Heftigt DDoS-angreb tvang dansk hostingfirma i knæ

Heldigvis var det om aftenen og natten, hvor der ikke er så mange på nettet.

Det er jo også en holdning at have. Men så ved jeg da det om Zitcoms prioriteringer.
Hvis vores webhoteller var offline fra kl. 20 og 4 timer frem tror jeg nok vi ville blive mindst lige så upopulære som hvis det var fra kl. 06 og 4 timer frem...

Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb?

"60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb.

Næh, men det er en afvejning af omkostninger kontra risikoen for DDos angreb.

Dem, der har adgang til log's osv, burde vide om target var en enkelt hjemmeside, eller blot de angiveligt 130.000 hjemmesider.

Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.

Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb? "60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb.

Dem kommer jo faktisk helt an på hvor stor kapacitet de har. ;-)

Hvis de kun har 2 gbit/s så er 60-70% overkapacitet bestemt ikke meget, har de derimod hat samlet 200 gbit/s så er 60-70% overkapacitet jo en hel del mere.

Nu læser jeg ofte 180grader og liberator.dk og begge er ofte udsat for driftsforstyrrelser.

Jeg ved også at begge projekter er low budget, men stærkt provokerende for specielt venstrefløjen.

Derfor vil det da ikke undre mig om en af disse eller begge var target.

Hvis de kun har 2 gbit/s så er 60-70% overkapacitet bestemt ikke meget, har de derimod hat samlet 200 gbit/s så er 60-70% overkapacitet jo en hel del mere.

De har 2 x 400 Mbit-forbindelse, ifølge deres webside.

vh.

Jesper
Version2

Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.

Men ikke desto mindre kunne man måske se et mønster udfra logfilerne og på den vis give et bud på om det var rettet mod bestemte domænenavne

Hvordan kan man vide at de med sikkerhed ikke var målet, når man ikke kan se hvilken side det drejer sig om.

Det kommer meget an på typen af angreb og formålet.

Hvis jeg umidelbart skulle designe et DoS-angreb ville det nærmere være en tilvalgsmulighed at kunne se specifikt hvilket domænenavn jeg angreb end et fravalg.

Og hvis der er tale om et angreb der peger mod en bestemt kunde, vil jeg mene at det mest ansvarlige vil være at tage kontakt til de konkrete kunder fremfor at føre sig frem i pressen.

Zitcom har 2GBit redundant forbindelse til deres serverpark. Hjemmesiden er nu rettet.

Grundet angrebets natur var det ikke muligt at se hvilken hjemmeside der var tale om, kun hvilken server. Angrebet var rettet direkte mod serverens IP adresse, og ikke mod en konkret hjemmeside. Ovenstående nævnte domæner har med sikkerhed ikke været målet, da de ikke ligger på nævnte server.

(Er ansat hos Zitcom/Wannafind)

Til Kjeld Flarup Christensen.

Hver server hoster en eller flere kunder/domæner/..., så det er bare at slå op hvilke servere der bliver angrebet og hvilke domæner der hører til den.

/Andrew

Self. vil alt blive utilgængelig når der ingen båndbredde er tilbage til andet...

Kommer jo ingen ved hvilken IP/Server der et tale om!
Det er op til Wannafind/Zitcom at finde ud af.
Tror kun der vil blive ballade, hvis andre bliver indblandet i dette.
Og man finder alså bare ikke grunden ved at glo på folks sider!

Hvis man har 2 Gbps linier, burde requests til een server ikke kunne lægge hele netværket ned.

Hvis man bare sørger for at der sendes mere end 2x2 gbps data til serveren så maxer linjerne ud for hele datacenteret. Data behøver jo ikke nødvendigvis at nå så langt som til serveren og levere data den anden vej igen.

Det er underligt at de ikke forstår budskabet fra alverdens hackere derude.

Jeg kan finde rigtigt mange eksempler på at wannafind web servere gang på gang er blevet lammetævet af forskellige hacker grupper, hvilket er meget bekymrende. Især for de som er kunder hos wannafind. Der er stadig en del af deres webservere som er hacket.

Tjek det her eksemple.

Your dagcentret.dk A record is:
dagcentret.dk. A 80.196.101.30 [TTL=3600]

dagcentret.dk
Information related to '80.196.101.0 - 80.196.101.255'

inetnum: 80.196.101.0 - 80.196.101.255
netname: ZITCOM-NET
descr: Zitcom A/S
descr: Postbox 485
descr: 8660 Skanderborg

HACKED BY MUSILM HACKERS
http://zone-h.org/mirror/id/9486011

http://zone-h.org/mirror/id/8857344

Mit gæt er at hele deres net er Owend by hackers og de bestemmer lige nu over deres wannafind net. Det er langt fra første gang jeg ser at ZITCOM-NET (wannafind)er owend.

