Varför utsätts Copyriot för ständiga överbelastningsattacker?

Som vissa av er har märkt, tenderar Copyriot.se att störtdyka från tid till annan. Besökare på webbsidan möts då av ett felmeddelande om en databasen inte är tillgänglig. Problemet kan endast lösas genom omstart av den virtuella servern. Så här illa har det nu varit i ett antal månader.

Om jag förstått saken rätt, efter att ha talat med de som sköter serverdriften, är det fråga om en utdragen eller återkommande överbelastningsattack (DDoS) riktad mot just Copyriot. Men en DDoS kräver väl ändå vissa resurser i form av ett botnet? Om man ändå har satt upp ett botnet, tänker jag att man troligen har andra sajter att sänka än en obskyr svensk blogg.

Jag har inga svårigheter att förstå spamlogiken och hur den leder till en robotarnas kapprustning. Det räcker att kolla på de tusentals kommentarer som postas på Copyriot bara för att genast filtreras bort av spamfiltret. Där finns ändå ett slutgiltigt syfte som oftast handlar om att marknadsföra någon produkt.
Men med DDoS:andet är det svårare att föreställa sig en underliggande rationalitet. För mig är det hela ett mysterium: vem eller vad fattar beslutet om att bombardera Copyriot med nonsens?

Jag verkar inte vara ensam. Från olika håll har jag hört folk berätta om hur deras sajter sporadiskt kan utsättas för DDoS:artad överbelastning, utan förvarning och utan förklaring. För den som driver en blogg blir ju detta i praktiken ett skäl att ge upp den småskaliga hostingen, till förmån för att flytta in hos t.ex. Tumblr eller WordPress. Nätjättarna har ju tillräckliga resurser för att alltid vara uppe. Om någon tjänar på det tilltagande säkerhetskaoset på internet, så är det dessa nätjättar, tänker jag. (Därmed inte sagt att jag tror att de i hemlighet ligger bakom ett slumpmässigt DDoS:ande av oberoende småservrar.)

Hjälp mig gärna att fatta detta. Även allmänna spekulationer kring DDoS:andets näthistoria och framtid är av intresse.

24 kommentarer ↓

#1 mlowdi on 7 January 2015 at 9:45 pm

En möjlig förklaring är reklam. Antingen för en ny bot, ett botnät, eller en enskild persons förmågor. Brian Krebs blogg blir ju till exempel utsatt för attacker inte bara som ett direkt svar på hans grävande i internets bokstavliga undre värld, utan också som en del av initeringsriter i olika forum och andra slutna sällskap.

Varför just Copyriot skulle bli måltavla för det här vet jag inte – kanske det bara fungerar som i de där (mytiska?) gatugängen: “Ser du han med hatten? Slå ner honom, så får du hänga med oss.”

#2 JN on 7 January 2015 at 10:04 pm

En anledning till att Copyriot blir måltavla skulle kunna vara Jello Biafra-skälet: du har svikit “punken” genom att bli doktor och skriva för Expressen.

#3 rasmus on 7 January 2015 at 10:22 pm

Tillade just en mening om att det hela har pågått i ett antal månader, kanske ett halvår. Så ingen börjar leta efter skäl i något särskilt jag sagt på sistone.

Ärligt talat så tror jag inte att det har så mycket med mig att göra. Men jag vet inte.

#4 DanceK on 7 January 2015 at 11:47 pm

Kan det vara så att någon bara “övar” alternativt testar sin förmåga att utföra överbelastningsattacker? Copyriots server och ett par andra dito kanske valdes slumpmässigt?

När väl första attacken lyckades försöker vederbörande göra attacken snabbare/större/effektivare?

#5 Nilsson on 7 January 2015 at 11:59 pm

Kanske någon idiot som tycker det är kul att sabba. Om det nu inte har att göra med att du uppfattas som “vänster”. Eller kanske det handlar om avund. Korkat är det ju, vad det än handlar om.

#6 Maggan on 8 January 2015 at 4:11 am

Min är också nerstängd, skitdrygt. Ett jobbigare men coolare alternativ lär vara att starta upp en egen server på sin dator. Då slipper man såna här problem enligt en källa.

#7 Kata on 8 January 2015 at 6:24 am

Angående att det skulle vara besvärligt att sätta upp infrastrukturen för ddos-attacker: inte nödvändigtvis. Enligt en föreläsare jag hörde från MSB:s IT-säkerhetsavdelning Cert-SE är det rätt enkelt och billigt nuförtiden att helt enkelt köpa en attack under en viss tidsperiod mot en viss adress. Det händer tydligen t.o.m. att skolungdomar gör detta mot sin skolas server när de ska ha datorbaserad lektion, för att läraren ska tvingas ställa in lektionen… Så det kanske helt enkelt är något troll med för mycket pengar?

#8 Jonas B. on 8 January 2015 at 9:57 am

Om attacken slutar när du startar om servern ligger där en hund begraven. Mitt tips är att titta närmare på själva attacken för att få förstå varför den uppstår och hur du kan gå vidare. Då vet du också om det är en DDoS eller annan typ av överbelastningsattack (termerna används utbytbart i inlägget, vilket de förstås inte riktigt är).

