Heftigt DDoS-angreb tvang dansk hostingfirma i knæ

[quote]Heldigvis var det om aftenen og natten, hvor der ikke er så mange på nettet.[/quote] Det er jo også en holdning at have. Men så ved jeg da det om Zitcoms prioriteringer. Hvis vores webhoteller var offline fra kl. 20 og 4 timer frem tror jeg nok vi ville blive mindst lige så upopulære som hvis det var fra kl. 06 og 4 timer frem...

Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb? "60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb.

Lidt analogt med tale om cyberwar/cyberterror, så synes jeg det kunne være en rigtig god idé at dykke ned i følgende 2 problemstillinger: 1) Hvad var target? Uanset hvad man tror, så var target vel ikke UE/Wannafind som virksomhed, men formentlig nogle 'provokerende' hjemmesider. 2) Hvor kom det fra? Jo, jeg har tidligere været inde på, at det kan være bot'er, eller inficerede hjemmesider. Ad 1: Dem, der har adgang til log's osv, burde vide om target var en enkelt hjemmeside, eller blot de angiveligt 130.000 hjemmesider. Det ville klæde TDC/Wannafind/Unoeuro, at oplyse om dette. Ad 2: Hmm...[quote]Men det var ikke til at se præcist hvilke IP-numre, trafikken kom fra[/quote] Nåh - så man kan ikke se hvilke IP adresser der er origin? Jo, som tidligere nævnt (i andre indlæg), så er det umuligt at spore oprindelsen, hvis DDoS attackes er fabrikeret ved injection af <iframes> eller <scripts>, men hvis det er den slags, så burde der være en del information i referrer (tror jeg nok, gider ikke teste). Men hvorom alting er, så vil jeg gætte på, at disse ting vil tiltage. Nu får vi jo sikkert aldrig en forklaring/årsag jfr. pkt 1, men jeg vil gætte på, at 'visse lande' er sure på NATO, og den nye sekretærs tilhørsforhold til Danmark.

Næh, men det er en afvejning af omkostninger kontra risikoen for DDos angreb.

[quote]Dem, der har adgang til log's osv, burde vide om target var en enkelt hjemmeside, eller blot de angiveligt 130.000 hjemmesider.[/quote]Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.

[quote] Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb? "60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb. [/quote] Dem kommer jo faktisk helt an på hvor stor kapacitet de har. ;-) Hvis de kun har 2 gbit/s så er 60-70% overkapacitet bestemt ikke meget, har de derimod hat samlet 200 gbit/s så er 60-70% overkapacitet jo en hel del mere.

Nu læser jeg ofte 180grader og liberator.dk og begge er ofte udsat for driftsforstyrrelser. Jeg ved også at begge projekter er low budget, men stærkt provokerende for specielt venstrefløjen. Derfor vil det da ikke undre mig om en af disse eller begge var target.

[quote]Hvis de kun har 2 gbit/s så er 60-70% overkapacitet bestemt ikke meget, har de derimod hat samlet 200 gbit/s så er 60-70% overkapacitet jo en hel del mere.[/quote] De har 2 x 400 Mbit-forbindelse, ifølge deres webside. vh. Jesper Version2

[quote]Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.[/quote] Men ikke desto mindre kunne man måske se et mønster udfra logfilerne og på den vis give et bud på om det var rettet mod bestemte domænenavne

Hvordan kan man vide at de med sikkerhed ikke var målet, når man ikke kan se hvilken side det drejer sig om.

Det kommer meget an på typen af angreb og formålet. Hvis jeg umidelbart skulle designe et DoS-angreb ville det nærmere være en tilvalgsmulighed at kunne se specifikt hvilket domænenavn jeg angreb end et fravalg. Og hvis der er tale om et angreb der peger mod en bestemt kunde, vil jeg mene at det mest ansvarlige vil være at tage kontakt til de konkrete kunder fremfor at føre sig frem i pressen.