Hver gang en hacker kan skrive filer til en webserver, er det princippet muligt at bruge webserveren til hvad som helst, og ændre på kode på alles websites. Dette er der ikke mange webmastere der ligger mærke til. Eller bare have en keylogger liggende og rulle så alle der logger ind via deres FTP eller på RDP bliver nappet. Kunne godt tænke mig at se om der var en fakegina installeret på nogel af deres systemer.

Samme problemer har deres SQL servere, der er også RDP åben til dem.

"Hver gang man ignorer sikkerhed deployer "GUD" et BOTnet i ens netværk"

Jeg syntes at wannafind skulle gå igang med en stor gang selvransagelse.

Serverne skal reinstalleres (IKKE BACKUP)
og alt koden på de forskellige kundesites skal gå igennem med en tættekam.
Og ALLE Passwords skal resettes efter endt reinstallation.

Så skal der ikke vær RDP åben til alle deres webservere, det er fuldstændigt hul i hovedet. og slet ikke når man på deres website giver hackerne mulighed for fulde server lister.. Følgende liste er fra deres eget site.

backup1.zitcom.dk
backup2.zitcom.dk
backup3.zitcom.dk
backup4.zitcom.dk
backup5.zitcom.dk
backup6.zitcom.dk
backup7.zitcom.dk
backup8.zitcom.dk
backup9.zitcom.dk
backup10.zitcom.dk
betaling.wannafind.dk
disk1.hosteddisk.nu
einformatik.dk
linux1.hostedshop.dk
linux1.wannafind.dk
linux2.wannafind.dk
linux3.wannafind.dk
linux4.wannafind.dk
linux5.wannafind.dk
linux6.wannafind.dk
linux7.wannafind.dk
linux8.wannafind.dk
linux9.wannafind.dk
linux10.wannafind.dk
linux11.wannafind.dk
linux12.wannafind.dk
linux13.wannafind.dk
linux14.wannafind.dk
linux15.wannafind.dk
linux16.wannafind.dk
linux17.wannafind.dk
mail1.wannafind.dk
mail2.wannafind.dk
mail3.wannafind.dk
mail4.wannafind.dk
mail5.wannafind.dk
mail6.wannafind.dk
mail7.wannafind.dk
mail8.wannafind.dk
mail9.wannafind.dk
mail10.wannafind.dk
mail11.wannafind.dk
mail12.wannafind.dk
mail13.wannafind.dk
mail15.wannafind.dk
mail16.wannafind.dk
mail18.wannafind.dk
mssql1.wannafind.dk
mssql2.wannafind.dk
mssql3.wannafind.dk
mssql4.wannafind.dk
mysql1.hostedshop.dk
mysql1.wannafind.dk
mysql2.wannafind.dk
mysql3.wannafind.dk
mysql4.wannafind.dk
mysql5.wannafind.dk
mysql6.wannafind.dk
mysql7.wannafind.dk
mysql8.wannafind.dk
mysql9.wannafind.dk
mysql10.wannafind.dk
mysql11.wannafind.dk
ns.wannafind.dk
ns2.wannafind.dk
ns2sec.wannafind.dk
sms.wannafind.dk
storage21.zitcom.dk
web1.wannafind.dk
web2.wannafind.dk
web3.wannafind.dk
web4.wannafind.dk
web5.wannafind.dk
web6.wannafind.dk
web7.wannafind.dk
web8.wannafind.dk
web9.wannafind.dk
web10.wannafind.dk
web11.wannafind.dk
web12.wannafind.dk
web13.wannafind.dk
web14.wannafind.dk
web15.wannafind.dk
web16.wannafind.dk
web17.wannafind.dk
web18.wannafind.dk
web19.wannafind.dk - denne er stadig hacket - dagcentret.dk
web20.wannafind.dk
web21.wannafind.dk
web22.wannafind.dk
web23.wannafind.dk
web24.wannafind.dk
web25.wannafind.dk
web26.wannafind.dk
web27.wannafind.dk
web28.wannafind.dk
web29.wannafind.dk
web30.wannafind.dk
web31.wannafind.dk
web80.wannafind.dk
web98.wannafind.dk
web99.wannafind.dk
web100.wannafind.dk
web101.wannafind.dk
web102.wannafind.dk
webexchange.dk
webexchange.nu

Jeg syntes at wannafind har sig et stort problem. og mon ikke det seneste DOS er et vink fra måske en hacker gruppe til en anden ?

Bliver lige nød til at skrive ind igen.

Sjovt nok de dag de gik ned som var d.18-9-2009
der bliv de sørmer hacket igen igen....

