DoS útok na phaeton
Tak nám dneska někdo docela masivně zaútočil na server phaeton (phorum.cz).
Útok byl zaměřen na diskuzní fórum lamky.net. M!k3 me informoval, že je nějaká pomalá odezva serveru, připojil jsem se na konzolu a tam vidím load average přes 20, což je naprosto abnormální zátěž, vzhledem k tomu, že normálně jdeme zřídkakdy přes 1, ve špičce nanejvýš 1,5, to není ale na rychlosti odezvy absolutně poznat.
Po chvíli jsem zjistil, že vše způsobuje apache2, které běží v kvantách instancí, když jsem apache vypl, vše bylo OK. Taky se mi zdála velice podezřelá rychlost narůstání logu. Vypínal jsem postupně domény a po vypnutí lamky.net zátěž značně opadla. Zrestartoval jsem stroj (jak je dobrým zvykem, nastartoval až po fyzickém zásahu pohotových adminů z casablanky).
Po zběžném prohlídnutí rychle narůstajícího logu jsem zjistil, že útočníkova IP je 192.6.76.74, reverz je bbnwebdproxy2.net.external.hp.com, takže proxy server. Vytvořil jsem .htaccess s blokováním patřičné IP a hle, vše jde OK. jen tak pro zajímavost, tento útočník udělal na server cca dvacetinásobnou zátěž, než je běžně ve špičce na celý stroj.
Autora útoku nejspíš nedopátrám, ale nejspíš je to zase nějaký závsitivý ubožák…