Fel på Forumet?

[Daniel Hofverberg]

Med tanke på att det var över 10 000 "användare" här inne vid 11-tiden enligt "Flest online någonsin" så skulle jag tro att det även då var DoS-attacker, men varför skulle en sådan attack vilja åt Dubbningshemsidan av alla ställen? 

De flesta DoS-attacker sker väldigt brett, och riktar sig mot tusentals sajter - det behöver inte betyda att de riktar in sig mot specifika sajter, utan det är helt enkelt mer eller mindre slumpmässigt; men ofta riktat mot specifika länder. Samtidigt som Dubbningshemsidan var väldigt seg igår kväll/natt, så låg exempelvis Flashback helt nere; vilket jag gissar inte är en tillfällighet.

Just nu är det ju exempelvis väldigt vanligt förekommande med hybridattacker från Ryssland, där ryska hackers anlitas av Kreml att slå till mot så många svenska servrar och/eller EU-servrar som möjligt; i förhoppning att även banker, energiföretag, myndigheter, BankID och annat samhällsviktigt ska påverkas - allt för att i möjligaste mån orsaka panik och splittring inom samhället, och göra att folk blir oroliga (säkerligen med förhoppningen att opinionen om att hjälpa Ukraina inom respektive land ska växlas).

Jag säger inte att så nödvändigtvis är fallet just den här gången, men statistik visar att runt 70% av alla DoS-attacker  i världen kommer från antingen Ryssland eller Kina, och detta redan innan Rysslands anfallskrig inleddes. Det intressanta är dock att meningen är att Dubbningshemsidan ska blockera all trafik från just Ryssland och Kina, som jag lade till för några månader sedan i ett försök att stävja just DoS-attacker - så frågan är om den blockeringen inte fungerar, eller om just den här attacken inte kommer från Ryssland eller Kina...? Ska se om jag kan hitta något loggen, nu när jag har ett ungefärligt klockslag att gå på.

(Visserligen kan man aldrig avgöra ursprungslandet med någon form av visshet, då det ju alltid finns möjlighet till VPN, proxyservrar och liknande - men det vanligaste brukar vara att hackers inte använder VPN för att se ut som att de kommer från ett annat land, utan hellre från en annan IP-adress än sin riktiga)

[TonyTonka]

De flesta DoS-attacker sker väldigt brett, och riktar sig mot tusentals sajter - det behöver inte betyda att de riktar in sig mot specifika sajter, utan det är helt enkelt mer eller mindre slumpmässigt; men ofta riktat mot specifika länder. Samtidigt som Dubbningshemsidan var väldigt seg igår kväll/natt, så låg exempelvis Flashback helt nere; vilket jag gissar inte är en tillfällighet.

Just nu är det ju exempelvis väldigt vanligt förekommande med hybridattacker från Ryssland, där ryska hackers anlitas av Kreml att slå till mot så många svenska servrar och/eller EU-servrar som möjligt; i förhoppning att även banker, energiföretag, myndigheter, BankID och annat samhällsviktigt ska påverkas - allt för att i möjligaste mån orsaka panik och splittring inom samhället, och göra att folk blir oroliga (säkerligen med förhoppningen att opinionen om att hjälpa Ukraina inom respektive land ska växlas).

Jag säger inte att så nödvändigtvis är fallet just den här gången, men statistik visar att runt 70% av alla DoS-attacker  i världen kommer från antingen Ryssland eller Kina, och detta redan innan Rysslands anfallskrig inleddes. Det intressanta är dock att meningen är att Dubbningshemsidan ska blockera all trafik från just Ryssland och Kina, som jag lade till för några månader sedan i ett försök att stävja just DoS-attacker - så frågan är om den blockeringen inte fungerar, eller om just den här attacken inte kommer från Ryssland eller Kina...? Ska se om jag kan hitta något loggen, nu när jag har ett ungefärligt klockslag att gå på.

(Visserligen kan man aldrig avgöra ursprungslandet med någon form av visshet, då det ju alltid finns möjlighet till VPN, proxyservrar och liknande - men det vanligaste brukar vara att hackers inte använder VPN för att se ut som att de kommer från ett annat land, utan hellre från en annan IP-adress än sin riktiga)

Såg på Aftonbladet nu att Flashback också haft problem, och det var tydligen ryska hackare. 

Hade Dubbningshemsidan mindre problem med DoS-attacker på den tiden som sidan hade com.ru i stället för .se som ändelse?

[Anders M Olsson]

Just nu (kl 8:25 - 8:45) är det stora problem att komma åt Dubbningshemsidan. Det gäller både hemsidan och forumet. Svarstiderna är i storleksordningen en minut, om man överhuvud taget får svar. Ofta blir det inget svar alls, utan bara ett felmeddelande - Servern hittades inte eller Fel vid sidhämtning.

