 0
                        «Last account activity» от Навального мы не получили пока.

                        Лично я сомневаюсь в причастности спецслужб.
                        Скорее всего его просто по-блатному заказали на чёрном хакерском рынке: типа «а ну-ка, братки, отнимите у него почту и положите сайт. сколько это будет стоить?»
                • 0
                  Прочитайте статью по ссылке: никаких предупреждений пользователь не получит, потому что браузер не будет использовать SSL, даже если запрос был на https://, злоумышленник отправит этот запрос через SSL серверу Google, а ответ пошлёт уже без SSL клиенту.
              • 0
                А еще интересней — так: habrahabr.ru/blogs/infosecurity/88923/
        • +6
          > надо быть аккуратнее, раз стал публичной фигурой

          Вот в этом с вами согласен.
          Тем случай и интересен.
          Нужно открывать «курсы молодого кибербойца» по защите информации для публичных фигур и коспирологов :-)
          • 0
            тем более если по взлому почту у кир-коровы дело завели, то тут тем более нужно напрягать «структуры»
        • 0
          Если есть задача. всегда можно как следует поискать ее решение. Это касается как проводной передачи сигнала, так и беспроводной. Не уверен, что все и всегда используют VPN или другие решения, повышающие безопасность.
        • –2
          ну и не так уж сложно, было бы желание

          _http://habrahabr.ru/blogs/infosecurity/111759/
          • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          По моему можно все решить проще, если ты — Онищенко или кто то из их «тусовки». ru.wikipedia.org/wiki/СОРМ
          • 0
            Ну Навальный вроде в штатах живет
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Не совсем живет, точнее — проходит обучение: «Сейчас Навальный учится в Йельском университете в рамках международной программы по развитию лидерства.»
              • +2
                Навальный уже вернулся в Россию. Пруф.
      • 0
        там https же.
    • +1
      Я думаю Иранцы на своих атомных производствах stuxnet тоже не из аттача письма с темой «I love you» запустили, а там уже речь не о «продвинутых пользователях»
      • +1
        С флешек, подкинутых сотрудникам. Эти компьютеры были отключены от интернета, и поэтому не имели последних обновлений.
    • –2
      Основное средство — трояны, заселяемые через дыры в браузерах.
      Почти на каждом компе есть несколько троянов/бекдоров, которые просто спят до поры до времени. Нужно только суметь идентифицировать искомый комп в ботнете.
      • +1
        что, и в моем? )
        • 0
          не факт, может вы попали в группу _ПОЧТИ_
          • 0
            :)
          • –1
            :-)
        • 0
          А, вот что зацепило минусующих ))
          Думаю, что в большинстве компьютеров неспециалистов.
          Дыры открываются быстрее, чем латаются — это логично.
          • –1
            Неспециалист неспециалисту рознь. :) Если человек не шарится по интернету в поисках вареза и порно — шансы заполучить заразу ничтожно малы.

            Да и проблема дыр в браузерах слегка преувеличена, мягко говоря. Много ли известно работающих уязвимостей, которые были доступны на протяжении длительного периода времени?
            • 0
              Когда уязвимость становится известной, она перестаёт быть уязвимостью и становится просто дырой, которую скоро заделают. Патчи регулярно выпускаются. Смею предположить, что есть чёрный рынок, где дырами торгуют до их публикации.
              • 0
                Но после того, как уязвимость становится известной — можно достаточно точно оценить, сколько времени она эксплуатировалась. Именно об этом я спрашивал — много ли было уязвимостей, которые использовались долгое время до того, как были обнаружены?
                • +2
                  Были однозначно. И сейчас наверняка есть по цене от 10-100к.
  • +1
    Со скрипом, но rospil.info грузится.
  • +2
    twitter.com/#!/senko/status/27394348916150272
  • 0
    нс сервера для сайта указаны такие:
    ;; AUTHORITY SECTION:
    rospil.info. 86400 IN NS ns1.mediatemple.net.
    rospil.info. 86400 IN NS ns2.mediatemple.net.

