Jump to content
Geekforum.cz

[WWW Zajímavost #3] Česká média zaplavila vlna DDoS


EeRa
 Share

Recommended Posts

Velké české zpravodajské servery zasáhl rozsáhlý DDoS útok, který vyřadil z provozu jejich stránky.

 

Weby většiny velkých českých zpravodajských serverů se potýkají s úplnými výpadky, nebo se na ně dostanete jen s obtížemi.

 

Příčinou je rozsáhlý DDoS útok, který se šíří v několika vlnách. První zasáhla skupinu zpravodajských webů kolem půl deváté ráno. Kolem 11:00 už se situace začala lepšit a stránky byly většinou opět dostupné.

 

Před polednem byly zasaženy weby vydavatelství Mladá fronta (například Živě.cz či E15.cz), které ještě ráno fungovaly a samy o DDoS útocích informovaly.

 

A před půl čtvrtou přišla druhá velká vlna, která vyřadila většinu serverů napadených už ráno.

 

Které servery byly útokem postiženy?

1. vlna: Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz, Denik.cz

2. vlna: E15.cz, Živě.cz, Mobilmania.cz a další weby Mladé fronty

3. vlna: Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz, E15.cz, Živě.cz, Mobilmania.cz…

 

 

Situaci sledujeme online:

18:10 - Weby Mladé fronty byly nedostupné kvůli zablokovaným sítím

Záhada, proč jsme se nemohli dostat na weby vydavatelství Mladá fronta, vyřešena: „U našeho providera v Praze došlo k automatické blokaci sítě, ve které jste, protože přes tuto síť chodí zahraniční traffic UPC,“ vysvětlil Lupě technický ředitel online služeb MF Ondřej Brabec. Poté, co vydavatel požádal providera o odblokování sítě, jsou weby opět přístupné. Podobný problém řešila Mladá fronta také u Master Internetu.

 

16:52 - Active24: útok vyřadil některé naše služby

DDoS útok ráno zasáhl také hostingovou službu Active24. „V době od 08:30 do 09:00 jsme čelili rozsáhlým distribuovaným DoS útokům vedeným proti webům našich zákazníků. To vedlo k přetížení hlavního firewallu a v důsledku tohoto došlo k nedostupnosti části služeb a naší zákaznické podpory. Proti útokům jsme okamžitě podnikli vhodná protiopatření. V tuto chvíli je situace stabilizovaná a poskytované služby jsou opět dostupné v obvyklé kvalitě,“ uvedla firma na svém webu.

 

16:46 - Vypadá to, že většina napadených serverů je opět v provozu. Nedostupné zůstávají weby Mladé fronty (UPDATE: podle šéfa online divize Mladé fronty Petra Bednáře jsou jejich servery opět v provozu.)

 

16:38 - Národní centrum kybernetické bezpečnosti: Nikdo se na nás neobrátil

Národní centrum kybernetické bezpečnosti, které funguje při Národním bezpečnostním úřadu, situaci sleduje. Vzhledem k tomu, že má podle jeho ředitele Vladimíra Robelana starosti jen sítě státní správy, nijak zatím nezasáhlo: „NCKB tuto situaci pouze sleduje a je v úzkém kontaktu s Národním CSIRTem. Bezpečnostní týmy dotčených serverů se s touto situací zatím vypořádávají samy a o pomoc nepožádaly ani Národní CSIRT, do jehož kompetence by toto spadalo i podle připravované legislativy. NCKB má a bude mít na starosti pouze sítě státní správy a kritické informační infrastruktury.“

 

16:15 - DDoS útok přichází z Ruska

Útok má svůj původ zřejmě v ruském botnetu, řekl Lupě Zbyněk Pospíchal ze společnosti Dial Telecom: „Sledujeme, odkud to jde, vypadá to na synflood, který fyzicky přichází z Ruska, ale kdo ten botnet kontroluje, to je samozřejmě informace, kterou nemáme a která je v té věci zásadní. Čili můžeme jen spekulovat o motivu takového útoku.“

 

15:25 - Nová vlna útoků

U většiny ráno napadených webů (IHNED.cz, E15.cz, Zive.cz, iDNES.cz, Lidovky.cz i Novinky.cz) registrujeme nové výpadky.

 

15:05 – Anonymous se distancují

Čeští Anonymous se po několika hodinách distancovali od vyjádření, které se objevilo na jejich stránce na Facebooku: „Komentář připojený ke sdílenému článku o napadení zpravodajských serverů vyjadřuje názory a postoje jen jednoho jedince z hnutí Anonymous, proto jsme velmi nepřijemně překvapeni tím, že byl citován jako oficiální vyjádření. Uznáváme, že chyba je na naší straně, a tímto se naším příznivcům omlouváme za zmatky a médiím za výhružné varování a kritiku postavenou na velmi špatných a nespravedlivých argumentech.“

 

Které servery byly útokem postiženy?

1. vlna: Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz, Denik.cz

2. vlna: Živě.cz, E15.cz, Mobilmania.cz a další weby Mladé fronty

3. vlna: Novinky.cz, iDNES.cz, IHNED.cz, Lidovky.cz

 

Anonymous to nebyli

 

Vydavatelé se teď diví: kdo mohl mít zájem o současný útok na české zpravodajské servery? A útok bude mít zřejmě ještě dohru: „Podáváme trestní oznámení a zároveň budeme řešit, jak riziko takových útoků v budoucnu co nejvíce eliminovat,“ píše v článku na IHNED.cz šéfka serveru Lucie Tvarůžková.

Pravděpodobnost, že se české policii podaří vypátrat, kdo za zorganizováním útoku stojí a pohnat ho před soud, je ale zřejmě mizivá.

