Abuse kontakty

skrivy

Dnes jsem posílal jeden abuse mail. Nejspíš části z Vás také došel. Pro pobavení sem dávám jednu odpověď:

abuse@netdatacomm.cz

Vaše zpráva se nedala doručit, protože doručování do této skupiny je omezené na ověřené odesílatele. Pokud s tím budou dál problémy, kontaktujte prosím správce e-mailu.

Toto je spíše upomínka, abyste si zkontrolovali, že Váš abuse kontakt funguje správně. 🙂

basty

Došel no 🙂

TTT

nešlo to dát do Bcc: ?

skrivy

TTT Jako zamyslel jsem se nad tím, ale protože se jedná o útok CZ subjekt na CZ subjekt a ještě s detaily uvedenými v mailu, tak mi přišlo vhodnější použít toto řešení, aby se případně kolektivně sesbírala další data.

Můj tip je, že ISP na daných zařízeních uvidí nejen provoz na ten postižený server, ale také provoz směrem k nějakému kontrolnímu serveru, který pro rozzuzlení bude klíčový.

Bohužel na tohle neznám lepší nástroj. Ale pevně věřím, že v rámci nově vznikajících implementací bezpečnostních směrnic by něco takového mohlo vzniknout. Nebo naopak - pokud takový už existuje, tak budu rád za sdílení.

Edit: Jestli ale takovéto abuse reporty jsou pro Vás častá záležitost, tak budu taky rád za zpětnou vazbu. Já se s podobnými útoky ale setkávám velmi ojediněle. Běžně to jde ze zahraničních zemí, kde je to národní sport.

miract

Taky mi dnes došlel e-mail od jaroslav.skrivan@serverzone.cz

miract

U mně ze sítě to bylo ze 3 IP, vše jsou routující klientské jednotky s NAT(2x MikroTik, 1x UBNT Gpon), jejichž přímou kompromitaci můžu vyloučit. Pošlu Netflow dump, třeba to k něčemu bude.

iTomB

No podle logu to odpovida cca 147 pozadavkami/s to neni moc velkej DDOS utok. Nebude to spis chyba v nejake aplikaci? 😃
A email se 190+ adresama, je zase SPAM z jejich adresy ...
A s 20 pozadavkama z me site za 7 minut ...

skrivy

iTomB Pojď si sednout na druhou stranu a řešit to z obrácené strany.

V nefiltrovaném logu (na abuse byl zaslán jen kus z CZ adres) z toho incidentu vidím trochu víc zdrojových IP adres:

$ cat ddos.log  | awk '{print $1}' | sort -n | uniq -c | wc -l
19937

Botnety se dnes běžně chovají tak, že pošlou jen jeden nebo 2 požadavky z adresy a pak končí. Síla je v množství dostupných adres. A samozřejmě pokud se pro útok najde nějaký pomalý cíl, tak není potřeba ani moc snahy.

No a samozřejmě na druhé straně web a infra, který na tu zátěž není stavěný - zákazník drží náklady na uzdě a běžně tam má jednotky zákazníků za den.

miract

No ja když jsem si projížděl ty logy, tak mě napadlo totéž. Nezkoušel někdo “otravovat” nějakého svého “postiženého” klienta, zda stránku skutečně korektně nenavštívil?

iTomB

skrivy Tak treba log z meho serveru:

100.68.12.57 - - [01/Feb/2026:04:48:17 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 15; 2312DRA50G Build/AQ3A.240912.001) AppleWebKit/537.3
100.68.12.57 - - [01/Feb/2026:04:48:17 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 15; 2312DRA50G Build/AQ3A.240912.001) AppleWebKit/537.3
100.68.129.52 - - [14/Feb/2026:09:50:56 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 10; Redmi Note 7 Build/QKQ1.190910.002; wv) AppleWebKi
100.68.129.52 - - [14/Feb/2026:09:50:56 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 10; Redmi Note 7 Build/QKQ1.190910.002; wv) AppleWebKi
100.69.12.15 - - [14/Feb/2026:09:51:58 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 15; 23090RA98G Build/AP3A.240905.015.A2) AppleWebKit/53
100.69.12.15 - - [14/Feb/2026:09:52:02 +0100] "GET /%7B%7Bview_monitor_url_new%7D%7D HTTP/1.1" 404 734 "http://mi/" "Mozilla/5.0 (Linux; Android 15; 23090RA98G Build/AP3A.240905.015.A2) AppleWebKit/53
100.64.35.64 - - [14/Feb/2026:10:04:19 +0100] "POST /cloudsync_proxy/get_max_sync_id.php HTTP/1.1" 404 332 "-" "-" "-"
100.67.20.153 - - [01/Feb/2026:04:50:20 +0100] "POST /adv_shield/shield/confirmShield HTTP/1.1" 404 332 "-" "Apache-HttpClient/UNAVAILABLE (java 1.4)" "-"
100.67.20.153 - - [01/Feb/2026:04:50:20 +0100] "POST /adv_shield/shield/confirmShield HTTP/1.1" 404 332 "-" "Apache-HttpClient/UNAVAILABLE (java 1.4)" "-"
100.67.20.153 - - [01/Feb/2026:04:50:20 +0100] "POST /adv_shield/shield/confirmShield HTTP/1.1" 404 332 "-" "Apache-HttpClient/UNAVAILABLE (java 1.4)" "-"

Celkem zajimavy, ze je to z ruznych oblasti a komunikace je na interni adresu. Takze to spis vidim jako chybu v nejake aplikaci. A ted si vem, aktualizace nejake aplikace, ktera bude mit v sobe danou chybu ...

TTT

skrivy na tohle je príma fastnetmon a úplně parádně to funguje s Aristou...

skrivy

TTT Tohle byl aplikační útok se špičkou 6Mbps. Stačí se nad tím trochu zamyslet. V našem provozu to vidět nebude.

TTT

skrivy

teď moc nechápu, sorry –> "No a samozřejmě na druhé straně web a infra, který na tu zátěž není stavěný"

skrivy

TTT tohle je aplikační útok - útočník pošle z 20 000 ip adres http požadavky na web. To moc provozu nevygeneruje. Ten web ale běží na malé VPS, která má 4 jádra a 8 GB paměti. Navíc generování stránek trvá třeba vteřinu. Při tom útoku se tedy vyčerpá cpu výkon toho VPS.

Co teda ve fastnetmonu můžeme vidět je zvyšený množství nových spojení. Ale v tomto případě se to těžko rozlišuje od jiných webů, kde se dělají třeba reklamní kampaně, které nalákají jednorázově velké množství lidí. Navíc k tomu serveru máme přístup, takže nám to nedá nic moc extra.

Tohle je navíc specifické tím, že to přišlo z českých adres - pro nás bezpečný zdroj. Třeba Brazílie, Irán, Čína a další země tam jsou už dávno blokované.