    пинг до сервера нормальный
    ping 72.47.237.37
    PING 72.47.237.37 (72.47.237.37) 56(84) bytes of data.
    64 bytes from 72.47.237.37: icmp_req=1 ttl=37 time=216 ms
    64 bytes from 72.47.237.37: icmp_req=2 ttl=37 time=211 ms

    Может просто админ что-то нахимичил и апач не запустился, то есть никакой хакерской выходки и нет? Надо посмотреть какие нс-ы были раньше. Хостится у mediatemple.net
    • 0
      как я уже писал выше, у меня сайт пусть со скрипом, пусть через раз, но открывается, так что о подмене DNS или взломе речи нет. просто либо канал забит, либо сервер не справляется с нагрузкой. думаю, если бы был полноценный DDOS, сайт бы вряд ли открылся вообще, так что может просто какого-то рода хаброэффект?
      • –1
        Ддосы всякие бывают, не надо так категорично. Тот же SynFlood вполне вписывается в эти рамки.
        Было бы интересно посмотреть логи сервера. А так, без доступа на сервер — это гадание, а я, вот незадача, свой магический хрустальный шар уже разбил.
      • 0
        Я просто написал так как в статье была просьба сказать про днс, вот я и написал что все выглядит нормально
  • +1
    Уже не раз Навальный обращается к айтишникам с подобным обращением… раз в интернеты лезет, неужели не может собрать себе единомышленников, которые и стоимость iphone-приложения ему оценят, и цену/сложность сайта и DNS-ы изучат? Странно это всё
    • +2
      Согласен.

      Думаю, человек просто не слишком технически рубит в теме. Вопрос скорее к его доверенным лицам и помощникам. Если уж им нужна квалифицированная помощь, пусть в явном виде без лишней скромности обращаются к IT-сообществу.
  • –11
    Может дешевый PR?

    Чиновники не боятся прямых обвинений по ящику и воруют по прежнему, а тут какой-то сайт, о котором только Хабр-юзеры и знают.

    Сайт то берёт информацию из открытых источников.
    • +2
      Пиар методом заваливания собственного сайта или о чём вы?
      Уж кто-кто, а Навальный в рекламе в интернете не нуждается.
      • –9
        Услышал о нем впервые из этого топика.
        • НЛО прилетело и опубликовало эту надпись здесь
          • –3
            Уважаемый мистер Ганн, на бескрайних просторах интернета и так полно сброда, так что одним больше, одним меньше — меня это не волнует.
            А доказывает мой пост лишь одно: армия — информационный вакуум. Уважаемые хомячки, будьте нежнее, не надо так агрессивно защищать своего кумира.
  • +2
    Айда делать зеркало в i2p на отдельном сервере. И просто, и достаточно быстро, и хрен вычислишь, и хрен что сделаешь.
    • 0
      И чтобы на него зайти нужно ставить дополнительный софт
      • 0
        Существуют так называемые inproxy — прокси между интернетом и i2p. Вот, например, один из них — имя_сайта_в_i2p.i2p.to. Например, rus.i2p.to/
        • +3
          Он правда криво редиректы понимает, вот так заходить — rus.i2p.to/wiki/Заглавная_страница
        • 0
          Спасибо, не знал
        • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      eepsite'ы — не децентрализованные. Лучше Freenet или Osiris SPS. Последний, кстати, прост в установке и успешно пользуется Анонимусами. Ирка их лежит 90% времени, Osiris — ни разу не падал.
  • +1
    А вы решили добить публикацией ссылки на главной хабра? :)
    • 0
      Ещё раз: сайт rospil.info уже выдерживал наплывы людей. Не стоит преувеличивать мощь Хабра. Анонс в ЖЖ самого Навального и публикации в СМИ давали не меньшую нагрузку. Тут больше похоже на целенаправленную атаку. А аудитория Хабра и сама может решить, на что кликнуть.
    • +1
      Убрал ссылку, чтобы не было сомнений )
  • +1
    ruleaks тоже не доступен
    • 0
      зато compromat ru пока доступен.
      • +3
        делаем выводы ))
    • 0
      А что конкретно с releaks'ом? Похоже на просто заглушку вместо главной.

