Шоу клоунов: DDoS «Новой Газеты» и Касперский

Вторник, 12 апреля 2011 г.

Сначало было слово

Сайт поднять сегодня уже не удастся. А это значит, что материалы свежего номера не будут выложены ровно в полночь там, где привыкли их находить наши читатели. Поэтому мы решили выложить завтрашний номер в блоге — пока единственной нашей замочной скважине в интернет — на час раньше полуночи. Надеемся, за этот час ссылки на PDF версию газеты долетят до тех, кому это важно. Помогите перепостом, френды!

Блог «Новой газеты» продолжает старые добрые традиции бэкапа. Под этим тегом в течение завтрашнего дня, как и в феврале прошлого года, мы будем выкладывать лучшие материалы газеты, которые поставить на сайт нам мешает продолжающая и довольно мощная ddos-атака.

Шутка ли: суточная аудитория сайта — 70 000 уникальных посещений — сейчас приходит к нам каждые 14 секунд. Интенсивность DDoS-атаки составляет 5000 запросов в секунду. Это много, и мы сегодня точно спать не будем.

То есть, вроде как их атакуют:

c6-03-s14 ~ # time telnet  novayagazeta.ru 80
Trying 83.222.14.46…
^C
real    0m2.052s
user    0m0.004s
sys     0m0.000s

Но сервис не работает, а как можно замерять request rate на неработающем сервисе?
Это уже любопытно, посмотрим подробнее:

c6-03-s14 ~ # nmap -T4 -A novayagazeta.ru

Starting Nmap 4.76 ( nmap.org/ ) at 2011-04-08 12:41 MSD
Interesting ports on 83.222.14.46:
Not shown: 992 closed ports
PORT     STATE    SERVICE    VERSION
21/tcp   open     ftp        WU-FTPD or MIT Kerberos ftpd 6.00LS
22/tcp   filtered ssh
53/tcp   open     domain     ISC BIND 9.4.-ESV
80/tcp   filtered http
3000/tcp open     http       Apache httpd 1.3.42 ((Unix) PHP/4.4.9 with Suhosin-Patch)
3005/tcp filtered deslogin
3306/tcp open     mysql      MySQL (unauthorized)
5432/tcp open     postgresql PostgreSQL DB
Device type: general purpose|storage-misc|PBX|specialized|router|printer
Running (JUST GUESSING): FreeBSD 7.X|6.X|5.x|5.X (95%), Vodavi embedded (88%), Lantronix embedded (87%), Juniper JUNOS 8.X (87%), Crestron embedded (86%), Oki embedded (86%)
Aggressive OS guesses: FreeBSD 7.0-RELEASE-p1 — 7.0-STABLE (95%), FreeBSD 7.0-BETA4 — 7.0 (95%), FreeBSD 7.0-RELEASE-p2 (95%), FreeBSD 7.0-PRERELEASE (94%), FreeBSD 7.0-STABLE (92%), FreeBSD 7.0-BETA2 (custom compiled) (92%), FreeBSD 7.0 (92%), FreeBSD 7.0-CURRENT (91%), FreeBSD 6.1-RELEASE — 6.2 (91%), FreeBSD 6.1-RELEASE-p10 (x86_64) (90%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 7 hops
Service Info: Host: www.novayagazeta.ru; OS: Unix

TRACEROUTE (using port 3389/tcp)
HOP RTT  ADDRESS
1  …
2   0.57 89-194-212-88.host.exepto.ru (88.212.194.89)
3   0.88 83.229.192.185
4   0.97 83.229.226.101
5   1.43 ae7.RT.MR.MSK.RU.retn.net (87.245.253.169)
6   1.96 GW-MasterHost.retn.net (87.245.253.22)
7   1.95 msk-m9-77-vl11.masterhost.ru (217.16.23.130)
8   2.72 83.222.14.46

c6-03-s14 ~ # ping   novayagazeta.ru    
PING novayagazeta.ru (83.222.14.46) 56(84) bytes of data.
64 bytes from 83.222.14.46: icmp_seq=1 ttl=56 time=2.81 ms
64 bytes from 83.222.14.46: icmp_seq=2 ttl=56 time=2.82 ms
64 bytes from 83.222.14.46: icmp_seq=3 ttl=56 time=2.80 ms
64 bytes from 83.222.14.46: icmp_seq=4 ttl=56 time=2.74 ms
64 bytes from 83.222.14.46: icmp_seq=5 ttl=56 time=2.80 ms
^C
— novayagazeta.ru ping statistics — 5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.742/2.798/2.828/0.044 ms


c6-03-s14 ~ # time telnet  novayagazeta.ru 3000
Trying 83.222.14.46…
Connected to novayagazeta.ru.
Escape character is '^]'.
^]
telnet> clo
Connection closed.

real    0m3.384s
user    0m0.000s
sys     0m0.000s

ПульсLatency в норме, PL в норме, сокет открывается молниеносно. Пациент жив и здоров.
Понятно, что «Новая Газета» просто БЛЕФУЕТ, но это не самое смешное место в истории.
Смешное будет дальше…

Система мониторинга ботнетов Лаборатории Касперского выявила команду на началоDDOS атаки на сайт www.novayagazeta.ru/
Мы видим что в настоящее время сайт недоступен.
Готовы предложить вам помощь в отражении данной атаки при помощи нашей системыKaspersky DDoS Prevention.

