Fel på Forumet?

[Daniel Hofverberg]

Varför det?

Vad använder du för programvara för att filtrera inkommande trafik?

Jag har ett par Linux-servrar igång med iptables som brandvägg. Med regeln satt till DROP kan servern bara ignorera oönskad trafik utan att svara alls. Om man däremot sätter regeln till REJECT kommer servern att svara med ett felmeddelande (connection refused), vilket kan belasta servern om det skulle komma mycket skräptrafik. Rekommendationen är att i första hand använda DROP om man inte har speciella skäl att använda REJECT.

Om du använder UFW ("Uncomplicated Firewall") så är det egentligen bara ett skal till iptables, så funktionen är samma.

Jag har för mig att Fail2ban också använder iptables i botten, men det är möjligt att det också kan jobba mot någon annan brandvägg som gör själva jobbet. Jag har ingen egen erfarenhet av Fail2ban.

Tack för tipset. Jag har utöver Fail2ban än så länge bara använt .htaccess och inställningar i site-konfigurationen i Apache, och det sker så att säga på en högre nivå där man redan har kommit förbi brandväggen. Men det är mycket möjligt att det går att blockera IP-adresserna direkt i brandväggen, och det låter i så fall smartare. Värt att undersöka vidare.

[Daniel Hofverberg]

Någon gång under gårdagen började en ny DDoS-attack, eller om det var en utökning av den tidigare - servern segades ner av mängder av anrop från flertalet olika länder, bland annat Kina, Tyskland, USA och Storbritannien; men samtliga med IP-adresser som tillhör det kinesiska internetföretaget Tencent. Oklart vad syftet varit, men det är ju helt klart en samordnad attack, som med största sannolikhet på ett eller annat sätt är sanktionerat från Kina.

Jag har blockerat de IP-adresser jag hittat åt i loggen direkt i brandväggen, men jag har ingen aning hur stora IP-spann som Tencent äger i respektive land, så därför vet jag inte hur stor effekt mina blockeringar har. Jag hade gärna blockerat alla IP-spann som Tencent äger i de aktuella länderna, men har tyvärr inte hittat någon sådan lista.

Dessutom har jag gjort om blockeringarna av trafik från Kina, Hong Kong, Singapore och Ryssland - numera visas ett "snällt" felmeddelande om att använda VPN första gången en IP-adress besöker Dubbningshemsidan, och från och med andra besöket blockeras istället IP-adressen helt i brandväggen via en kombination av Fail2ban, Iptables och egna PHP-skript (vilket får till följd att sajten ser ut att vara stendöd). Det bör hjälpa belastningen, om inte väldigt många IP-adresser från Kina eller Ryssland används i en attack. Och skulle oskyldiga livs levande människor besöka sajten från dessa länder, så ser de förhoppningsvis det snälla felmeddelandet första gången.

[Daniel Hofverberg]

Det senaste dygnet har Dubbningshemsidan varit snabb och stabil för mig, helt utan avbrott och seg laddning - så kanske har mina senaste förändringar gett resultat, eller så är attacken över.

Hur har det sett ut för er? Någon som drabbats av seg laddning eller nedtid det senaste dygnet?

När jag kollat i serverns access-logg ett flertal gånger det senaste dygnet, så är det främst ganska många anrop från Amazonbot som jag reagerar på. Det verkar visserligen inte ha påverkat prestandan nämnvärt, men varför behöver Amazon läsa flera sidor i sekunden på Dubbningshemsidan...? Jag menar: Amazon har väl mig veterligen ingen sökmotor, och jag känner heller inte till att de skulle ha någon AI-tjänst som kan tänkas behöva besöka olika webbsidor ute på nätet...? Så jag ser inte riktigt vad deras robot ska behöva göra ute på nätet, hos andra än företagssidor tillhörande företag som säljer produkter via deras tjänst...?

(Självklart kan jag tala om för Amazon att jag inte vill att de ska indexera min sajt via robots.txt - jag förutsätter att ett seriöst företag respekterar branschstandarden robots.txt - men det vill jag ogärna göra om jag inte är helt säker på att det inte medför några negativa bieffekter)

[TonyTonka]

Nu är det typ 5000 "användare" inne och forumet är jättesegt igen. Är det en ny DDoS-attack?

[Daniel Hofverberg]

Nu är det typ 5000 "användare" inne och forumet är jättesegt igen. Är det en ny DDoS-attack?

Ja, det ser ut som att det till och från idag har pågått någon DDoS-attack - det har varit väldigt många anrop från Indien, plus en lite mindre mängd anrop från USA.

USA kan vara legitimt, i och med att de flesta sökrobotar (typ Google) och liknande kommer från USA, men jag har svårt att tro att besök från Indien kan vara legitimt.

Jag har nu tills vidare blockerat all trafik från Indien, så får vi se om det löser problemet. Det borde inte ställa till med alltför stora nackdelar, då jag har svårt att tro att särskilt många i Indien talar svenska - och svenskar som är på semester i Indien kan kanske leva utan Dubbningshemsidan den tid de är där...

(Precis som med Ryssland och Kina sker blockeringen genom att det första besöket från varje IP-adress leder till en informationssida där man blir ombedd att använda VPN-tjänst för att besöka Dubbningshemsidan - och från och med det andra besöket spärras IP-adressen i brandväggen, så att det ser ut som att sajten är död. På så sätt hoppas jag att legitima besökare ska hinna se informationssidan, så att de vet orsaken och förhoppningsvis kan använda VPN för att ta sig in ändå.)