      Например, если открывать картинки напрямую, то они нормально открываются:
      ruleaks.net/wp-content/uploads/2011/01/0011pp1.jpg
      ruleaks.net/wp-content/uploads/2011/01/00127f1.jpg
      • +3
        Картинки nginx отдает. Ему пофиг на коннекты. Апач висит из-за доса.
  • 0
    > Оказывается, исходный код rospil.info открыт

    Интересно, что они писали админам сорсфоржа в заявке на создание проекта.
  • 0
    Судя по наличию пинга — сервер вполне доступен и канал вполне свободен. может какой-нибудь банальный синфлуд. раз уж пинг не закрыли, возможно и оптимизацию против ddos (или просто dos) не проводили. www.trendscape.com/site/rospil.info тут можно увидеть, что на сервере крутится апач, который имхо без фронтенда не очень хорошо держит dos, а тем более ddos.
    А хабраэффект — не сильно жосткая вещь, при нормальном движке и железе.
  • –79
    > rospil.info

    Кому есть дело до чужих денек, кроме мудаков
    • +18
      до чужих?
    • +13
      Т.е. вы налоги не платите?
      • +5
        Тут как бы из фразы уже всё понятно :).
    • +8
      Вам еще повезло, что к концу дня у людей патроны в минусомете закончились…
      • НЛО прилетело и опубликовало эту надпись здесь
      • +6
        Не бойтесь, многие помнят до полуночи, что кое-где можно и отметиться ;)
        • –1
          В интернете кто-то не прав!!!
          • +1
            На меня девушка обиделась, что по приезде домой с работы я кинулся обновлять топик )
    • +17
      Владимир Владимирович, перелогиньтесь пожалуйста
      • 0
        не, это не он
        ВВ интернетами не владеет

        это или ДАМ или кто рангом пожиже, Нанотолий например
  • +2
    pirate-party PPRu_CA % netstat -ntap|grep \:80|wc -l 21512
    Вот что у нас на Ruleaks.net
    Хабрэффект не причем, получается. выдерживали и больше чем сейчас
    • +2
      Что значит это заклинание?
      Кем вы являетесь по отношению к сайту? )
      • 0
        его редактором.
      • 0
        Ruleaks.net в смысле.
      • 0
        А значит, что весит 21.5 тысяча коннектов ежесекундно, что достаточно много.
        • 0
          Спасибо за разъяснения )
          • 0
            Прошу прощения за такое количество сообщений.
            Сейчас подняли на статике, дос не ослабляют.
            Что-то кажется, что на нас с навальным тренируются.
            • 0
              На Хабре не было топика про ваш сайт?
              Где хоститесь? Как защищаетесь (ли)? Нужна ли помощь?
              • +5
                Хостимся в лондоне. Сидим за nginx. Помощь нужна видимо только с ДНСами дополнительными, чтобы сделать как у WikiLeaks.
                Помощь нужна сетевухе похоже, от нее сообщения приходят, что не успевает все коннекты обрабатывать :)
                Если что посидим на статичных страницах, удавятся своим досом :)
                • 0
                  Напишите пожалуйста отчёт потом по итогам со своими выводами. Для последователей )
                  • +2
                    Для отчета наверное довольно мало инфы
                    Было от 1000 до 25 500 ежемоментных висящих подключений
                    Апач на подобном дохнет.
                    Мы готовы обрабатывать примерно до 1000 подключений на стандартном железе.
                    До сих пор болтаются подключения больше чем возможно обработать, но похоже что скоро отпустит. Как все закончится — все заработает.
                    IP откуда досили довольно забавны, как пример:
                    netname: FIAN
                    descr: Lebedev Physical Institute
                    descr: Russian Academy of Sciences
                    descr: Moscow

                    Если как итог: думаю, что мы, что Алексей попали под одну и ту же тренеровку какой-то бригады.
                    Это не анонимусы точно, т.к. там и участвуют и часто являются главными активистами наши комрады. Я также не буду утверждать, что это контора. Но что довольно интересно, то по мнению наших админов — это не ботнет.