Zitcom har 2GBit redundant forbindelse til deres serverpark. Hjemmesiden er nu rettet. Grundet angrebets natur var det ikke muligt at se hvilken hjemmeside der var tale om, kun hvilken server. Angrebet var rettet direkte mod serverens IP adresse, og ikke mod en konkret hjemmeside. Ovenstående nævnte domæner har med sikkerhed ikke været målet, da de ikke ligger på nævnte server. (Er ansat hos Zitcom/Wannafind)

Til Kjeld Flarup Christensen. Hver server hoster en eller flere kunder/domæner/..., så det er bare at slå op hvilke servere der bliver angrebet og hvilke domæner der hører til den. /Andrew

[quote]Angrebet var rettet direkte mod serverens IP adresse, og ikke mod en konkret hjemmeside[/quote] Det var rart, bare at få en lille information. Selvom det kun var een server, så var både undertegnede og en kammerat belastet af manglende tilgængelighed, uagtet vi ligger på hver sin server (UnoEuro), så det gik ud over hele skidtet. Hvis du fortæller hvilken IP adresse, der var target, så kan vi selv tage en snak med robtex: http://www.robtex.com/ip/ og vurdere hvad baggrunden skulle være. Men det er måske en statshemmelighed hvilken IP adresse, der var target? Hvis ja - hvorfor?

Self. vil alt blive utilgængelig når der ingen båndbredde er tilbage til andet... Kommer jo ingen ved hvilken IP/Server der et tale om! Det er op til Wannafind/Zitcom at finde ud af. Tror kun der vil blive ballade, hvis andre bliver indblandet i dette. Og man finder alså bare ikke grunden ved at glo på folks sider!

[quote]Self. vil alt blive utilgængelig når der ingen båndbredde er tilbage til andet.[/quote] Hvis man har 2 Gbps linier, burde requests til een server ikke kunne lægge hele netværket ned. Det er muligt du synes, det ikke kommer nogen ved hvad der skete, men jeg havde nogle opdateringer/tests, jeg var i gang med, og var faktisk p*sse over ingenting virkede. Jeg vil da gerne vise hvad årsagen var til, at jeg skulle spilde min tid. Og det er da netop relevant i de her tider, hvor man snakker cyberwar/cyberterror og govCERT. Hvis man ikke ved hvad angrebet gik ud på, ved man heller ikke hvor, eller med hvilken grund, det næste angreb kommer. Jeg vil da ikke udelukke, at DK er kommet i 'søgelyset' da vi har en fremtrædende position i NATO, og vi måske kan forvente flere af den slags i fremtiden.

[quote] Hvis man har 2 Gbps linier, burde requests til een server ikke kunne lægge hele netværket ned. [/quote] Hvis man bare sørger for at der sendes mere end 2x2 gbps data til serveren så maxer linjerne ud for hele datacenteret. Data behøver jo ikke nødvendigvis at nå så langt som til serveren og levere data den anden vej igen.

[quote]Hvis man bare sørger for at der sendes mere end 2x2 gbps data til serveren så maxer linjerne ud for hele datacenteret[/quote] Så er der, i min optik, noget 'inherently wrong' med konceptet. Hvis man kan lægge et helt datacenter ned ved at lave massive requests til en enkelt IP, hvordan skal det så gå med f.eks. Statens IT? I virkeligheden er jeg sådan set ligeglad med wannafind/unoeuro, men impulserne er afspejlet af denne artikel: http://www.version2.dk/artikel/12127-hackere-skal-forsvare-danmark-mod-cyberterror hvor man angiveligt vil etablere et 'cyberforsvar'. At have datacentre, der kan lægges ned ved at floode en enkelt IP, er ikke ret meget beskyttelse (IMO).