Tjek denne her ud.. som er endnu en ny hacker gruppe der får adgang til deres net.

vianetshop.dk
Nslookup - 80.160.71.95

% Information related to '80.160.71.0 - 80.160.71.255'

inetnum: 80.160.71.0 - 80.160.71.255
netname: ZITCOM-NET
descr: Zitcom A/S
descr: Postbox 485
descr: 8660 Skanderborg

Hackergruppe - 1923Turk
http://zone-h.org/mirror/id/9635645

URL direket til det hacket site - http://www.vianetshop.dk///Portals/0/index.txt

Jeg har aldrig set et firma som wannafind være så fuld af så mange dårlige undskyldninger. Det lader til at TDC hele tiden skal have en del af skylden.

Hvis jeg var ejer startede, jeg med at finde en ny mand som sikkerheds ansvarlig.

Håber snart der er nogen der gør noget ved wannafind. Det kunne evt være deres sikkerheds firma som kiggede dem igennem. Tror det var FortConsult ! Som wannafind skriver om inden på deres site. Wannafind er forresten også PCI complient eller er de ?????

At have datacentre, der kan lægges ned ved at floode en enkelt IP, er ikke ret meget beskyttelse (IMO).

Det eneste man kan gøre er vel overordenet at filtrere trafik (hvis man kan identificere dårlig fra god trafik), blokere for angribende ip'er hvis (hvis man kan identificere disse) eller at null route den ip der angribes

Men hvis man gør ovenstående i sit eget datacenter så er det jo lige fedt hvis det er indagående trafk der maxer linjerne ud, så derfor skal man kunne lave aftaler så det sker højere oppe i fødekæden, ligesom Wannafind i dette tilfælde kontaktede TDC som må være dem der leverer Wannafinds internet forbindelser.

Med hensyn til Statens IT og beskyttelse af denne imod DDOS, så var der jo faktisk en artikel der på sin vis omhandlede dette emne for et par dage siden, dog uden at Statens IT vist direkte blev nævnt:
http://www.version2.dk/artikel/12139-direktoer-internet-exchanges-er-bol...

Hej Lenny.

Jeg ved ikke om du har styr på hvordan shared hosting virker, det virker ihvertfald slet ikke sådan. Jeg vil anbefale dig at læse lidt op på det inden du begynder at lege ekspert. Fordi en kunde er blevet hacket så er det ikke nødvendigvis hele serveren der er "Owend by hackers".

Mht RDP, hvilke servere har du så adgang til via RDP? Jeg tog bare et par tilfældige ip'er fra din liste hvor jeg ihvertfald ikke fik noget svar.

Og det giver ikke særlig god mening med keylogger og login via ftp vel?

Jeg syntes at wannafind har sig et stort problem. og mon ikke det seneste DOS er et vink fra måske en hacker gruppe til en anden ?

... ehhh hvad?

Hey
RDP kan ske til alle Webservere.

web1.wannafind.dk Ingen problemer
web2.wannafind.dk Ingen problemer
web3.wannafind.dk Ingen problemer
web4.wannafind.dk Ingen problemer
web5.wannafind.dk Ingen problemer
web6.wannafind.dk Ingen problemer
web7.wannafind.dk Ingen problemer
web8.wannafind.dk Ingen problemer
web9.wannafind.dk Ingen problemer
web10.wannafind.dk Ingen problemer
web11.wannafind.dk Ingen problemer
web12.wannafind.dk Ingen problemer
web13.wannafind.dk Ingen problemer
web14.wannafind.dk Ingen problemer
web15.wannafind.dk Ingen problemer
web16.wannafind.dk Ingen problemer
web17.wannafind.dk Ingen problemer
web18.wannafind.dk Ingen problemer
web19.wannafind.dk Ingen problemer
web20.wannafind.dk Ingen problemer
web21.wannafind.dk Ingen problemer
web22.wannafind.dk Ingen problemer
web23.wannafind.dk Ingen problemer
web24.wannafind.dk Ingen problemer
web25.wannafind.dk Ingen problemer
web26.wannafind.dk Ingen problemer
web27.wannafind.dk Ingen problemer
web28.wannafind.dk Ingen problemer
web29.wannafind.dk Ingen problemer
web30.wannafind.dk Ingen problemer
web31.wannafind.dk Ingen problemer
web80.wannafind.dk Ingen problemer
web98.wannafind.dk Ingen problemer
web99.wannafind.dk Ingen problemer
web100.wannafind.dk Ingen problemer
web101.wannafind.dk Ingen problemer
web102.wannafind.dk

Så er der lidt på SQL'erne her.
mssql1.wannafind.dk Ingen problemer
mssql2.wannafind.dk Ingen problemer
mssql3.wannafind.dk Ingen problemer
mssql4.wannafind.dk

Og owend by hackers.
Næ du har ret det behøver ikke være hele serveren Men det modsatte kan heller ikke umidelbart modsiges. Det kan heller ikke ummidelbart modsigeat at serveren ikke bliver brugt til island hopping.

