De o bună perioadă, dar mai ales în ultimele zile, platforma România Curată este ținta unor atacuri amatoricești dar numeroase de tipul DDoS și XMLRPC, menite să țină cât mai mult site-ul nostru offline. Le spunem amatoricești fiindcă nu a fost greu să ne dăm seama de unde vin aceste atacuri.
Treaba principală o făceau niște proxy-uri din China, Vietnam, Nigeria, Olanda, Franța, Argentina și câteva țări bananiere, iar printre acele rafale de accesări în cascadă am identificat IP-ul de la STS, și anume 213.177.17.110 – client.stsisp.ro, adică fix U.M. 0319 (Serviciul de Telecomunicatii Speciale București). Acest IP ne-a accesat site-ul de 73 de ori în ultima lună, generând cu acele vizite 735 de afișări.
Azi-noapte, la ora 2, STS ne verifica dacă mai „trăim” printre atacurile unui IP din Oradea (pe care l-am blocat atunci).
Tot aseară, la scurt timp după, la ora 3 noaptea, după ce am reușit să izolăm IP-urile externe care ne-au asaltat în ultimele zile, ne-au verificat și cei de la MApN.
2.488 de accesări de la acest IP al MApN am primit în ultima lună, traficul totalizând doar 28 de MB, deci nu accesau articole, ci scripturi și alte chestiuni ascunse de pe server astfel încât să încarce procesorul și să ne dea jos platforma prin folosirea resurselor dedicate.
Treabă multă la Ministerul Apărării Naționale! În loc să se ocupe de ale lor, ne stresează scripturile de pe site-ul nostru.
Alt campion la numărul de accesări dubioase ale serverului nostru din ultima lună este 89.238.255.34, cu 8.003 accesări și tot atâtea pagini (trafic de doar 23 MB cumulat, deci aceeași rețetă). Acesta aparține Euroweb Romania SA, firmă contractată de STS în mai multe rânduri în ultimii ani pentru „servicii de conexiune internet de mare capacitate” în valoare de peste 2,5 milioane lei. Acum vedem și noi la ce folosește STS acea mare capacitate.
Conform portalului AbuseIPDB, o bază de date open source care dă în vileag adresele IP angrenate în astfel de atacuri la nivel internațional, adresa IP a firmei contractate de STS se regăsește pe mai multe liste negre pentru atacurile DDoS și XMLRPC.
Le recomandăm celor din STS și MApN să își vadă de ale lor, căci ceea ce au încercat ei în ultimele zile este un atac indirect la libertatea presei, folosind resursele statului pentru scopuri ce depășesc atribuțiile lor legale și constituționale.
Datele expuse mai sus pot fi verificate atât online, cât și la providerul nostru, RoHost.
Update: comunicatul de presă al STS
Referitor la articolul intitulat „STS, ne lăsați și pe noi să trăim? Dovezile că platforma România Curată este atacată de instituțiile statului” postat pe site-ul www.romaniacurata.ro, pentru corecta informare a opiniei publice, Biroul de Presă al STS face următoarele precizări:
Serviciul de Telecomunicații Speciale nu monitorizează traficul de date al site-urilor web și nu derulează atacuri cibernetice la adresa portalurilor de știri.
IP-ul public 213.177.17.110 face parte din clasa de adrese IP gestionată de Serviciul de Telecomunicații Speciale și este alocat spre utilizare agenției naționale de presă, cu statut de instituție publică.
Din punct de vedere tehnic, datele prezentate de dumneavoastră (73 de accesări într-o lună) în legătură cu IP-ul menționat nu sunt tipice unui atac informatic de tip DDoS, ci mai degrabă unei navigări normale a site-ului la care faceți referire.
În cazul serviciilor de internet furnizate, potrivit legii, de STS beneficiarilor săi, instituția noastră asigură infrastructura tehnică și alocă adrese IP, cu precizarea că stațiile de lucru aparțin doar acelor beneficiari și sunt operate în regim propriu de către fiecare dintre aceștia.
În final, bazându-ne pe o bună colaborare și pe deontologia profesională care implică prezentarea cu obiectivitate a informațiilor oficiale de interes pentru opinia publică, păstrăm convingerea că precizările noastre vor fi făcute publice.
Ceva si mie imi parea suspect de multe ori cand vrei sa accesezi pagina fie de pe telefon, calculator, etc. mesajul cu „Service Unavailable”, DDOS la putere.
Acum vad, rostii orbul…cine era acarul Paun responsabil cu eliminarea comentariilor anticoruptie si antimafie institutionala.
Cand securistii au vazut ca nu pot polua forumul cu „mesaje anticoruptie” pline cu lozinci, s-au gandit ca trebuie sa-si faca simtita prezenta altfel. :)
Conspiratiile teroriste institutionale tot din suflete mioritice provin si din haitele barbarilor daci ce asteptau inghetarea Dunarii pentru a navali si vandaliza regiunile din sudul Dunarii apoi se retrageau cu parada in Carpati.
DAca aveti dovezile, puteti sa-i dati in judecata si sa formulati plingeri impotriva acestor INSTITUTII ale avortonului statal multiplu membru si plin de responsabilitati la TOATE organismele abilitate ale Europei civilizate, democratice si prospere – chiar si la NATO, ori la ONU, de ce nu.
