Core

On mahtava blogausofta ja toimii yleensä hyvin. Tänään kuitenkin tuli häly palvelimelta ja sen kaverilta, tietokantapalvelimelta. Hetken debugattuani tajusin että joku poistaa turhia kommentteja (ilmeisesti spammia?) yhdestä blogista jota ajettiin wordpressillä. Alla pari kuvaa, niillä kun on tapana kertoa enemmän kuin tuhat sanaa..

Sitten vähän valontasoftan kuvia aiheesta.

Siinä kuva www-palvelin <-> tietokantapalvelin linkistä, www-palvelimen näkökulmasta.

Siinä kuva www-palvelin <-> tietokantapalvelin linkistä, tietokantapalvelimen näkökulmasta.

WWW-palvelimen prosessorinkäyttö…

Tietokantapalvelimen prosessorinkäyttö…

Hassun hupaisaa. Kyseinen spammiviestien poisto generoi ensin ~10Mbit/s liikennettä www-palvelimelta tietokantapalvelimelle, jonka jälkeen 25Mbit/s piikin perään. Voidaan olettaa että 90% tuosta liikenteestä oli pelkkää MySQL-palvelinohjelmalle tarkoitettua dataa. Kyseinen operaatio söi myös hivenen CPU-aikaa mikä käy ilmi ensimmäisestä ja kahdesta viimeisestä kuvasta.

SMS-hälytysjärjestelmä näki asian sitten näin…

Mitä opimme tästä? Jos blogaat WordPressillä, käytä sitä Akismettiä tai capathcaa, estääksesi spammin syntymistä.

Eipä tästä mitään varsinaista “harmia” koitunut, hetken jumitus www-palvelimella, jonka jälkeen tilanne normalisoitui.

…on paska lafka, eivät halua sitten edes myöntää että heidän korkatulta purkilta on tullut pakettia. Sain “abuseeni” vastauksen asiakaspalvelusta, josta sanottiin näin:

Hello,
Thanks for your e-mail.
In all abuse, phishing, scam, spam and related issues please contact abuse@ovh.net directly.
That is the only address that handles these things.
Provide as much as info you can and they will take the actions that are needed.
They may not answer anything to you, only do the required measures.
-Best regards
-Tuomo

Saattaapi olla että asia ei jää tähän…

EDIT: Asia loppuunkäsitelty, viralliset tahot saa setviä loppuun jos vielä kerrankin tulee jotain tän kaltasta tuolta. Ei paljoa aspa-poikaakaan kinostanu.

Enpäs tiedä miten tuota OVH nimistä puljua pitäis kommentoida. Moni sitä kehuu että sieltä saa hyvää palvelua ja edullisia palvelimia. Jotkut jopa kehuvat aspaakin.

Itselläni ei kyseisestä puljusta asiakkaana ole omakohtaista kokemusta, mutta kommentoimpa kyseistä firmaa silti. Sivuillakin lupaavat alle 24h vastausta maileihin sun muuta. Vitut sanon minä, ainakaan abuseen en saanu edes autoreplyä. Ekasta abusesta kuitenkin jo yli 24 tuntia.

Koko hommahan lähti siitä että eräs palvelin, mikä myös servutuksen pääpalvelimena tunnetaan on nyt viimisen kahden kuukauden aikana ollut kohtuuttoman määrän alla palvelunestohyökkäyksiä. Pakettia on tullut niin Kiinasta kuin jenkkilän ihmemaastakin. Mukaan mahtuu myös puolet keskieuroopasta sekä Venäjäkin.

Useamman kerran tuollainen palvelunestohyökkäys on osunut ~1000Mbit/s voimalla tuohon verkkoon, missä tuo servutuksen palvelinkin on. Näinä kertoina yleensä asiaan on reagoitu hyvinkin nopeasti, kun olen abusea laittanut sinne mistä pakettia tulee. Eräältä pikkuoperaattorilta tuli yli 8h tuolla vauhdilla pakettia, mutta sekin loppui sitten viimistään kun puhelimeen tarttui.

Nyt tämä OVH, mistä muistan kuulleeni hyvää sekä huonoa, ja sen mitä heidän sivuiltaan olen joskus lukenut, niin veti kyllä omaan muistiini pohjat. Tosiaan, vastausta mihinkään abuseen mitä sinne olen tähän mennessä lähettänyt, en ole saanut. Vitutus kasvoi varsinkin, kun sieltä tuli pakettia keskiarvolla 900Mbit/s noin reilut 3h, lähenteli neljää. Alla pari graafia  ja yksi paste servun logeista, mitkä kuvastaa asiaa varsin hyvin.