                    В итоге, может быть заморочимся перед следующей публикацией сделать ротацию ДНСов, как это сделано у викиликса. Можем вырубить кластер, но только в России. В России не интересно. За бугром пока варианты без денег туманныю
                    Перед каждой следующей публикацией будем иметь статичную страницу с инфой, ибо nginx'у плевать на статику, вешается апач от обработки чего-либо, (именно поэтому фотки доступны, а сам сайт нет), а 25к+ коннектов обработать по статике не проблема.
                    На трафик более или менее насрать — каждый день могут так досить, и то весь траф не выжрем.

                    Как-то так. Админу РосПила щас напишу, что может к нам обращаться, если надо.
                    Ну и любая помощь приветствуется, как советом, так и технологическим пространством.
                    • 0
                      Спасибо за такой отчёт. Он уже ценен.

                      > Ну и любая помощь приветствуется, как советом, так и технологическим пространством.

                      Возможно, хабрасообществу будет интересно, чтобы вы создали отдельный пост с более подробной информацией (полным списком атаковавших IP) и запросом на консультацию.

                      Если IP действительно принадлежат госструктурам, то это повод для внутреннего расследования сначала их силами, а если не поможет, то общественными.
                • +1
                  Сделайте куки-редирект через javascript на статической страничке. Поможет от более менее тупых ботов.
                • 0
                  я в почту написал, прочитайте письмецо.
                  сетевухе можно помочь через sysctl, в принципе готов помочь чем могу.
              • 0
                Топик о сайте был, об атаке нет.
  • 0
    Какая хорошая реклама для Навального!
  • +3
    дворец путина понравился, я бы пожил там =)
    • +14
      А по-моему так бездна безвкусицы… )
      • +1
        Безвкусица — когда делают аналогичные интерьеры в квартире 50-метровой. А в рамках данного строения вполне все уместно, мне кажется.
    • +1
      синяя спецовка с дыркой на интимном месте приравнивается к пропуску на объект! =)
      • 0
        это штаны задом наперед одели )
    • 0
      А я чет не впечатлился — мелковато, нет масштаба, если сравнить например с известной «дачей газпрома» на берегу истры, там чувствуется размах)
  • +1
    сайт работает, правда открывается не всегда с 1 раза.
  • –8
    Дико извиняюсь, но кто такой Навальный?
    • +7
      Вас в гугле забанили или читать комментарии не умеем?
    • +1
      гугл в помощь — navalny.livejournal.com/
      если в кратце, этот человек публикует документы и факты вопиющей коррупции, в которой погрузилась Россия. еще он ведет крестовый поход против «подставных» тендеров на rospil.info
  • +1
    Кстати, а может кто-нибудь мне (глупому, да), разъяснить/разжевать смысл DOS/DDOS-атак? Ну полежит сайт денек-другой, но потом поднимется, вечно-то атаковать нельзя…
    • 0
      DDOS неприятен не только сайту, но и хостеру. Возможен вариант, что в будущем владельцу сайта в хостинге будет отказано. Плюс, это почти всегда шумиха в интернете, так что возможно и другие хостеры не захотят связываться с «опасным» клиентом.

      Да и трафик «безлимитен» и бесплатен наверняка лишь до определенных пределов.
      • 0
        Однако же все равно, невозможно постоянно атаковать. Клиент конечно «опасный», но атака идет все равно на один сервер, а не на все хостеровские, а если хостер серьезный, то умеют с такими случаями работать не на уровне «отказ в обслуживании из-за ДДОС» (=. По крайней мере хочется надеяться…
        • 0
          Постоянно и не нужно. Уже возможность повторения атаки — это плохой сигнал для хостера.

