ЗАКС.Ру атакован хакерами

[ecoist]

Оригинал взят у zaksru в ЗАКС.Ру атакован хакерами
Сайт Zaks.ru подвергся так называемой DDOS-атаке. Вместе с ним под удар попали проекты Лениздат.ру, сайт "Новой газеты в Петербурге" Случилось это около 19 часов 1 декабря и продолжается до сих пор. Техническая служба Zaks.ru работает над тем, чтобы нормализовать работу сайта. Пока ресурс находится в

Comments

[mar__]

У них, похоже, DNS колбасит, причем их собственный DNS и с самого начала объявленной так называемой "хакерской атаки". Понятно, что хакеры и DDOS - это интересней, и звучит благородней,- но при DDOS nameserver обычно всякие глупости не отвечает ;)

[ecoist]

А с чего бы это вдруг заколбасился DNS?

[mar__]

Понятия не имею ) Могли админы что-то нахимичить - дело житейское, бывает сплошь и рядом. Но уж точно не от DDOS. От DDOS бывают отказы в обслуживании сервера (т.е. он перстает отвечать на запросы), а не внятные, но дурацкие ответы от DNS-серверов. А вот, если что-то нахимичено в DNS - то тут может колбасить долго и волнами, т.к. информация распространяется вверх к серверам более высокого уровня, от них вбок и вниз.

[mar__]

вот так, например, в первый день, когда все нажимали на плюсики в контакте и распространяли информацию про DDOS и злых хакеров, выглядел ответ на запрос host -a zaks.ru (я проверила, зайдя по ssh от трех разных провайдеров из двух городов)

Trying "zaks.ru"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26939
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;zaks.ru. IN ANY

;; ANSWER SECTION:
zaks.ru. 2884 IN A 127.0.0.1
zaks.ru. 2619 IN NS ns1.zaks.ru.
zaks.ru. 2619 IN NS ns2.zaks.ru.

;; AUTHORITY SECTION:
zaks.ru. 2619 IN NS ns1.zaks.ru.
zaks.ru. 2619 IN NS ns2.zaks.ru.

;; ADDITIONAL SECTION:
ns1.zaks.ru. 1430 IN A 82.140.67.170
ns2.zaks.ru. 1430 IN A 109.124.105.54

[ecoist]

И что это значит?

[mar__]

вот эта строчка:
zaks.ru. 2884 IN A 127.0.0.1
означает, что к машине с именем zaks.ru их собственные (как следует из двух следующих строчек) DNS-сервера привязали ip-адрес 127.0.0.1. Что является полной чушью, т.к. 127.0.0.1 - это дефолтный адрес для дефолтного же имени любой машины - localhost. т.е. при попытке обратиться по 127.0.0.1 Вы обращаетесь только к собственной машине.

Потом, когда все вроде бы наладилось, за zaks.ru стали отвечать ns-сервера ripn.net, но периодически опять выплывали ns-сервера самого zaks-ru, что как раз и возможно, когда ошибки не устранены и они продолжают подыматься и распространяться волнами, т.е. колбасенье продолжает распространяться.

[ecoist]

Я уже им сообщил ;)
Не знаю, возможно это последствия неграмотных попыток устранить последствия атак или ещё что-нибудь. Или "крот" в техотделе :))

[mar__]

Я Б.В. написала почти сразу, но, видимо, DDOS-атака и политические преследования звучат круче, чем технические ошибки :)

По делу - последствия DDOS-атаки не лечатся на DNS-серверах. Более того, все эти записи были видны, когда начали говорить о "DDOS-атаке". Ну а "крот в техотделе" - это должен был бы быть довольно безумный крот, т.к. из всех способов положить сервер он выбрал именно тот, где легко устанавливается кто, когда и зачем ковырялся.
Боюсь, что если бы на всех серверах, где что-то случается, сразу искали бы не ошибку, а диверсию, то желающих работать в IT-сфере сильно бы поубавилось :)