Siinä sitä sitten olisi, 21.00 eteenpäin. Pakettia lähinnä pelkästään ovh.net:in verkosta osoitteesta 188.165.231.127 minkä A ja PTR-tietueena on ns213866.ovh.net. Noh mitä sitten sieltä tuli? Random UDP-pakettia, alla otos logeista.

UDP (1500 bytes) from 188.165.231.127:4006 to 62.236.109.65:1007 (src HWaddr 0015c6d1ef80) on eth0

Sama hyökkäys taas palvelimen päässä graafien silmin näytti tältä;

Siellä näkyy kivaa valkoista reikää, kun SNMP-dataa palvelimelta ei saatukkaan pollattua tuon hyökkäyksen takia. Samaisessa kuvaajassa näkyy tuollainen kivan tasainen vihreä palkki alkaen maanantaista. Sekin on palvelunestohyökkäystä, samanlaista UDP-paskaa, mutta yliopiston verkosta. Sinne on nyt lähetetty kahdeksan abusea ja mitään ei ole myöskään tapahtunut. Osoite mistä tuota pakettia tulee on 165.124.184.181 ja sillä on A sekä PTR tietueet netsec-1.cs.northwestern.edu.

Terveiset siis vaan molempiin paikkoihin. Haistakaa vaikka paska? Enemmän tosiaan tuo OVH:n tapaus herätti vihaa, koska noinkaan suurta “paskamyrskyä” siellä ei huomattu. Mutta kai se on normaalia että 900Mbit/s UDP-virta yhteen osoitteeseen on ihan okei kaikella tasolla? Sitten vähän huvittaa että parilla irkkitutulla on lähtenyt kyseiseltä palvelutarjoojalta palvelin kokonaan pois yhden, ei edes suuren palveluestohyökkäyksen takia jonka uhriksi oli joutunut syystä tai toisesta.

Mutta sitten mielekkäämpää asiaa, kävin eilen illasta vielä pyörähtämässä Lamerfest ICE:ssä pikaisesti. Siellä nyt tuli törmättyä pariin tuttuun ja todettua että meno oli rauhoittunut viimevuosista, tai ainakin siltä tuntui. Toki asiaan vaikuttanee se, että en käynyt siellä nyt muina päivinä. Mutta tosiaan, pari räpsyä lauantailta kyseisestä tapahtumasta täältä.

Jep. Moni onkin saattanut huomata tälläkin sivulla ajoittaista hidastelua nyt viimeisen viikon aikana. Syy on yksinkertainen, nimittäin palvelunestohyökkäys, mikä osui lujaa ja kesti pitkään. Alla vähän selitelty graafien kera mitä tässä nyt servutukselle kävikään.

Kaboom, siinä mahtuu pe-ma akselille monta bittiä, ja nopeuttakin on riittänyt. Suurin osa tuosta liikennemäärästä osui tuohon servutuksen pääpalvelimeen, missä on ihmisten kotisivuja ja muutema irc-bounceri (joita kohta ei ole, jos tämä jatkuu).

Tältä se näytti verkonvalvontasoftassa. Yllä siis palvelimen kaistankäyttögraafi, jota ei pystytty edes kokoaikaa piirtämään, koska valvontapalvelin ei saanut yhteyttä valvottavaan palvelimeen.

Siinä vielä samaisesta järjestelmästä pakettigraafi, kutakuinkin samaa muotoa kun kaistankäyttögraafikin.

Ja viimeisenä sitten liikennemäärägraafi palvelimelta. Pakettia tuli aika kiitettävästi verrattuna normaaliin.

Noh mitä tästä seurasi? Hikeä, tuskaa, pari vihaista tekstaria ja sähköpostia minulle. Servutuksen käyttäjille? Helvetinmoista pätkimistä ja hidastelua. Hyökkääjille? Mielihyvää helvetisti ja reilu 20 koneen häviäminen verkosta.

Nimittäin lätkin menemään abusea sähköpostilla niin monelle taholle että oksat pois. Parhaimmillaan lähetin sähköpostin ensin palvelimen ylläpitäjälle, jonka kone oli siis murrettu ja kaapattu. Sitten palvelimen internet-tarjoajalle (ISP) joka siis tarjoaa palvelimelle internet-yhteyden. Kahdessa tapauksessa pistin vielä sähköpostia ISP:nkin yläpuolelle, nimittäin sille taholle joka tarjoaa sille ISP:lle internet-yhteyden, jonka verkossa se palvelin on, eli transit-tarjoajalle.