          Как-то на хабре была статья про 100 Гбит/с DDoS. Сейчас ее автор перенес в черновики, но в гугле кое-какую информацию по этому событию найти можно. Вот, например, топик на форуме rsdn: www.rsdn.ru/forum/life/3991195.flat.aspx
          • 0
            Кстати сервис нам так до сих пор и не активировали. Это если говорить про то, насколько это влияет на «хостера». Это повлияло в нашем случае и на датацентр и на его канальных операторов.
    • +4
      Смотря что атаковать: бизнес-сайты тупо теряют деньги при этом, ну и престиж.
      А сайты типа роспила и руликс — чтобы их согнали с хостингов, чтобы потенциальные контрибьюторы потеряли к ним доверие, чтобы скомпрометировать техническую команду проекта.
      • +2
        Это как с Немцовым и ко? Посадить на 15 суток, чтобы их в итоге поднять в глазах еще большего кол-ва людей? (=
        По мне так атака РосПила — знаковое явление, которое лишь поднимает его значимость в моих глазах. Раз хотят его убрать, значит видят в нем опасность для себя (=.
        • +4
          Вопрос — кто. Не думаю, что это глобальный заговор, санкционированный Кремлём. Скорее всего сыночек одного из обличённых чиновников похвастался папочке, что за их-то бабки они могут любой сайт положить, вот и заказал атаку через ботнет.
  • 0
    compromat.ru не открывается тоже
    • 0
      у меня открывается
  • 0
    Вроде отпустило.
  • 0
    Если пароль от ящика перехватили, то не понятно зачем нужно было его изменять? можно было понадеятся что навальный не следит за последними посещениями на свой ящик, и спокойно обновлять свою копию писем.
    Если не перехватывали, то его ресетили штатными средствами гугла. В этом случае логичнее было бы его ресетить ночью, что бы было больше времени выкачать всю почту. Двух часов может запросто не хватить если ящик занимает несколько гигабайт (по своему опыту), что очень вероятно имеет место быть.
    В любом случае большая веротяность что навальный может быстро сдуться, если в его ящике было что то компромитирующее.
    • 0
      Да, ваша логика имеет смысл.

      Может быть некоторое время просто наблюдали и воровали почту. А теперь решили нагадить напоследок.
      • 0
        если наблюдали, то нужно прикупить акций производителей кукурузы.
  • +3
    Я вот не понимаю тех, кто пытается Ddos атакой завалить эти ресурсы. Вот чего они добились? Я раньше хоть и слышал, но все равно не ходил на эти сайты, а теперь жить спокойно не смогу, если хотя бы раз в неделю не зайду хоть одним глазком глянуть, как там пилят народное бабло…
    • +2
      Думаю, это эмоции распильщиков. Типа решили разобраться по-пацански.
    • +1
      Если долго ддосить ресурс, хостер может отказать в хостинге данному сайту. Плюс это накладно и для владельцев ресурса. Тут смысл не закрыть доступ к информации, а пнуть.
      • 0
        Тем более, что иные способы влияния затруднены — хостер и регистратор не из России.
  • 0
    >> 196 запросов в секунду к базе