[Daniel Hofverberg]

Just nu (kl 8:25 - 8:45) är det stora problem att komma åt Dubbningshemsidan. Det gäller både hemsidan och forumet. Svarstiderna är i storleksordningen en minut, om man överhuvud taget får svar. Ofta blir det inget svar alls, utan bara ett felmeddelande - Servern hittades inte eller Fel vid sidhämtning.

Jag har också haft stora problem att ta mig in på sajten under natten och morgonen, men jag kan ta mig in via SSH direkt till servern även om sajten verkar vara "död"; vilket alltså bevisar att det inte är problem med själva servern eller serverhallen. Så den stora frågan är vad man gör åt det...?

Jag har tittat i serverns loggfiler under de klockslag du angav, och jag ser många sidanrop från Kina ^(*), Singapore och USA (främst Chicago-området). Svårt att säga om det är sökrobotar, spamrobotar eller hackers, men knappast vanliga besökare i alla fall...

^(*): Dock ska ju anrop från Kina redan vara blockerade, om allt fungerar som det ska - så svårt att säga om min blockeringskod inte fungerar som det ska, eller om de dyker upp i access-loggen ändå...

Dessutom är det många besök från någon indexerare vid namn https://www.seokicks.de/, som jag inte har en blekaste aning vad det är. Borde vara lugnt att blockera via robots.txt, då jag har svårt att tänka mig att det kan vara nödvändiga robotar som tillför något mervärde för sajten

Gemensamma nämnaren under de här klockslagen är att 99% av besökarna använder Safari på Mac OS X enligt webbläsarloggningen. Det kan förstås vara helt oskyldigt, men jag tycker att det låter onormalt att så många skulle använda Safari på Macintosh och nästan ingen köra Windows eller använda mobiltelefon...

Hade Dubbningshemsidan mindre problem med DoS-attacker på den tiden som sidan hade com.ru i stället för .se som ändelse?

Jag kan inte minnas några stora problem på den tiden, men det är förstås svårt att jämföra rakt av - dels körde jag med webbhotell på den tiden (ingen egen server via VPS), varför jag inte kan veta vilka eventuella skydd mot DoS-attacker som webbhotellet hade installerat/konfigurerat; och dels var det ju ganska många år sedan då det kanske förekom färre DoS-attacker än nuförtiden.

[Anders M Olsson]

Det tycks gå upp och ner. Ena stunden är det jättetrögt, andra stunden verkar allt normalt.

Så det gäller att passa på att läsa och posta under de stunder när det fungerar...

[Daniel Hofverberg]

Det tycks gå upp och ner. Ena stunden är det jättetrögt, andra stunden verkar allt normalt.

Så det gäller att passa på att läsa och posta under de stunder när det fungerar...

Jag kan bara beklaga - jag har ännu inte lyckats hitta något sätt att få stopp på attacken, då det inte verkar vara så enkelt som att det är en enda IP-adress som ligger bakom alla anrop (som förra gången).

Om någon här har erfarenhet av hur man stoppar/minimerar DDoS-attacker på Linux-servrar, så tar jag mer än gärna emot era synpunkter.

[BPS]

Det har inte gått att komma in lite då och då Men nu var det väldigt mycket längre. Vad är det de vill egentligen? 

[Daniel Hofverberg]

Det har inte gått att komma in lite då och då Men nu var det väldigt mycket längre. Vad är det de vill egentligen?

Utmärkt fråga. De allra flesta anropen som gör att Dubbningshemsidan blir seg eller dör helt har jag kunnat spåra till en internetleverantör i Kalifornien, USA.

Jag kan förstås inte vara säker på att orsaken eller syftet är samma, men hittade denna notis på nätet om exakt samma leverantör:
https://krebsonsecurity.com/tag/egihosting/

Den notisen är visserligen inte purfärsk, men det låter rimligt om Kreml ligger bakom den här gången också. Vi vet ju att Ryssland håller på väldigt mycket med hybridattacker och påverkansoperationer mot framförallt länder som stöttar Ukraina, så att det finns en koppling till Ryssland hellre än att amerikaner ligger bakom attacker mot svenska sajter på eget bevåg känns inte direkt som en högoddsare...


Jag har än så länge blockerat runt 40 olika IP-adresser som alla tillhör samma leverantör i USA, men om det kommer lösa problemet eller om det bara är en droppe i havet är svårt att säga; då jag ju inte kan veta hur många IP-adresser de har till sitt förfogande...

Andra lösningar än så har jag än så länge inte lyckats hitta. Jag har installerat Linux-biblioteket fail2ban, som ska blockera och ta hand om sådant här automatiskt, men det verkar inte fungera särskilt väl då ingen av de här IP-adresserna tycks ha blockerats.