<...>

Системный администратор проекта Kaspersky DDoS Prevention
Лаборатория Касперского
Россия, Москва,
Ленинградский проспект д.47, стр.3, под.3, этаж 3

А теперь внимание — вопрос. Кто из этих двух компаний больше клоун?
«Новая газета», которая решила прокатиться на «модной» волне DDoS вместе с уютной ЖЖ-ечкой, бурча себе под нос «кровавая гэбня атакаует», или Джедаи Касперского, которые поймали команду на атаку, которой на самом деле не было?

P.S. «Новой» срочно нужно  нанять человека, для которого ipfw — не пустой звук… и попачится, что-ли…

UPD_1:
По состоянию на 11 утра 9.04.2011

c6-03-s14 ~ # host novayagazeta.ru
novayagazeta.ru has address 204.93.223.194
novayagazeta.ru mail is handled by 10 mx.novayagazeta.ru.

c6-03-s14 ~ # whois  204.93.223.194
#
# Query terms are ambiguous.  The query is assumed to be:
#     «n 204.93.223.194»
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# whois.arin.net/rest/nets;q=204.93.223.194?showDetails=true&showARIN=false
#

Rethem Hosting LLC SCNET-204-93-223-192-1 (NET-204-93-223-192-1) 204.93.223.192 — 204.93.223.223
Server Central Network SCN-6 (NET-204-93-128-0-1) 204.93.128.0 — 204.93.255.255

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: www.arin.net/whois_tou.html
#

c6-03-s14 ~ # tracepath   204.93.223.194
1:  no reply
2:  89-194-212-88.host.exepto.ru (88.212.194.89)           0.967ms
3:  83.229.192.185 (83.229.192.185)                        1.160ms asymm  4
4:  msk-b4-hq-ae0.main.synterra.ru (83.229.225.5)          1.205ms asymm  5
5:  ae7.RT.MR.MSK.RU.retn.net (87.245.253.169)             1.753ms
6:  xe000-8.RT.EQX.ASH.US.retn.net (87.245.233.118)      197.472ms asymm  9
7:  eqix.xe-3-3-0.cr2.iad1.us.nlayer.net (206.223.115.61) 196.583ms asymm  9
8:  ae1-30g.cr1.iad1.us.nlayer.net (69.31.31.153)        251.031ms asymm  9
9:  xe-4-1-0.cr2.ord1.us.nlayer.net (69.22.142.32)       259.440ms
10:  po6.ar2.ord1.us.scnet.net (69.31.111.6)              216.609ms asymm  9
11:  62.po2.ar2.ord6.us.scnet.net (75.102.3.230)          271.595ms asymm 10
12:  unknown.scnet.net (204.93.222.2)                     272.069ms asymm 11
13:  no reply

UPD_2:
По состоянию на 19:00 9.04.2011

c6-03-s14 ~ # host novayagazeta.ru
novayagazeta.ru has address 195.8.62.202
novayagazeta.ru mail is handled by 10 mx.novayagazeta.ru.
c6-03-s14 ~ # whois 195.8.62.202
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '195.8.62.0 — 195.8.63.255'

inetnum: 195.8.62.0 — 195.8.63.255
netname: INDRIK-NET
descr: Indrik Ltd.
country: RU
org: ORG-IL151-RIPE
admin-c: AM13621-RIPE
tech-c: AM13621-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: MNT-INDRIK
mnt-lower: RIPE-NCC-END-MNT
mnt-routes: MNT-INDRIK
mnt-domains: MNT-INDRIK
source: RIPE # Filtered

person: Anatoly Myasnikov
address: Russia, Moscow, Timiryazevskaya st. 11-63
phone: +7 916 6971607
nic-hdl: AM13621-RIPE
source: RIPE # Filtered
mnt-by: MNT-INDRIK

% Information related to '195.8.62.0/23AS42014'

route: 195.8.62.0/23
descr: INDRIK-NET
origin: AS42014
mnt-by: MNT-INDRIK
source: RIPE # Filtered

% Information related to '195.8.62.0/24AS42014'

route: 195.8.62.0/24
descr: INDRIK-NET-1
origin: AS42014
mnt-by: MNT-INDRIK
source: RIPE # Filtered

c6-03-s14 ~ # tracepath 195.8.62.202
1: no reply
2: 89-194-212-88.host.exepto.ru (88.212.194.89) 0.945ms
3: vl-989.br1.msk1.ip.di-net.ru (193.232.244.88) 1.584ms
4: vl-701.sr1.msk1.ip.di-net.ru (213.248.1.102) 2.020ms asymm 5
5: no reply
6: no reply

Весь калейдоскоп действий совершался уже после того как новая узнала что про нее шумят на Хабре:
novayagazeta.livejournal.com/315877.html

Очевидно не_интересы Новой и Касперского преодолели материальные противоречия, и газета триумфально заработала в самый «посещаемый» день недели — субботу.
*two thumbs up*

Потерять лицо — обидно.
не подчиняется кодексу бусидо
дзайбуцу щит и меч,
а жаль