У руководства Meetup требуют 300 долларов за отмену мощной DDoS-атаки



    В четверг СЕО Meetup получил странное сообщение по электронной почте, в котором говорилось «Ваш конкурент попросил меня осуществить DDoS-атаку на ваш сайт. Я могу остановить атаку за 300 долларов США. Дайте мне знать, если вы заинтересовались мои предложением». И прежде, чем сообщение было дочитано, сервис действительно стал подвергаться атаке на 8,2 Гбит/сек., что привело к падению.

    Вернуть Meetup к жизни получилось, но только через 24 часа, и то, не очень надолго — работа сервиса была серьезно нарушена. Meetup начал работать в пятницу утром, чтобы снова полечь в субботу днем. В субботу в полночь его подняли, но в воскресенье сервис упал снова. В общем, все это продолжается до сих пор.

    Само собой, всех удивляет то, что сумма, которую требуют атакующие, так невелика — вероятно, продолжительное падение сервиса повлекло за собой значительно большие убытки, плюс затраты на восстановление работоспособности сайта и защиту от DDoS (как видим, не самую эффективную).

    Однако, компании, которые занимаются защитой от DDoS-атак, утверждают, что все это — далеко не новость. Уже давно злоумышленники атакуют, преимущественно, малые и средние сервисы и сайты (например, небольшие сайты интернет-казино), требуя у владельцев таких ресурсов денег взамен отмены атаки. Как видим, ситуация меняется, объектом атаки становятся и крупные сервисы.

    Сама атака достаточно проста — используется особенность NTP-протокола, когда атакующий дает короткий запрос и получает длинный ответ, генерируя, таким образом, большие объемы трафика. Запрос идет, к примеру, на компьютеры, входящие в ботнет. А ответ, большие массивы информации, злоумышленники перенаправляют на атакуемый сервер. Если в ботнете много ПК, то объем «мусорного» трафика получается просто гигантским.

    Сейчас уязвимость потихоньку исправляется, но это весьма продолжительный процесс.

    Поэтому указанный способ атаки до сих пор является весьма актуальным, и злоумышленники используют все это для получения небольших сумм денег с владельцев сервисов типа Meetup. Как уже говорилось выше, многим выгоднее заплатить 300 долларов, чем «лежать» несколько суток, или платить соответствующим анти-DDoS сервисам за защиту.

    Only registered users can participate in poll. Log in, please.

    Интересно, а подвергались ли сайты и сервисы представителей хабрасообщества подобному «кибер-шантажу»?

    Support the author
    Share post

    Similar posts

    Comments 43

      +8
      «Как уже говорилось выше, многим выгоднее заплатить 300 долларов, чем «лежать» несколько суток, или платить соответствующим анти-DDoS сервисам за защиту.»
      А завтра снова 300$, а к праздникам придется уже по 500$ платить(злоумышленникам же подарки нужно друзьям дарить).
        0
        Это дилемма заключенного в почти чистом виде
          +2
          Как можно рассчитывать на честность жуликов?
          +15
          заплатят один раз — потом всю жизнь будут платить «мзду»
            +6
            Атакующие должны просить не единоразовый платёж, а предлагать подписку, например, за 200$ в год)
              0
              Такая подписка от других атакующих не спасёт, так что смысла нет.
              0
              Почему это. Они же отлично понимают, что второй раз никто им не заплатит.
              0
              Подвергались, но DDoS был детский, даже канал не забили. После того как оградили приложение, трафик лился ещё пару суток и потом прекратился.
                0
                >> Уже давно злоумышленники атакуют малые и средние сервисы и сайты

                В данном контексте создается впечатление, что Meetup относится к данной группе.
                  0
                  Да, исправлено, спасибо.
                  0
                  Подвергались. В итоге вкрутили свою «защиту», вроде пока держимся.
                    0
                    Интересно, какую защиту вы «вкрутили» от переполнения канала UDP-amplification трафиком?
                      0
                      От забивания канала нам помогает пачка балансеров на 10Гбит каждый. Но забивание канала это еще не самое притивное: долго так ддосить дороговато, имхо. По 6-10 часов в сутки, может, вливалось.
                      Основной гемморой переварить все прилетающие пакеты и пропустить нужные внутрь. Аппаратные железки мы не пробовали.