    Это типа много? Что за СУБД?
    • 0
      На сайте ruleaks.net используется WordPress соотвественно там СУБД MySQL
      • +3
        Ну тут я ничем не помогу :)
  • 0
    Что за веб-сервер юзается?
    Есть возможность всунуть на фронтенд nginx, на бекенд — апач, а между ними — varnish?
    • 0
      В комментах говорили — фронт уже nginx.
    • 0
      Похоже на руликсе так и есть, нгинкс и апач. Скорее всего просто виртуальный сервак с ограниченными ресурсами, поэтому узким местом становится СУБД (для вордпресса это актуально).
      • 0
        Пусть вынесут СУБД на отдельный сервак. Хотя бы временно.
        • 0
          Или, что проще, сделать кеширование _всех_ SELECT запросов. Пусть они временеами будут неактуальны на 5-10 минут, зато база отдыхать будет. Конечно, если есть возможность искользовать memcache \ xcache и т. п. Хотя и файловый кеш в таких случаях немного, да поможет
  • 0
    не техническая это проблема, в смысле почту увели или сайт сломали. нет тут темы для исследования для инженеров. это исключительно проблема безопасности государства и специалисты должны быть соответствующие.
  • 0
    196 запросов в секунду это не много. Тут весь вопрос- какие запросы?
  • 0
    Так что в итоге произошло и как решили проблему с DDOS? Атаку прекратили или удалось ее отбить?
  • +3
    Спасибо всем за помощь.
    Я добавил фильтрацию обращений к MySQL и SSH и проапгрейдил хост до VPN Extreme (MediaTemple). Сейчас РосПил доступен.
    Возможно, буду менять хостинг, мне не очень понравилось как МТ отработало в этой ситуации.

    Скорее всего, буду ставить nginx и делать что-то с базой и кэшированием. Помощь экспертов будет очень кстати. Зарегистрироваться как эксперт можно тут: rospil.info/regexpert или можно написать мне личное сообщение.

    Еще раз спасибо!
    Ваши советы очень помогли, особенно с файрволом (MT туда вообще не смотрели, а я бы не догадался, — я ведь не админ).

    — Павел.
    • +3
      Павел, роспил очень тяжок на подъем еще. Будем надеяться, завтра все образумится.
      Ставить nginx надо обязательно.

      По всем вопросам, если будет нужно — обращайтесь.

      Редакция RuLeaks.net
  • 0
    ха, жить стало хорошо! жить стало веселей! Путин(у)
    :))
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      По вашему 20к+ коннектов ежемоментно это не серьезный ддос?
      Я благодарен пиратс ким админам за такую конфигурацию сервера.
      html и картинки мы можем еще долго отдавать.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          196 запросов с секунду, это rospil.info.
          Сайт успешно пережил эффект СМИ (более 50 тысяч посетителей в сутки и 5К+ посетителей в час) в конце декабря, но оказался не подготовлен к ДДОС. Сегодня сайт посетили порядка 12К посетителей, в то время как входящий трафик в 4 раза больше, чем тогда.
          Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час, хотя в коде таких запросов нет. В данный момент поток посетителей не превосходит 1К в час, при том, что на отображение одной страницы тратится не более 5-6 запросов к базе.
          В MediaTemple меня заверили, что защита от ДДОС-атак входит в стандартный план VPN хостинга, что оказалось не совсем так. Более того, по телефону мне сказали, что они не занимаются технической поддержкой против ДДОС-атак, но, так и быть, сделают мне услугу.

          Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.

          Спасибо.
          • –2
            > Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час
            > В MediaTemple меня заверили

            Откуда информация? Как именно вы связаны с проектом?

            > хотя в коде таких запросов нет

            То есть база открыта для запросов не с локалхоста или в неё стучится чужеродный скрипт на том же сервере или удалось произвести инъекцию в код сайта?
            Откуда берётся этот запрос?

            > Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.

            Создайте пост-запрос.
            • 0
              > Откуда информация? Как именно вы связаны с проектом?

              twitter.com/#!/senko

              Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.
              • –1
                Проблема подтверждения связи между аккаунтами в сети актуальна ))
                У меня, например, для этого есть некие «центры Силы», где собраны ссылки на все мои аккаунты и всё можно легко проверить )

                > Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.

                Зачем же столько трагизма? ))
                Я не специалист в датацентрах.