Det er underligt at de ikke forstår budskabet fra alverdens hackere derude. Jeg kan finde rigtigt mange eksempler på at wannafind web servere gang på gang er blevet lammetævet af forskellige hacker grupper, hvilket er meget bekymrende. Især for de som er kunder hos wannafind. Der er stadig en del af deres webservere som er hacket. Tjek det her eksemple. Your dagcentret.dk A record is: dagcentret.dk. A 80.196.101.30 [TTL=3600] dagcentret.dk Information related to '80.196.101.0 - 80.196.101.255' inetnum: 80.196.101.0 - 80.196.101.255 netname: ZITCOM-NET descr: Zitcom A/S descr: Postbox 485 descr: 8660 Skanderborg HACKED BY MUSILM HACKERS http://zone-h.org/mirror/id/9486011 http://zone-h.org/mirror/id/8857344 Mit gæt er at hele deres net er Owend by hackers og de bestemmer lige nu over deres wannafind net. Det er langt fra første gang jeg ser at ZITCOM-NET (wannafind)er owend. Hver gang en hacker kan skrive filer til en webserver, er det princippet muligt at bruge webserveren til hvad som helst, og ændre på kode på alles websites. Dette er der ikke mange webmastere der ligger mærke til. Eller bare have en keylogger liggende og rulle så alle der logger ind via deres FTP eller på RDP bliver nappet. Kunne godt tænke mig at se om der var en fakegina installeret på nogel af deres systemer. Samme problemer har deres SQL servere, der er også RDP åben til dem. "Hver gang man ignorer sikkerhed deployer "GUD" et BOTnet i ens netværk" Jeg syntes at wannafind skulle gå igang med en stor gang selvransagelse. Serverne skal reinstalleres (IKKE BACKUP) og alt koden på de forskellige kundesites skal gå igennem med en tættekam. Og ALLE Passwords skal resettes efter endt reinstallation. Så skal der ikke vær RDP åben til alle deres webservere, det er fuldstændigt hul i hovedet. og slet ikke når man på deres website giver hackerne mulighed for fulde server lister.. Følgende liste er fra deres eget site. backup1.zitcom.dk backup2.zitcom.dk backup3.zitcom.dk backup4.zitcom.dk backup5.zitcom.dk backup6.zitcom.dk backup7.zitcom.dk backup8.zitcom.dk backup9.zitcom.dk backup10.zitcom.dk betaling.wannafind.dk disk1.hosteddisk.nu einformatik.dk linux1.hostedshop.dk linux1.wannafind.dk linux2.wannafind.dk linux3.wannafind.dk linux4.wannafind.dk linux5.wannafind.dk linux6.wannafind.dk linux7.wannafind.dk linux8.wannafind.dk linux9.wannafind.dk linux10.wannafind.dk linux11.wannafind.dk linux12.wannafind.dk linux13.wannafind.dk linux14.wannafind.dk linux15.wannafind.dk linux16.wannafind.dk linux17.wannafind.dk mail1.wannafind.dk mail2.wannafind.dk mail3.wannafind.dk mail4.wannafind.dk mail5.wannafind.dk mail6.wannafind.dk mail7.wannafind.dk mail8.wannafind.dk mail9.wannafind.dk mail10.wannafind.dk mail11.wannafind.dk mail12.wannafind.dk mail13.wannafind.dk mail15.wannafind.dk mail16.wannafind.dk mail18.wannafind.dk mssql1.wannafind.dk mssql2.wannafind.dk mssql3.wannafind.dk mssql4.wannafind.dk mysql1.hostedshop.dk mysql1.wannafind.dk mysql2.wannafind.dk mysql3.wannafind.dk mysql4.wannafind.dk mysql5.wannafind.dk mysql6.wannafind.dk mysql7.wannafind.dk mysql8.wannafind.dk mysql9.wannafind.dk mysql10.wannafind.dk mysql11.wannafind.dk ns.wannafind.dk ns2.wannafind.dk ns2sec.wannafind.dk sms.wannafind.dk storage21.zitcom.dk web1.wannafind.dk web2.wannafind.dk web3.wannafind.dk web4.wannafind.dk web5.wannafind.dk web6.wannafind.dk web7.wannafind.dk web8.wannafind.dk web9.wannafind.dk web10.wannafind.dk web11.wannafind.dk web12.wannafind.dk web13.wannafind.dk web14.wannafind.dk web15.wannafind.dk web16.wannafind.dk web17.wannafind.dk web18.wannafind.dk web19.wannafind.dk - denne er stadig hacket - dagcentret.dk web20.wannafind.dk web21.wannafind.dk web22.wannafind.dk web23.wannafind.dk web24.wannafind.dk web25.wannafind.dk web26.wannafind.dk web27.wannafind.dk web28.wannafind.dk web29.wannafind.dk web30.wannafind.dk web31.wannafind.dk web80.wannafind.dk web98.wannafind.dk web99.wannafind.dk web100.wannafind.dk web101.wannafind.dk web102.wannafind.dk webexchange.dk webexchange.nu Jeg syntes at wannafind har sig et stort problem. og mon ikke det seneste DOS er et vink fra måske en hacker gruppe til en anden ?