[Daniel Hofverberg]

Den senaste dryga timmen, från ungefär klockan 09:45 och en timme framåt, har Dubbningshemsidan legat nere på grund av underhållsarbete och byte av energileverantör hos serverhallen i Helsingfors. I det här fallet har det alltså inte rört sig om någon DoS-attack, utan en planerad driftstörning som jag fick veta om förra veckan men glömt att meddela.

Det här är för övrigt mig veterligen den första nedtiden hos den tyska serverleverantören Hetzner sedan jag bytte till dem för flera år sedan, så de har haft en imponerande stabilitet. När Dubbningshemsidan legat nere tidigare har det alltså berott på något från min sida eller på grund av attacker, och inget som serverleverantören kunnat påverka.

[TonyTonka]

Ja, det ser ut som att det till och från idag har pågått någon DDoS-attack - det har varit väldigt många anrop från Indien, plus en lite mindre mängd anrop från USA.

USA kan vara legitimt, i och med att de flesta sökrobotar (typ Google) och liknande kommer från USA, men jag har svårt att tro att besök från Indien kan vara legitimt.

Jag har nu tills vidare blockerat all trafik från Indien, så får vi se om det löser problemet. Det borde inte ställa till med alltför stora nackdelar, då jag har svårt att tro att särskilt många i Indien talar svenska - och svenskar som är på semester i Indien kan kanske leva utan Dubbningshemsidan den tid de är där...

(Precis som med Ryssland och Kina sker blockeringen genom att det första besöket från varje IP-adress leder till en informationssida där man blir ombedd att använda VPN-tjänst för att besöka Dubbningshemsidan - och från och med det andra besöket spärras IP-adressen i brandväggen, så att det ser ut som att sajten är död. På så sätt hoppas jag att legitima besökare ska hinna se informationssidan, så att de vet orsaken och förhoppningsvis kan använda VPN för att ta sig in ändå.)

Ganska många gäster idag med (runt 4000) men (just nu i alla fall) är det inte så knöligt att ta sig in här. 

[Daniel Hofverberg]

Ganska många gäster idag med (runt 4000) men (just nu i alla fall) är det inte så knöligt att ta sig in här. 

Jag har varit på bio ikväll, och har därför inte varit online så mycket idag - men jag har gjort några stickprovskontroller i serverns loggfiler, och ser väldigt mycket sidanrop från Brasilien, Uruguay, Mexiko, Indonesien och Algeriet. Visst kan det vara oskyldigt, men med största sannolikhet rör det sig om DDoS-attacker.

Det behöver inte betyda att de faktiska anropen kommer från de länderna, utan det kan förstås röra sig om VPN eller liknande. Det är knappast troligt att personer från så vitt skilda länder skulle hitta på att attackera Dubbningshemsidan oberoende av varandra, så med största sannolikhet är det ett gemensamt riktat angrepp mot en rad svenska sajter. Om man betänker att framförallt Brasilien och Algeriet - liksom Indien, som DDoS-attackerna igår kom från - är tre länder som samarbetar mycket med Ryssland och är på god fot med Putin, så kan man helt klart misstänka att det är statligt sanktionerade hackers från Ryssland som ligger bakom.

Jag har tillfälligt blockerat alla IP-adresser från Algeriet, Indonesien och Brasilien, liksom spärrat de IP-adresser från andra länder jag hittat åt som gjort väldigt intensiva anrop. Men det här är som alltid en katt-och-råtta-lek, så inga garantier att det verkligen hjälper; även om det just nu verkar ha lugnat ner sig (CPU-belastningen ligger nu på 20%, mot 80% innan jag började blockera). Det finns säkert också inställningar på servern man kan ändra på för att minska problemet, men det får bli morgondagens bekymmer...

[Daniel Hofverberg]

Det jag gjorde i natt hjälpte tydligen inte, då det nu är oerhörda mängder besökare från Irak, Jordanien och Syrien. Jag kan inte tänka mig att det kan vara så många i dessa länder som förstår svenska, och heller inte särskilt många svenska turister i de områdena, så jag tar och blockerar även dessa länder - det bör inte kunna orsaka alltför stora problem för någon.

Uppenbarligen är det någon stor organiserad DDoS-attack från flertalet länder som pågår just nu, gissningsvis riktad mot ett flertal svenska sajter och servrar.

[Daniel Hofverberg]

För att förhoppningsvis helt eller delvis få bukt med problemet med återkommande DDoS-attacker har jag nu installerat en nygammal modul som ska blockera IP-adresser automatiskt vid alltför ivrig aktivitet. Det här är samma modul som jag avinstallerade för ett par månader sedan, då den orsakade att för många oskyldiga också låstes ute, men nu har jag fått lite hjälp av Gemini med att konfigurera modulen rätt; och hoppas att den inte längre ska vara för aggressiv.

Säg till om ni fortfarande blir utlåsta (med "Förbjuden åtgärd" eller "Okänt fel"), så får jag skruva ner inställningarna ytterligare lite grand. Säg också till om sajten trots detta ändå blir seg eller slutar svara helt - jag tycker att CPU-belastningen på servern fortfarande är i högsta laget trots denna modul, men kanske behöver inställningarna justeras en del.