                Ниже хорошо всё написали.
                Если нужны ещё админские руки или советы, опять же, не стесняйтесь обращаться к сообществу за помощью.
          • 0
            да ну, MT отличный хостер.
  • 0
    Пожалуй внесу свои пять копеек решения подобной задачи, благо некоторый опыт в этом имеется.

    1. 20:44 kpmemsize и tcpsndbuf в «черной зоне». Это я и так знал. Техподдержка посоветовала проапгрейдить сервис. Сделал. Жду.
    Ошибку поправьте — правильно kmemsize

    2.0 Смотрите /proc/user_beancounters счетчики failcnt, там где больше нуля, означает, что надо повысить значения.
    2.1 Погуглите значения.

    3. Используйте frontend — nginx и множество backend серверов разделённых на разные каналы физических серверов, для разгрузки общего траффика поступающего на данный домен.

    4. Главную страницу сделайте в html, с минимальным размером. При такой атаке, любая динамическая страничка сгенерённая интерпретатором, который использует базу данных типа postgres либо mysql, положит сервер надолго.

    5. Дропать фаерволом все адреса в нетстате, которые SYN_RECV — бесполезно, они в большинстве своём фейковые.

    6. Добавьте больше оперативки на сервер где база данных.

    7. Если канал не выдерживает весь поток траффика, стоит добавить к домену, ещё IP адреса, которые имеют собственные каналы связи.

    На время атаки, необходимо всё это предпринять, когда атака остановится, можно урезать ресурсы, чтобы не платить за всю ферму бешеных денег.


    Интересно, а как поведёт себя облачный хостинг при таком раскладе?
    • –1
      Думаю, что что-то такое они сами тоже думали, но не обладают необходимыми ресурсами и/или квалификацией.

      По сути, надо постоянно держать наготове анти-DOS-ферму, которая большую часть времени не нужна. В этом смысле действительно имеет смысл обратиться к облачному хостингу, например подготовить инстансы на AWS, но не поднимать их без надобности, а при атаке разрулить трафик средствами DNS, направив основной поток на свежеподнятные инстансы. Но всё это по-любому «влетит в цент».
  • +3
    > Сайт успешно пережил эффект СМИ (более 50 тысяч посетителей в сутки и 5К+ посетителей в час) в конце декабря
    эээ. 50 тыс. это по вашему много?
    Запускать подобный проект на VPS, это глупо… Взяли бы в аренду хотя бы железку на Атоме. Стоимость подобной, примерно 80-100 баксов (в России, в США должно быть дешевле).
    У нас на подобной держится сайт лотереи, в день розыгрыша, у нас примерно 80+ пользователей, и 500+ просмотров динамических страниц. И дело не в том что мы больше не выдержим, все упирается в канал 10мбит

    > Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час
    В phpMyAdmin смотрите??? Set option обычно используется для установки кодировки. И скорее всего он у вас есть, при установки соединения, и указания кодировки UTF-8 (что-то типа функции mysql_set_charset)

    > сервисы лежат, SSH доступа нет, рестарт сервера не помогает, дело направили в техподдержку.
    К серверу также иногда нельзя подсоединится, когда, канал забит на полную. И скорее вчера был именно этот случай, так как сам лично видел, в бульварной газетке «Метро», была статья про русский вики-ликс

    Решить проблему можно: заменить VPS на нормальную железку, увеличить канал (думаю вам хватит и 10Мб, для 100+ и 1000000+ просмотров), добавить оперативки (4Гб+), увеличить производительность ЖД, обновить весь софт на серваке, закрыть все порты, кроме 80 (во вне)
    Смотрите узкое место, если это бд, переводите на что-то без бд, и то что генерит статику в итоге.

    >По вашему 20к+ коннектов ежемоментно это не серьезный ддос?
    Скорее всего это скопившиеся очередь… Поставьте лимит на соединение, не держать более 5-10 секунд, дропить мертвых…
    Отслеживайте более активные IP, и баньте их прямо в firewall
    Как я понял, если это даже ДоСС то он не распределенный…

    >> 196 запросов в секунду к базе
    Смотрите какие они, на сколько они активно гузят БД. Ставьте query_cache на уровне mysql
    Ведите лог slow_query… проверяйте индексы
    • 0
      О, хорошие советы.