Bliver lige nød til at skrive ind igen. Sjovt nok de dag de gik ned som var d.18-9-2009 der bliv de sørmer hacket igen igen.... Tjek denne her ud.. som er endnu en ny hacker gruppe der får adgang til deres net. vianetshop.dk Nslookup - 80.160.71.95 % Information related to '80.160.71.0 - 80.160.71.255' inetnum: 80.160.71.0 - 80.160.71.255 netname: ZITCOM-NET descr: Zitcom A/S descr: Postbox 485 descr: 8660 Skanderborg Hackergruppe - 1923Turk http://zone-h.org/mirror/id/9635645 URL direket til det hacket site - http://www.vianetshop.dk///Portals/0/index.txt Jeg har aldrig set et firma som wannafind være så fuld af så mange dårlige undskyldninger. Det lader til at TDC hele tiden skal have en del af skylden. Hvis jeg var ejer startede, jeg med at finde en ny mand som sikkerheds ansvarlig. Håber snart der er nogen der gør noget ved wannafind. Det kunne evt være deres sikkerheds firma som kiggede dem igennem. Tror det var FortConsult ! Som wannafind skriver om inden på deres site. Wannafind er forresten også PCI complient eller er de ?????

[quote] At have datacentre, der kan lægges ned ved at floode en enkelt IP, er ikke ret meget beskyttelse (IMO). [/quote] Det eneste man kan gøre er vel overordenet at filtrere trafik (hvis man kan identificere dårlig fra god trafik), blokere for angribende ip'er hvis (hvis man kan identificere disse) eller at null route den ip der angribes Men hvis man gør ovenstående i sit eget datacenter så er det jo lige fedt hvis det er indagående trafk der maxer linjerne ud, så derfor skal man kunne lave aftaler så det sker højere oppe i fødekæden, ligesom Wannafind i dette tilfælde kontaktede TDC som må være dem der leverer Wannafinds internet forbindelser. Med hensyn til Statens IT og beskyttelse af denne imod DDOS, så var der jo faktisk en artikel der på sin vis omhandlede dette emne for et par dage siden, dog uden at Statens IT vist direkte blev nævnt: http://www.version2.dk/artikel/12139-direktoer-internet-exchanges-er-bolvaerk-mod-cyberterror?highlight=exchange

Hej Lenny. Jeg ved ikke om du har styr på hvordan shared hosting virker, det virker ihvertfald slet ikke sådan. Jeg vil anbefale dig at læse lidt op på det inden du begynder at lege ekspert. Fordi en kunde er blevet hacket så er det ikke nødvendigvis hele serveren der er "Owend by hackers". Mht RDP, hvilke servere har du så adgang til via RDP? Jeg tog bare et par tilfældige ip'er fra din liste hvor jeg ihvertfald ikke fik noget svar. Og det giver ikke særlig god mening med keylogger og login via ftp vel? [quote]Jeg syntes at wannafind har sig et stort problem. og mon ikke det seneste DOS er et vink fra måske en hacker gruppe til en anden ?[/quote] ... ehhh hvad?