Det kan du sætte dig ned og læse lidt op på.

Jeg har haft lidt at gøre med noget hosting på en af Wannafinds Linux servere, og hvis deres sikkerhed på alle deres servere bare minder en smule om den server vi hoster på, så står det dårligt til.

Vi har mulighed for at læse andre kunders data, rette i deres filer, eksevere scripts og uploade programmer og køre dem.

Spørg mig forresten ikke om hvorfor vi stadigvæk er hostet hos dem.

Hvis i kan læse deres filer, så kan i vel også finde deres databaseoplysninger incl bruger/passwords? Hvis i kan læse deres, kan de vel også læse jeres

Begge dele er korrekt. Men nu er det ikke noget særlig vigtigt, hemmeligt eller persondatafølsomt der bliver gemt på vores hjemmeside. Og vi sørger naturligvis for backup, hvis det skulle gå helt galt.

Men hvis man har adgang til at køre scripts og andet, så har man også mulighed for at angribe indefra for så at bruge af den tilgængelige båndbredde.

Hey
"Jeg har ikke noget vigtigt hackeren ikke må se" ..jaaa Syntes at jeg har hørt den før et eller andet sted ?

Hvad nu hvis hackeren bare bruger jeres site til at injecte kode på. Så har har han sit egen lille Drive-By attack site som jo er jeres. Det kunne være i form af en lille Iframe. Nu er det jeres site der bliver misbrugt til at hacke besøgende på jeres site og derved lave hackerens BOTNet lidt størrer.

Backup.... Ja vil du så bare restore din backup ?
Det er jo den fejl jeg oftest ser at mange gør, så er problemet jo løst ??? Eller nej. Du har hermed genskabt det sikkerhedshul som hackeren en gang har misbrugt. Næste gang er han måske ikke så "flink" en han vil efterlade tydelige spor på jeres site.

Og er det forresten kun backup af sitet ? Hvis han kunne ligge kode på jeres site, hvem siger så ikke at han også kunne det på den underlæggende server ?
Hvem bestemmer så over serveren ? Kan han nu bruge den til Island hopping videre rundet på wannafind's Net ?

RDP, fair nok, jeg må have taget nogle af deres mysql og lign servere da jeg testede. Det kan vi godt blive enige om måske ikke er den fedeste løsning.

Og owend by hackers. Næ du har ret det behøver ikke være hele serveren Men det modsatte kan heller ikke umidelbart modsiges. Det kan heller ikke ummidelbart modsigeat at serveren ikke bliver brugt til island hopping.

Well, der er heller ikke ligefrem noget der underbygger din påstand.
Det plejer at være uendeligt meget nemmere at lave noget sql-injection på et site end at hacke sig adgang til en server.

Kan han nu bruge den til Island hopping videre rundet på wannafind's Net ?

Han får ikke på magisk vis flere rettigheder end ejeren af sitet har. Så kan hackeren præcis det samme som hvis han selv gik ind og oprettede et webhotel.

Hey
Nop intet i det her er magi. Det bliver det kun hvis hackeren er dygtig nok. Men begrebet privilege escalation er bestemt ikke nyt, og slet ikke på en windows 2000 server. Og vi er hurtigt enige om at han skal lave bryde ud af de miljø han befinder sig i. en igen er han dygtig nok gør han det også. Så længe han kan crafet filer på systemet burde der være en stor risiko for at det sker.

Og hvordan vil du hacke et site hvis der ikke er bagved liggende SQL servere ? Der kan du kun benytte kendte / ikke kendte sårbarheder i applikationer der facer internettet. Så er det jo op til exploitet hvad det giver af rettigheder. Eks har de sårbare PHP versioner kørende hvor exploit kode kan hentes på nettet. Så er det vel ikke nødvendigt med en gang SQL injection.

Dog vil jeg lige tilføje at windows 2000 serverne sagtens kan være hærdet op Så selv de rigtigt dygtige ville opgive meget hurtigt. Det havede jeg nok valgt at gøre :-) Så havede bla. ping, rdp og FTP IKKE ligefrem været tilgængeligt på serverne.

Det var alt for nu og tak for opmærksomheden. Men vi ses igen hvis wannafind bliver klasket igen igen.
Netcowboy.dk

Hvad har dette med angrebet på Wannafind at gøre?
Og Google har et værktøj, du GRATIS kan bruge på din side!