      Согласен насчёт хотя бы маленькой, но своей железкой.
      А в остальном добавление железа мне кажется сомнительной необходимости — тут же не биллинг какой-нибудь. Ну ДОСят, но повесить тогда статику и ждать, пока прекратится. А на хабраэффект нормальной оптимизации хватит.
      • +1
        Я просто не верю что нет лишних 100 баксов на атоме, в том же Инфобоксе: Atom (1.66 (2 ядра)), 2ЖД, 2Гб — 3 тыс. рублей.
        Из двух ЖД можно сделать софтварный рэйд (gmirror)
        4Гб, чтобы вынести в Memcache (можно и без), у меня лично на серваке из 8Гб, занято всего 1Гб. Пару раз до 2х вырастало…
        • 0
          Ещё раз: я согласен, что для популярных проектов лучше как минимум иметь атом, а лучше более полноценный сервер, но вот необходимость расширять канал или прокачиваться ресурсами ради сопротивлению DOS'у для проекта, от простоя которого не зависит выживание людей или крупной компании, это расточительство.
  • 0
    А где наши те которые бы как с вики начали создавать зеркала тысячами
  • +1
    rospil.info/ — все еще мертвый
    ruleaks.net/ — очень тяжко открывается

    Могу поделиться опытом как боролись и боремся в макхосте (http://mchost.ru) когда Оверсан нас 2 недели ддосил в ноябре атаками от 20 до 100 Гбит/с

    Если атака идет на НСы, проще всего поднять простой bind и купить услугу secondary dns у ставнительно устойчивых днс хостингов типа dyndns.com. Наш опыт показал что dyndns держался при 20-40Гбит udp флуда с периодическими затыками.

    Если атака по tcp, допустим flood, тогда проблема решалась примерно так:
    1. Фильтруем tcp на роутерах, оставляем только нужный порт (80, 443), часто бывает tcp syn flood идет не на один порт а по всем портах
    2. nginx как фронтэнд для статики, с ограничением по limit_zone
    3. крутим sysctl, выделяем больше памяти для сокетов, оптимальнее всего оказались параметры
    net.core.optmem_max = 40960
    net.ipv4.tcp_rmem = 4096 87380 16777216
    net.ipv4.tcp_wmem = 4096 87380 16777216
    net.ipv4.tcp_mem = 50576 64768 98152
    net.ipv4.route.flush = 1
    net.core.rmem_max = 16777216
    net.core.wmem_max = 16777216
    net.core.rmem_default = 65536
    net.core.wmem_default = 65536
    net.ipv4.tcp_window_scaling = 0
    net.ipv4.tcp_synack_retries = 2
    net.ipv4.tcp_syn_retries = 3
    net.ipv4.tcp_syncookies = 1
    net.ipv4.tcp_max_syn_backlog = 2048
    net.ipv4.tcp_fin_timeout = 5

    3. страничка, которая под ддосом превращаем в статику и отдает через nginx
    4. выводит базу mysql по возможности на отдельный сервер
    5. делаем пачку зеркал и по dns round robin размазываем нагрузку по ним
    6. фаирволом режем ботов на основе user agent-а, это макхостовое решение, позволяющее блокировать ботов по маске на основе составленных регулярок по user agent-у)

    Как правило этого хватало на серьезные атаки до 50-80Гбит/c суммарного трафика.

    Если все еще нужна помочь, обращайтесь.
    • 0
      Спасибо за информацию.
      Я на РосПиле вижу загрушку «обновляемся».
      Надеюсь, админы ресурсов сюда ещё заглянут, и, если что, обратятся к вам.
    • +1
      1-2-3-3-4 было сделано.

      Сейчас начинаем колдовать над более расширенным пунктом 5.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.