Hey RDP kan ske til alle Webservere. web1.wannafind.dk Ingen problemer web2.wannafind.dk Ingen problemer web3.wannafind.dk Ingen problemer web4.wannafind.dk Ingen problemer web5.wannafind.dk Ingen problemer web6.wannafind.dk Ingen problemer web7.wannafind.dk Ingen problemer web8.wannafind.dk Ingen problemer web9.wannafind.dk Ingen problemer web10.wannafind.dk Ingen problemer web11.wannafind.dk Ingen problemer web12.wannafind.dk Ingen problemer web13.wannafind.dk Ingen problemer web14.wannafind.dk Ingen problemer web15.wannafind.dk Ingen problemer web16.wannafind.dk Ingen problemer web17.wannafind.dk Ingen problemer web18.wannafind.dk Ingen problemer web19.wannafind.dk Ingen problemer web20.wannafind.dk Ingen problemer web21.wannafind.dk Ingen problemer web22.wannafind.dk Ingen problemer web23.wannafind.dk Ingen problemer web24.wannafind.dk Ingen problemer web25.wannafind.dk Ingen problemer web26.wannafind.dk Ingen problemer web27.wannafind.dk Ingen problemer web28.wannafind.dk Ingen problemer web29.wannafind.dk Ingen problemer web30.wannafind.dk Ingen problemer web31.wannafind.dk Ingen problemer web80.wannafind.dk Ingen problemer web98.wannafind.dk Ingen problemer web99.wannafind.dk Ingen problemer web100.wannafind.dk Ingen problemer web101.wannafind.dk Ingen problemer web102.wannafind.dk Så er der lidt på SQL'erne her. mssql1.wannafind.dk Ingen problemer mssql2.wannafind.dk Ingen problemer mssql3.wannafind.dk Ingen problemer mssql4.wannafind.dk Og owend by hackers. Næ du har ret det behøver ikke være hele serveren Men det modsatte kan heller ikke umidelbart modsiges. Det kan heller ikke ummidelbart modsigeat at serveren ikke bliver brugt til island hopping. Det kan du sætte dig ned og læse lidt op på.

Jeg har haft lidt at gøre med noget hosting på en af Wannafinds Linux servere, og hvis deres sikkerhed på alle deres servere bare minder en smule om den server vi hoster på, så står det dårligt til. Vi har mulighed for at læse andre kunders data, rette i deres filer, eksevere scripts og uploade programmer og køre dem. Spørg mig forresten ikke om hvorfor vi stadigvæk er hostet hos dem.

[quote]Men hvis man gør ovenstående i sit eget datacenter så er det jo lige fedt hvis det er indagående trafk der maxer linjerne ud[/quote] Det er nok den der jeg ikke rigtig forstår. Jeg så f.eks. engang, at et tysk datacenter havde 100Mbps på hver server, som formentlig er rigeligt i de fleste tilfælde. Her forestiller jeg mig, at man kun kan lægge disse 100Mbps ned, altså 1/20 af den samlede båndbredde. Men så er spørgsmålet om man kan lægge alle 2 Gpbs ned alene ved antallet af (forgæves) forbindelsesforsøg ?

[quote]Vi har mulighed for at læse andre kunders data, rette i deres filer, eksevere scripts og uploade programmer og køre dem[/quote] "Det lyder fanme uhyggeligt du". Hvis i kan læse deres filer, så kan i vel også finde deres databaseoplysninger incl bruger/passwords? Hvis i kan læse deres, kan de vel også læse jeres?

[quote]Hackergruppe - 1923Turk http://zone-h.org/mirror/id/9635645 URL direket til det hacket site - http://www.vianetshop.dk///Portals/...[/quote] Uff - og så en site med webshops og betalinger! Nu er det godt nok kun en .txt fil, men hvis man kan plante sådan en, hvad man man så ikke? Bortset fra det, så burde man vil ikke køre den slags på tilfældig shared hosting. Hvis jeg var vianetshop ville jeg nok bore lidt i hvordan denne fil er landet der.

[quote]Hvis i kan læse deres filer, så kan i vel også finde deres databaseoplysninger incl bruger/passwords? Hvis i kan læse deres, kan de vel også læse jeres[/quote] Begge dele er korrekt. Men nu er det ikke noget særlig vigtigt, hemmeligt eller persondatafølsomt der bliver gemt på vores hjemmeside. Og vi sørger naturligvis for backup, hvis det skulle gå helt galt. Men hvis man har adgang til at køre scripts og andet, så har man også mulighed for at angribe indefra for så at bruge af den tilgængelige båndbredde.