                      P.S. Я к тому, что тоже вот так просили смешные суммы за отмену доса. Пошли на принцип, не отвечали им даже.
                    +1
                    Интересно, а подвергались ли сайты и сервисы представителей хабрасообщества подобному «кибер-шантажу»?

                    Один раз угрожали начать атаку, если не дам денег. Письмо проигнорировал, хостера на всякий случай предупредил, но никакой атаки не было. Учитывая, что сайт абсолютно некоммерческий, похоже, что тупо стреляли по площадям и брали на понт — авось кто поведётся.
                      +1
                      А я был частью подобной бот-сети, оставил ненастроенный ntp на машине, смотрящей наружу, чем и воспользовались, было довольно стыдно. Удивился письму от атакуемых, даже по симптомам подсказали в чем скорее всего дело, видимо для них это обычное дело.
                        0
                        Тоже подвергался, но не NTP-amplification, а забивали канал через POST / HTTP/1.1 и кучей срани в body запроса.

                        В конце концов хостеру это надоело и они решили отключать VDS (вот-же слабаки!).
                        Пока закрыл сервис через CloudFlare и на сервер попадает только чистый траффик.
                          –2
                          Закат клиент-серверных рпшений. Добро пожаловвть в мир p2p и свободгого ПО.
                            +1
                            Я работаю в docstoc.com, года два назад нас DDoSили в течение 48 часов с требованиями убрать документ… Просто убрать документ с сайта…
                            • UFO just landed and posted this here
                                +11
                                Чем закончилось? Убрали?
                                  –1
                                  Да, убрали. Оно и понятно, в реальном мире делается то, что лучше для бизнеса. Документ был загружен одним из пользователей, и реально обличал / клеветал одну немецкую компанию.
                                  С точки зрения инженера — веселое время было. Злоумышленники не сразу заявили о себе и выставили требования, и я все выходные питался red bull и 5 hour energy — держали сайт. Эх, все хорошо что хорошо кончается — снятием документа или оплатой $300.
                                  Но после этого случая мы серьезно пересмотрели нашу инфраструктуру, чего и всем советую :)
                                0
                                Тоже был ДДОС лет 7 назад. Какой-то малолетний хакер просил 100 баксов — мол кто-то его пропросил завалить сайт. Сайт работал с перебоями конечно же в связи с этим, но через 2 недели видимо парню это дело наскучило да и он понял что денег не увидит, и в итоге ДДОС сошел не нет. Нормальный ДДоС штука не дешевая, поэтому это лишь вопрос веремени когда он закончится.
                                  +2
                                  > Нормальный ДДоС штука
                                  Вы все еще живете в том году когда был DDoS.
                                  Сейчас накидать пару десятков гигабит стоит начиная от 10 долларов в час.
                                  +1
                                  На месте владельцев я бы предложил атакующему 3000$ в обмен на информацию о том, кто заказал атаку.
                                    +1
                                    Предложение лучше:
                                    за 3000$ пусть DDOSит заказчика =))))
                                      +2
                                      Я бы так делать не стал.
                                      Заказчика может и не быть, зато получается хорошая схема для заработка малолетнему выскочке…
                                      0
                                      Обычно это работает не так, на рынке висят объявления о методе ddos/или ddos с предварительным анализом, по отзывам заказчик выбирает ddos'ера, оставляет заявку, гарант от рынка связывается с заказчиком и продавцом услуги, забирает деньги заказчика, получает 5% от сделки, остаток отдает продавцу после того как заказ выполнен, в итоге ни продавец, ни заказчик не знают друг друга.
                                      +2
                                      Те, кто подымал игровые сервера, например Lineage2 — сталкивались с таким по любому. Если старт сервера обещает быть громким, то от конкурентов сразу заказы на DDoS. Обычно, как минимум от троих.
                                        0
                                        Это как в дикой природе — стоит одному шакалу урвать кусок, как сразу налетит еще десяток. Не отступать и не сдаваться!
                                          0
                                          Буквально в конце февраля волна DDoS'а на базе NTP amplification прокатилась по многим относительно крупным игровым проектам серверов игр Valve.
                                          Обычно, как уже сказали выше, атаки на игровые серверы периодически бывают, но в этот раз совпадения были и во времени и в хостах.
                                          Началось с атаки на сервер AlliedModders (форум, вики, багтрекер и т.д.) — практически основной площадки для обсуждения такого типа серверов.
                                          Не выдержали некоторые хостеры игровых серверов, т.к. провайдеры во всю нуллрутили IP.
                                          Никаких угроз или вымогательств не было.
                                          Я не удивлюсь, если это тот же самый атакующий (но разные заказчики?)

