У нас тут попытка DDOs-a или типа того

На одном из сервисов резкие всплески активности. Может и не ддос вовсе, так как отказа не последовало. Теоретически, несколько дней могло быть заметно необычное замедление ответов сайта. Сейчас выкатил старую но модернизированную фичу. Но её ещё нужно отладить под этот сервис и новое окружение.

  • Возможно будет выкидывать с сайта с ошибкой
  • Или абстрактное “Что-то не так” при работающем сайте

Нашлась ошибка. Фича успешно “банит” всех подряд.
Сейчас будет исправлено.

image

С большего отладил. Да и форсить сервис перестали.

А нет, кажется всё таки школоддос

image

Закрыта серьезная уязвимость

После обновления системы авторизации появилась возможность БРУТФОРСА учетных записей. Собственно выше озвученный DDoS это и был тупой и наглый подбор паролей.

  • Если у вас был сложный пароль - более 8 символов
  • Если в вашем пароле были символы кроме букв и цифр
  • Если использовались русский или иной алфавит

Такие пароли защищены от брутфорса сами по себе. У нас сайт устанавливает простые пароли по умолчанию, так как была защита от брута. Из-за уязвимости стало возможным подобрать такой пароль к учетной записи в течении… Сейчас посчитаем

(10 цифр + 26 букв + 26 букв в верхнем регистре) в степени 4 или 5
62 в степени 4 = 14776336 вариантов пароля (/86400 секунд)

171 день - 1 проверка в секунду
57 дней - 3 проверки в секунду
17 дней - 10 проверок в секунду
2 дня - 100 проверок в секунду

На сервере авторизации стоит лимит обращений приблизительно 3 обращения в секунду. То есть, с одного IP на подбор нужно было потратить до двух месяцев для одной учетной записи.

Атакующий стал использовать Ботнет или что-то типа того, чтобы обойти ограничение по IP. Но все эти действия стали очевидны по мониторингу сервиса. Атака длилась около недели.

В теории могли взломать от 2 до 10 анкет…


Потенциально атака угрожала только тем, кто зарегистрировался ДО обновления системы авторизации и не менял пароля с тех пор. В большинстве случаев это были забытые учетки.

Либо админы?.. если пытаться взломать старые-активные анкеты?