Attacco DDoS (Distributed Denial of Service) al Forum Elettrico

[marco]

Molti di voi si sono accorti e mi hanno segnalato, che il forum questa mattina era incredibilmente lento: ho contattato prontamente il provider che mi ha riferito che forse era una opzione di manutenzione del cluster e che si sarebbe risolto a breve. Dopo qualche ora però ho visto che il problema non rientrava e per aprire una pagina ci volevano anche 25 secondi, come da immagine:

Senza titolo 1.jpg (68.09 KiB) Visto 2111 volte

Allora siamo andati ad analizzare i log del server ed abbiamo scoperto che c'erano migliaia di chiamate http da diversi IP, tutti uguali ed ubicati in diversi paesi (Germania, Singapore, Stati Uniti, Italia ecc.) che andavano quindi ad esaurire le risorse del server provocando il rallentamento.

Sono quindi andato a stilare una lista di questi indirizzi, 14 per cominciare, che avevano in comune di aver fatti in giornata poco più di 5.000 chiamate ciascuna: probabilmente questi indirizzi cambiano ciclicamente per evitare di essere bloccati.

Una volta fatta questa lista, sono andato a bloccare gli indirizzi inserendoli nel file htaccess e tutto è tornato alla normalità, verso le 12:30 come visibile dal grafico.
In tanti e con centinaia di progetti seguiti, è la prima volta che mi capita di dover intervenire per questo tipo di attacco: c'è di bello che ora che ho capito come risolvere, sarò molto più immediato nell'azione la prossima volta che capiterà (qui si può trovare una spiegazione del tipo di attacco > https://it.wikipedia.org/wiki/Denial_of_service )

Ma la domanda ora è: perché è successo? Chi tende i fili? Chi ha interesse a rendere irraggiungibile un forum sulla mobilità elettrica? A chi stiamo pestando i piedi?
Probabilmente non lo sapremo mai, ma comunque noi proseguiamo imperterriti per la nostra strada, più forti di prima e con una esperienza in più maturata

[carlo.marchesini]

Come ho detto...siamo ad un punto nodale nevralgico...il vecchio modello di mobilità con auto a combustione non è più sostenibile...è fondamentale passare all'elettrico e alle energie rinnovabili...occorre resistere....resistere...resistere..resistere...non cediamo alla scontica folle che le cause automobilistiche ci propineranno pur di farci acquistare un'auto a combustione...il momento è cruciale. .ora!

[pIONiere]

Solamente 14 IP (forse exit point di qualche provider VPN o di TOR?) con 5000 chiamate ciascuno mi fa pensare che ci sia dietro un singolo individuo, un' attacco a questo livello e' alla portata di chiunque con un minimo di esperienza.

[marco]

Solamente 14 IP

Non so se cambia qualcosa nel tuo ragionamento, ma alcuni di essi erano delle famiglie di IP: per capirci c'era il xxx.yyy.zzz.001, ma poi anche lo xxx.yyy.zzz.002, xxx.yyy.zzz.003 ecc

[pIONiere]

Dipende che tipo di IP erano, se erano exit point di VPN o TOR, o magari proxy (google proxy?) o se invece erano IP DSL. Se erano IP DSL di paesi diversi allora la cosa cambia perché in quel caso si e' trattato molto probabilmente di un mini botnet, che non e' alla portata di chiunque.

[marco]

Se vuoi ti passo in privato la lista degli indirizzi bloccati, così se ti va ci dai un'occhiata e mi dici cosa ne pensi: io attualmente ho esaurito anche le possibilità di fare il whois gratuito in uno dei principali portali, per cui non posso fare analisi ulteriori al momento.

[giabon]

poco fa non mi si caricava una pagina e ho ricevuto questo errore:

General Error
SQL ERROR [ mysqli ]
Can't connect to MySQL server on 'gm24969-002.privatesql' (110) [2003]
An sql error occurred while fetching this page. Please contact an administrator if this problem persists.

Edit: ora (un minuto dopo) va come una scheggia

[mirko2016]

Cosa possono ottenere da questo tipo di attacco?
Praticamente nulla oltre a bloccare momentaneamente il sito...

[marco]

Esattamente, loro non possono ottenere nulla, solo mettere in difficoltà noi. Può essere che era stata fatta una cosa simile al sito dell'Inps il mese scorso? Parlavano di attacco hacker, poi non si è più approfondito (o almeno non ho approfondito io) ma il sistema mi pare circa lo stesso. Mah!?

[marco]

poco fa non mi si caricava una pagina e ho ricevuto questo errore

Per questo o altri errori, se vi capita dopo aver scritto un post e non volete perderne il contenuto, mi raccomando di tornare indietro col browser come avevo consigliato tempo fa qui:
per-non-perdere-il-testo-scritto-se-ci- ... t1603.html
se-avete-scritto-un-post-e-vi-chiede-il ... t3351.html

ora (un minuto dopo) va come una scheggia

Bene, e speriamo continui così.. sgrat sgrat