#9 Albert on 8 January 2015 at 10:48 am

Det kanske kan vara DNS eller NTP problemen som någon utnyttjar för att attackera din sajt. Alla har inte patchat detta än trots att det var ett helt år sedan det upptäcktes. Då räcker det med en enda person för att själv utföra attacken. Någon som kanske inte gillar något som du skrivit någonstans. Vad vet jag. http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/

#10 Maggan on 8 January 2015 at 2:18 pm

Vilket spamskydd ska man ha? Har installerat wordpress på min hemsida, försökte med nåt men då ville dom att man skulle börja betala och nåt annat tjafsade dom om ni inloggning till google som inte funkade.

#11 rasmus on 8 January 2015 at 2:32 pm

Jag använder Akismet (WordPress-plugin) som spamfilter. Det funkar väl okej, nästan ingen spam släpps igenom helt men i vissa perioder markeras såväl spam som riktiga kommentarer som “pending” vilket kräver en del manuell genomgång. Sen kommer en uppdatering av Akismet och det funkar bättre, ett tag. Robotarnas kapprustning rullar vidare.

#12 Maggan on 8 January 2015 at 3:36 pm

Okej tack! Det var det jag försökte med. Dom tjafsar om nån inloggning och alla mina e-mailadresser är kopplade till misslyckade trollbloggar som har lagts ner efter tre inlägg så jag hamnar på dom när jag försöker sätta in det. Får hitta nån annan lösning.

#13 dd on 9 January 2015 at 1:43 pm

Antar att den virtuella servern endast är till för copyriot.se, att den har en helt egen IP-adress, och att det därmed står klart att det är copyriot.se som är målet, och inget annat på den fysiska maskinen..

#14 rasmus on 9 January 2015 at 1:59 pm

nja, rasmusfleischer.se finns på samma virtuella server, så de går ner tillsammans.

#15 UddaBoktips on 9 January 2015 at 2:28 pm

För att ta ner en enskild server behövs väl inget botnet för DoS-attack? Jag har själv använt LOIC (http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon) för last-testning och den (eller någon modernare motsvarighet) duger nog?

#16 Olof on 9 January 2015 at 9:35 pm

Ett sätt att göra säkerhetsanalysen är ju att utgå från sina tillgångar. En attack kan vara till för att dölja någon form av intrångsverksamhet som pågår under attacken eller ett nödvändigt instrument för att genomföra intrånget i syfte att kopiera data (passande på Copyriot). Så du tänker säkert att du inte har någon tillgångar på ditt system som inte redan är öppet men så kanske inte angriparen uppfattar det. Trafikdata från dina besökare med tidstämplingar är säkert intressant för den som gillar att kartlägga personer. Så var lite juste mot oss om du inte redan är det, se till att så lite som möjligt loggas och sparas. Och att det som måste sparas lagras krypterat utan att nödvändiga nycklar för dekryptering lagras på maskinen.

#17 rasmus on 9 January 2015 at 11:22 pm

Olof: Lugn, jag loggar inget. (Förutom att de som väljer kommentarer ju lämnar ett IP-nummer i systemet, vilket är standard i WordPress.)

#18 Olof on 10 January 2015 at 12:32 am

Du sökte alternativa förklaringar och fick en. Loggar av IP-nummer är kanske inte helt oskyldiga om man har resurser att pussla ihop det lite över tiden. Och du har ju tre kakor också som underlättar i fall man försöker dölja sin adress. Men det kan nog finnas fler processer i maskinen utöver WordPresskärnan som loggar som du kanske inte är medveten om ifall du inte aktivt sökt efter det.

#19 saturday on 11 January 2015 at 12:02 pm

Det behövs inget botnet för en DoS-attack, det kan vara en enskild person som ligger bakom med sin egen dator. Loggarna på servern kan avslöja var attacken kommer ifrån i så fall. Givetvis är det sannolikt att denne någon använder sig av någon metod för att maskera sin identitet etc..

#20 Förattdetgår on 11 January 2015 at 3:13 pm

http://sitecheck.sucuri.net/results/copyriot.se
http://httpd.apache.org/security/vulnerabilities_22.html

Du kan inte bara starta om.

#21 a on 13 January 2015 at 9:21 pm

Av ren nyfikenhet, hur länge loggar WordPress ip-nummer för kommentarer? Finns något praktiskt behov av att logga de ip-numren i mer än ett par månader?

#22 rasmus on 13 January 2015 at 9:23 pm

a: Kommentatorernas ip-nummer lagras för alltid och såvitt jag kan se går detta inte att ändra i några inställningar.

#23 laxsill on 20 January 2015 at 3:28 pm

Det här verkar hända ett hemsidesystem jag driver på en av mina tjänster också. Vi är ett ideellt förbund som arbetar med landsbygdsorganisering. Vi är inget kontroversiellt politiskt mål. Enligt ispens loggar är det fem IP-adresser som var och en gör mellan 1000 och 2000 anrop om dagen, per IP-adress. Jag fattar inget.

#24 Carl W on 23 January 2015 at 10:51 pm

Här finns info som kan vara intressant för er som är drabbade:

http://www.jwz.org/blog/2015/01/chinese-bittorrent-the-gift-that-keeps-on-giving/

http://furbo.org/2015/01/22/fear-china/

Det verkar som att det finns ISPer i Kina och (samt även Turkiet?) som skickare vidare anrop mot The Pirate Bay till helt andra sajter. En ren gissning är att Copyriot blivit drabbat av detta.

En lösning kan vara att blockera all trafik som Kina. Lite taskigt kanske. Men tyvärr har jag inga bättre förslag om det nu är detta som drabbat er.

Kommentera