Redakce o problémech většinou referovaly na sociálních sítích:

 

Server IHNED.cz pravděpodobně čelí útoku na infrastrukturu webu. Momentálně je proto nedostupný. Technické problémy mají i další zpravodajské servery v Česku.

 

Šlo o klasický DDoS (Distributed Denial of Service) útok, spočívající v tom, že útočník prostřednictvím velké sítě počítačů pošle na servery příliš velký počet požadavků, takže je zahltí a nestíhají tak mimo jiné zobrazovat webové stránky.

 

„Důvodem byl pravděpodobně distribuovaný útok na naší infrastrukturu,“ vysvětlil na facebookové stránce IHNED.cz Martin Mesršmíd, který ve vydavatelství Economia zodpovídá za nové technologie. Vydavatelství podle něj na odstranění problému pracuje.

 

Podle IHNEDu jsou do útoku zapojené počítače z České republiky. „Dříve byly DDoS útoky většinou vedeny ze zahraničí, stačilo zablokovat server před zahraničními uživateli. Tentokrát se zdá, že je vedený odněkud z Česka. Proto řešení není vůbec jednoduché,“ uvedla Tvarůžková.

 

Například Seznam.cz, který provozuje rovněž napadený server Novinky.cz, ale ryze český původ útoku nepotvrzuje: „Pozorujeme přístupy z celé Evropy,“ napsala Lupě mluvčí Seznamu Irena Zatloukalová.

K útoku se zatím nikdo oficiálně nepřihlásil. Čeští Anonymous jen na své facebookové stránce zveřejnili prohlášení, ve kterém česká média kritizují: „Někoho patrně napadlo trochu kopnout do českého internetového zpravodajství. Snad se novináři vzpamatují a začnou psát o věcech, na kterých skutečně záleží.“

 

Přelaďte na sociální sítě

 

IHNEd.cz zatím přenesl své zpravodajství do sociálních sítí:

 

Do doby, než se nám podaří vyřešit technické problémy spojené s pravděpodobným útokem na naše servery, budeme přinášet aktuální zpravodajství zde na Facebooku, na dalších sociálních sítích a našem sesterském serveru Volny.cz.

 

Pod útokem byly i další zpravodajské servery – na Facebooku hlásil problémy také iDNES.cz. „Je to poprvé v historii iDNES.cz, kdy byl útok hackerů úspěšný,“ říká na Facebooku programátor iDNES.cz Ivo Škola.

 

Servery iDNES.cz čelí útoku zvenčí, který je přetěžuje a způsobuje tak nedostupnost stránek. Cílem jsou i další české zpravodajské weby. Omlouváme se za komplikace, na odstranění potíží pracujeme.

 

Útokem byl postižen také server Lidovky.cz, který má stejného vydavatele jako iDNES. Redakce na Facebooku informovala o tom, že zatím bude také publikovat zprávy na sociálních sítích.

 

Lidovky.cz se podobně jako řada dalších zpravodajských serverů potýkají se zatím neznámým internetovým útokem. Náš web tak není zcela dostupný. Děkujeme za pochopení, na řešení problému intenzivně pracujeme. Nejdůležitější události dne vám budeme zatím poskytovat zde na Facebooku a na Twitteru.

 

Výpadky byly ráno postiženy také Novinky.cz, které ale na své facebookové stránce čtenáře o ničem neinformovaly.

 

„Naši technici útok momentálně řeší a Novinky.cz by už měly být zase stabilní,“ řekla Lupě kolem 11:00 mluvčí Irena Zatloukalová. „Postupně blokujeme IP adresy, které se k nám připojují s cílem službu shodit. Nicméně kolegové z provozu zareagovali dostatečně rychle. Víme to i z toho, že na technickou podporu v tomto ohledu žádní uživatelé nevolali.“

 

 

Nedostupný byl také server Denik.cz.

 

Zdroj: http://lupa.cz/

Autor: David Slížek

Link to comment
Share on other sites

  • 5 weeks later...

Jestli pracuješ v tak velké společnosti, kupte si CISCO Guard ;)

CISCO Guard nie je riešením. Z vlastných skúseností viem, že odfiltruje približne 73% slabších útokov - minimálne by to chcelo pridať softvérovou vrstvu s decentným filtrom (IPtables, filtrovanie portov a ich limitácie + odchytávanie veľkosti paketov), ale vznikajú tu problémy a síce, že potom môže dochádzať k nechcenej blokácii. Čudujem sa, že si sa nezmienil o CloudFlare. Navyše predpokladajme, že v sieti máme plno uzlov. Vážne tomu nerozumieš.

Link to comment
Share on other sites

CISCO Guard nie je riešením. Z vlastných skúseností viem, že odfiltruje približne 73% slabších útokov - minimálne by to chcelo pridať softvérovou vrstvu s decentným filtrom (IPtables, filtrovanie portov a ich limitácie + odchytávanie veľkosti paketov), ale vznikajú tu problémy a síce, že potom môže dochádzať k nechcenej blokácii. Čudujem sa, že si sa nezmienil o CloudFlare. Navyše predpokladajme, že v sieti máme plno uzlov. Vážne tomu nerozumieš.

Reagoval jsem na DDoS utoky v ČR. Věřím že CISCO Guard, by byl dostačující :-) Ovšem chápu, že pracuješ v nadnárodní kocporaci se servery po celé republice. Proto držím palce s jiným řešením ;)

 

Edit: Ovšem neříkám, že neexistují jiná řešení. Ale pro české servery to IMHO stačí, přece jen se utočilo na státní weby, a ty pokud vím (až na pár vyjímek) nemají nic velkého na starosti :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...