Cred ca ati deranjat nepermis Haita de olteni criminali care detine organismul avortonului statal si saboteaza Romania de la inceputurile ei – ei formand lantul de transmisie/ cureaua de transmisie a intereselor RUSESTI in BALCANI inca inainte chiar de Todor VLADUMIR escu (bulgaroiu, ofiter rus, trimis cu o misiune pacilea) iubitor de BoBor; azi, si prin ORTODOXIA olteneasca a BOR.
(ar trebui sa va intrebati cum de 2 milioane de oltenii inventate de carol 1 au devenit mai importante decat voi care sunteti de 3 ori mai multi in avortonul statal – luati dupa CETATENIE – ca dupa caracteristici sunteti de peste 4 ori mai multi raspanditi peste tot in Lumea larga si pe teritoriu avortonului statal detinut de oltenii lui mihai vitezuL neromanul care Lupta alaturi de serbi pentru UNIRE – azi serbii sunt aliatii RUSIEI lui Putin, dupa cum stiti, iar armata avortonului statal defileaza in bataie de joc fata de Romania pe Kisselev, pe sub arcul de triumf asupra Romaniei pe care sta rascracanat generalul rus, fata cu copia Labartata a Universitatii LOMONOSOV din Moscoba!
Dacă li s-au mărit salariile și bugetele, ce să facă oamenii? Să meargă la bibliotecă, să-l urmărească pe maestrul (bucătar?) Cristoiu, să vadă dacă acesta ține mai mult cu siiți decât cu suniții? Să urmărească alte redacții, dintre care unele sunt ale lor, iar în celelalte au oameni angajați la fața locului? Să-i intre pe hard-disk lui Cărtărescu, să amețească citind?
Au plantat un ficus la Cotroceni acum două luni, au obosit, acum au și ei dreptul la puțină distracție, nu?
Tot n-am inteles cine cenzureaza pe aici: STS-ul sau niste infiltrati de-ai lor?
Ca nu se poate nega nici cenzura, nici intarzierea aprobarii unor comentarii.
E greu sa ceri transparenta doar din partea unora si sa nu te uiti in propria ograda.
Din cauza asta nu puteam mai deloc sa intru pe acest site?
Ceea ce vad eu acolo e mai degraba un fel de bot de la parfumuri femei.com. Oricum, nu prea seamana a ddos, nici macar a dos.
Sugestie: setati serverul sa redirecteze catre https, e o chestie mai degraba utila in zilele noastre.
Referitor la resurse: care era consumul de resurse in timpul „atacului” ?
Pe datele prezentate de voi titlul este o exagerare, nu confundati o scanare de rutina cu un atac. Securizati-va siteul in primul rand.
Parfum feminin cu iz de mafie si terorism.
Schimbati serverul, incerc sa accesez siteul si imi da eroare 500 mai mereu si asta datorita faptului ca aveti trafic mare nu din cauza atacurilor ddos, deasemenea cum spunea cineva mai sus folosti https si securizati-va siteul. Eventual angajati un programator sa va ajute cu optimizarea serverului si al site-ului. Nu folositi pluginuri aiurea si multe.
Bine ca s’a oprit cat de cat SRI’ul, in 2017-2018 blogul care era impotriva curentului general si a sistemului mizerabil, ma si obisnuisem deja ca numarul gradatilor din trafic sa il bata pe ala al civililor, eram zilnic abonat la alerte de cuvinte cheie. Totul s’a sfarsit brusc dupa ce a iesit taraboiul cu protocoalele si scoaterea din schema a lui Coldea, dar din cate vad, acum ne intoarcem incet si sigur in epoca aia.
Traiasca Romania libera!
Wordfence sigur este in regula?
Ce spune @Catalin 30 referitor „parfumuri pentru femei…com” + altele este chiar adevarat .
Datele reale le gasiti in /var/log /…(vorbind de Linux) depinde pe ce server este hostingul . Asteptam sa puneti logurile reale aici sa vedem si noi adevarul. Nu poze! Din respect pentru echipa voastra nu scanez serverul sa vedem ce si cum.
Wordfence si altele dedicate securitatii pentru platforma WP nu sunt chiar atit de clare si eficiente asa cum propovaduiesc unii.
Daca adminul doreste sa cunoasca mai multe ma poate contacta.
73 de accesari in ultima luna… Pare un atac furibund! Noi cand testam performanta site-urilor pe care le producem, le supunem la 500-1000 de accesari pe SECUNDA si ne asiguram ca nu crapa.
Mai de graba mi se pare ca cineva din redactie a descoperit un tool de analiza loguri server web si are impresia ca e un fel de Magelan al anti-haking-ului. Daca cineva dorea sa va spioneze, o facea prin IP-uri dinamice sau proxy-uri anonime si nu se expunea aiurea.
Este posibil ca stsisp sa fie internetul gratuit dat de sts institutiilor statului.
Noroc!
Protecția DDoS care funcționează, protejând datele și aplicațiile critice, fără a afecta performanța și productivitatea.
Detectare și mitigare DDoS – L2 până la L7
https://dedicatserver.ro/protectie-ddos/