Parhaimmillaan abuset otti tulta alleen alle viidessä minuutissa, ja saastuneet koneet mistä palvelunestohyökkäys tuli, hävisi verkosta pahoitteluviestin kera. Sitten oli pari sitkeämpää tapausta, jotka ei ihan heti sähköpostiinsa reagoineet. Yhdessä näistä tapauksista kaivoin palvelimen ylläpitäjän puhelinumeron, oikean nimen, facebook tunnuksen sekä skype tunnuksen. Sitten puskin samaa viestiä jokaiseen tuuttiin sille ylläpitäjälle läpi, jonka jälkeen hän yli 24h tapahtuman alusta reagoi asiaan. Kyseinen ihminen oli vielä siinä firmassa, missä saastunut kone oli hostittuna, niin wanhempi järjestelmäasiantuntija. Alkoi vähän kyrpimään, että eikö tuollaisen tittelin omaavaa henkilöä ihan oikeasti kiinnosta asiat?

Mutta loppu hyvin kaikki hyvin. Ainakin näin toistaiseksi, katsotaan kauan saadaan nyt olla rauhassa.

PS. Varo avointa wlan-verkkoa: Facebookin kaappaus on helppoa

Luulin tänään jo kaiken kuulleeni ja nähneeni, mutta ei.

Töissä kävi joku kaverin kaveri polkemassa pyramidihuijaukseen lisää porukkaa ja nyt illalla sitten pistettiin taas yli 80 tuhatta suomalaisten salasanaan verkkoon jakoon.

Elikkäs ainakin tätä paskaa saa vältellä. Niin klassinen “maksa x euroa, kerää kavereita, saat pisteitä, voitat maailman” huijaus että oikeen nauratti kun sitä siellä herrat selittivät suu vaahdossa. Noh, toiset on vaan hyväuskosia. Luulisi nyt vähän että wincapitan ja vastaavien jälkeen ois järkeä päässä mutta ei, toisilla sitä ei ole. Eikä tule.

Sitten passulistan pariin joka tänään verkossa julkastiin. Alla useampi linkki mediaan jos toiseekin missä on juttua aiheesta.

Varastettuja tunnuksia ja salanoja liikkeellä verkossa (cert.fi)
Vaihda heti salasanasi − iso tietovuoto netissä Suomessa (tietokone.fi)
Yli 100 000 suomalaisten salasanaa vuoti verkkoon (iltalehti.fi)
Lehti: Jopa yli 100 000 salasanaa ja tunnusta vuotanut nettiin Suomessa, vaihda omasi heti (aamulehti.fi)
Tietomurto Älypää-visassa, HS.fi-tunnukset eivät vaarassa (hs.fi)
Kymmeniätuhansia salasanoja vuosi nettiin (yle.fi)
Yli 120 000 suomalaisen sähköpostiosoitteen ja salasanan lista hakkeroitu, tarkista oletko joukossa! (Muropaketti)
Kymmenien tuhansien nettisalasanat vuotivat julki (iltasanomat.fi)
Jopa yli satatuhatta salasanaa on vuotanut nettiin (yle.fi)
Yli 120 000 suomalaisen salasanat hakkeroitu – lista netissä (afterdawn.com)

Kuvalauta.fi kiinni, Älypää.netin salasanat/tunnukset hakkeroitu, yli 120 000 kpl (MuroBBS)
Tunnukset joiden salasanat olivat listassa (CTRL+F ja etsi oman sähköpostiosoitteesi alkua, jos löytyy => salasana vaihtoon) (rofl.fi)
Tunnusten tarkistuspalvelu jonka toimittaa muromiehet(tm) (iceflake.net)

Ei siinä muuta, vaihtakaa passunne kaikkialle jos vähänkään siltä tuntuu. Muutenkin kunnon käyttäjä vaihtaa passunsa ainakin kerran vuoteen, ja vielä käyttää vielä sellaisia salasanoja missä on ISOJA ja pieniä kirjaimia, numeroita sekä erikoismerkkejä.

PS. Servutuksen palveuiden salasanan-vaihdosta kannattaa pistää mailia info{[AT]}servut.us osoitteeseen niin katsotaan.