                                          PS:
                                          5 year ago nothing was DDoSed. Nowadays, it's like a common thing, look at big communities. Most of them experienced one or more DDoS attempt during the last year.
                                          you ban someone, you eat a DDoS attempt.
                                          Another time it was just because one guy got killed too much time. Dafuk.
                                          5 year ago no one talked about DDoS on server or website, we didn't even know what DDoS mean…
                                          Good days…
                                          ______________
                                          5 лет назад никого не не атаковали. Сейчас это обычная практика, посмотрите на большие сообщества — большинство из них атаковали как минимум один раз за последний год.
                                          Вы баните кого-то — получаете атаку
                                          В другой раз это случается только потому, что кого-то слишком часто убивали. Епрст…
                                          5 лет назад никто не говорил о атаках на сервер или сайт, мы даже не знали что означает «DDoS»…
                                          Хорошие дни...
                                            0
                                            Подвергались, но не совсем так. Расскажу в комментариях.
                                            Некие товарищи просили отключить один из сайтов на сервере — якобы, им в нем что-то не нравится… Толи дизайн похож, толи еще что-то такое. Ответили им — если есть нарушение авторских прав, идите в суд и приходите с судебным решением.
                                            Эти «некие товарищи» решили, что уложат сайт, а с ним и сервер через apache bench с двух вдс. 2 правила в iptables и все.

                                            Сейчас переодически пытаются боты завалить NS-сервер, но он держится. И постоянно долбятся в ntp, но он защищен.
                                              +1
                                              «долбятся постоянно в NTP» — это не за этим, ваш NTP просто пытаются использовать как 2nd stage NTP amp ;)
                                                0
                                                Я вкурсе. Но их попытки безуспешны :)
                                                  0
                                                  А расскажите как именно вы закрыли NTP и DNS?
                                                    +3
                                                    # cat /etc/ntp.conf | grep -v "#"

                                                    server 0.freebsd.pool.ntp.org iburst
                                                    server 1.freebsd.pool.ntp.org iburst
                                                    server 2.freebsd.pool.ntp.org iburst

                                                    disable monitor
                                                    restrict default nomodify nopeer noquery
                                                    restrict 127.0.0.1

                                                    Результат:
                                                    $ ntpdc -n -c monlist example.com
                                                    example.com: timed out, nothing received
                                                    ***Request timed out

                                                    Плюс шейпером зарезана скорость на исходящий до 10 мбит.
                                                      +1
                                                      Вы Молодец! Это без шуток.
                                              0
                                              Думвю, в интересах компании как раз допустить подобную атаку, изначально не зная её природы, чтобы обнаружить реальные уязвимости и сразу исправить их.
                                                0
                                                Какие уязвимости? Это тупой UDP-флуд, направленный на забивание канала, исправить его можно либо уйдя «под зонтик», либо сделав зонтик самим, но нужен толстый канал.
                                                  0
                                                  Либо хорошо поставленный L7 флуд где даже человек не может углядеть разницы между обычным пользователем и роботом. Никаких тебе сигнатур, битых заголовков и гео-признаков.
                                                0
                                                Было дело 5 лет назад. Перевез сайты на стаминус, ну и сам дополнительно отбивал на апплевеле (это был http-ddos, довольно грамотный, но за пару дней придумал способ их детектить). Через пару недель отстали.
                                                  0
                                                  Я бы организаторов DDoS приравнивал к экономическим преступникам и судил на реальные сроки.
                                                  Слов нет, мудаки.
                                                    0
                                                    Один прецедент уже есть. Правда, по слухам, там дело вовсе не в торжестве правосудия, а в том, кто больше заплатил.
                                                    0
                                                    Судя по всему, вымогатель не выделяется умом, а так же не сильно большого возраста, если судить по сумме. Как бы я поступил, осуществил его требование. Далее по цепочке переводов, отследил бы конечного получателя средств. Ну а потом условка и в следствии чего в обозримом будущем для атакующего, работа максимум дворником/грузчиком.

                                                    Only users with full accounts can post comments. Log in, please.