[Daniel Hofverberg]

Jag har testat regelbundet under förmiddagen då och då, och för mig har sajten varit blixtsnabb alla gånger jag testat. Fungerar den bra för er också, eller har någon av er stött på att den varit seg eller inte svarat alls; efter att jag blockerade IP-adresserna strax efter midnatt?

Har vi tur kanske det jag gjorde fick effekt, trots allt...

[Nilsson]

Jag har testat regelbundet under förmiddagen då och då, och för mig har sajten varit blixtsnabb alla gånger jag testat. Fungerar den bra för er också, eller har någon av er stött på att den varit seg eller inte svarat alls; efter att jag blockerade IP-adresserna strax efter midnatt?

Har vi tur kanske det jag gjorde fick effekt, trots allt...

Igårkväll var det rentav omöjlitg att komma in på mobilen framförallt- det gick jättesakta och kom inte in. Men idag hittills har det gått på både dator mobil.

[Lillefot]

Jag har testat regelbundet under förmiddagen då och då, och för mig har sajten varit blixtsnabb alla gånger jag testat. Fungerar den bra för er också, eller har någon av er stött på att den varit seg eller inte svarat alls; efter att jag blockerade IP-adresserna strax efter midnatt?

Har vi tur kanske det jag gjorde fick effekt, trots allt...

Det verksr ha fungerat, för idag har sidan flytit på som den ska. Igår hade man tur om det ens gick att gå till huvudsidan eller valfti tråd.

[Anders M Olsson]

Jag har testat regelbundet under förmiddagen då och då, och för mig har sajten varit blixtsnabb alla gånger jag testat. Fungerar den bra för er också, eller har någon av er stött på att den varit seg eller inte svarat alls; efter att jag blockerade IP-adresserna strax efter midnatt?

Har vi tur kanske det jag gjorde fick effekt, trots allt...

Ja, det tycks fungera bra nu. Frågan är om det är dina åtgärder som har haft effekt, eller om attackerna bara har upphört?

[Daniel Hofverberg]

Ja, det tycks fungera bra nu. Frågan är om det är dina åtgärder som har haft effekt, eller om attackerna bara har upphört?

Det är en mycket bra fråga. När jag kollar i loggfilen ser jag att det senaste anropet från samma amerikanska internetleverantör kom klockan 08:28 i morse, och verkar ha blivit blockerad (den fick bara som svar en sida på 523 bytes, vilket förmodligen överensstämmer med informationssidan man kommer till om man är blockerad). Så kanske en kombination av bådadera.

Det dumma är nämligen att även om sidanrop blockeras på grund av IP-adressen/landet, så kommer de ändå att få någon felsida tillbaka; varför servern belastas av att skicka det svaret - men det blir förstås inte lika mycket som laddas jämfört med om de försöker läsa långa forumtrådar med bilder och en massa annat, så att belastningen ändå minskar. Så är det en tillräckligt omfattande DDoS-attack, så kommer alltså servern att belastas en del även om alla anrop blockeras, då alla blockerade anrop måste tas om hand av serverprogramvaran innan det kan blockeras. Jag har tyvärr inte lyckats hitta någon lösning på den moment 22-problematiken...

[Anders M Olsson]

Det dumma är nämligen att även om sidanrop blockeras på grund av IP-adressen/landet, så kommer de ändå att få någon felsida tillbaka; ...

Varför det?

Vad använder du för programvara för att filtrera inkommande trafik?

Jag har ett par Linux-servrar igång med iptables som brandvägg. Med regeln satt till DROP kan servern bara ignorera oönskad trafik utan att svara alls. Om man däremot sätter regeln till REJECT kommer servern att svara med ett felmeddelande (connection refused), vilket kan belasta servern om det skulle komma mycket skräptrafik. Rekommendationen är att i första hand använda DROP om man inte har speciella skäl att använda REJECT.

Om du använder UFW ("Uncomplicated Firewall") så är det egentligen bara ett skal till iptables, så funktionen är samma.

Jag har för mig att Fail2ban också använder iptables i botten, men det är möjligt att det också kan jobba mot någon annan brandvägg som gör själva jobbet. Jag har ingen egen erfarenhet av Fail2ban.

[Skokaka]

Jag har testat regelbundet under förmiddagen då och då, och för mig har sajten varit blixtsnabb alla gånger jag testat. Fungerar den bra för er också, eller har någon av er stött på att den varit seg eller inte svarat alls; efter att jag blockerade IP-adresserna strax efter midnatt?

Har vi tur kanske det jag gjorde fick effekt, trots allt...

Igår så gick det inte alls i natt, men idag så funkar det som vanligt igen. (Vad bra, ännu en bra anledning att vilja leva nu.)