Hey "Jeg har ikke noget vigtigt hackeren ikke må se" ..jaaa Syntes at jeg har hørt den før et eller andet sted ? Hvad nu hvis hackeren bare bruger jeres site til at injecte kode på. Så har har han sit egen lille Drive-By attack site som jo er jeres. Det kunne være i form af en lille Iframe. Nu er det jeres site der bliver misbrugt til at hacke besøgende på jeres site og derved lave hackerens BOTNet lidt størrer. Backup.... Ja vil du så bare restore din backup ? Det er jo den fejl jeg oftest ser at mange gør, så er problemet jo løst ??? Eller nej. Du har hermed genskabt det sikkerhedshul som hackeren en gang har misbrugt. Næste gang er han måske ikke så "flink" en han vil efterlade tydelige spor på jeres site. Og er det forresten kun backup af sitet ? Hvis han kunne ligge kode på jeres site, hvem siger så ikke at han også kunne det på den underlæggende server ? Hvem bestemmer så over serveren ? Kan han nu bruge den til Island hopping videre rundet på wannafind's Net ?

RDP, fair nok, jeg må have taget nogle af deres mysql og lign servere da jeg testede. Det kan vi godt blive enige om måske ikke er den fedeste løsning. [quote] Og owend by hackers. Næ du har ret det behøver ikke være hele serveren Men det modsatte kan heller ikke umidelbart modsiges. Det kan heller ikke ummidelbart modsigeat at serveren ikke bliver brugt til island hopping.[/quote] Well, der er heller ikke ligefrem noget der underbygger din påstand. Det plejer at være uendeligt meget nemmere at lave noget sql-injection på et site end at hacke sig adgang til en server. [quote]Kan han nu bruge den til Island hopping videre rundet på wannafind's Net ?[/quote] Han får ikke på magisk vis flere rettigheder end ejeren af sitet har. Så kan hackeren præcis det samme som hvis han selv gik ind og oprettede et webhotel.

Hey Nop intet i det her er magi. Det bliver det kun hvis hackeren er dygtig nok. Men begrebet privilege escalation er bestemt ikke nyt, og slet ikke på en windows 2000 server. Og vi er hurtigt enige om at han skal lave bryde ud af de miljø han befinder sig i. en igen er han dygtig nok gør han det også. Så længe han kan crafet filer på systemet burde der være en stor risiko for at det sker. Og hvordan vil du hacke et site hvis der ikke er bagved liggende SQL servere ? Der kan du kun benytte kendte / ikke kendte sårbarheder i applikationer der facer internettet. Så er det jo op til exploitet hvad det giver af rettigheder. Eks har de sårbare PHP versioner kørende hvor exploit kode kan hentes på nettet. Så er det vel ikke nødvendigt med en gang SQL injection. Dog vil jeg lige tilføje at windows 2000 serverne sagtens kan være hærdet op Så selv de rigtigt dygtige ville opgive meget hurtigt. Det havede jeg nok valgt at gøre :-) Så havede bla. ping, rdp og FTP IKKE ligefrem været tilgængeligt på serverne. Det var alt for nu og tak for opmærksomheden. Men vi ses igen hvis wannafind bliver klasket igen igen. Netcowboy.dk

[quote]Han får ikke på magisk vis flere rettigheder end ejeren af sitet har. Så kan hackeren præcis det samme som hvis han selv gik ind og oprettede et webhotel.[/quote] Jeg vil nok tro, at hvis man kan lave en shell via eks. sårbare PHP applikationer, så opnår man samme rettigheder som den bruger [b]serveren[/b] kører under, og dermed adgang til hele webroot og nedefter (hvis ikke mere).

Som kunde hos one.com / B-one er det frustrerende at tingene ikke fungere. For anden gang inden for kort tid virker deres besøgs-statistikker ikke. Sidst henvendte jeg mig til supporten og fik at vide de liiige havde lavet en opgradering, men det tog dem 2-3 uger før det virkede. Igen før Jul virkede det ikke igen - fra den 18. dec. Men det gode julehumør er nu ved at være brugt op - igen er der gået 3 uger. Og svarret fra supporten er: at jeg kan da klage ... Har I hørt noget andet om dem eller er det bare os som er uheldige?

Hvad har dette med angrebet på Wannafind at gøre? Og Google har et værktøj, du GRATIS kan bruge på din side!