Ранее неизвестная хакерская группировка UkDrillas взяла на себя ответственность за DDoS-атаку на Википедию и Twitch: различия между версиями

Материал из Викиновостей, свободного источника новостей
[непроверенная версия][непроверенная версия]
Содержимое удалено Содержимое добавлено
переводы
стилевые правки
Строка 3: Строка 3:
{{тема|Вики-проекты Викимедиа|Хакерские атаки}}
{{тема|Вики-проекты Викимедиа|Хакерские атаки}}
{{WikimediaMention}}
{{WikimediaMention}}
[[6 сентября 2019 года]] в конце девятого часа вечера по московскому времени [[Википедия]] и [[Вики-проекты Викимедиа|другие проекты Викимедиа]] перестали открываться у многих пользователей в [[Европа|Европе]] и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК [[Викимедиа Германия]] в [[Твиттер]]е сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.
[[6 сентября 2019 года]] в конце девятого часа вечера по московскому времени [[Википедия]] и [[Вики-проекты Викимедиа|другие проекты Викимедиа]] перестали открываться у многих пользователей в [[Европа|Европе]] и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт [[Викимедиа Германия]] в [[Твиттер]]е [https://twitter.com/WikimediaDE/statuses/1170077481447186432 сообщил] о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.




Строка 13: Строка 13:
{{oq|en|Currently dropping @Wikipedia<br>20G AMS-IX and 10G Equinix Chicago lines.<br>IPs: 91.198.174.192,208.80.153.224<br>respectively. Started attacking intermittently a few hours ago for testing.<br>Being held since 9PM BST+0.<br>{{=}})}}
{{oq|en|Currently dropping @Wikipedia<br>20G AMS-IX and 10G Equinix Chicago lines.<br>IPs: 91.198.174.192,208.80.153.224<br>respectively. Started attacking intermittently a few hours ago for testing.<br>Being held since 9PM BST+0.<br>{{=}})}}
}}
}}

Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на [[Twitch]].
Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на [[Twitch]].


По словам владельцев аккаунта, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей», а корыстного интереса у них на данный момент нет:
По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей», а корыстного интереса у них на данный момент нет:
{{цитата|<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно.
{{цитата|<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно.
{{oq|en|<…><br>
{{oq|en|<…><br>
Строка 26: Строка 25:
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени.
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени.


Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с.
Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов<ref>На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1</ref>).


В 21:35 МСК инженер Фонда Викимедиа [[meta:User:BBlack_(WMF)|Брэндон Блэк]] написал в IRC-канале #wikimedia-operations:
В 21:35 МСК инженер Фонда Викимедиа [[meta:User:BBlack_(WMF)|Брэндон Блэк]] написал в IRC-канале #wikimedia-operations, предназначенном для координации инженеров, поддерживающих сервера Фонда:
{{цитата|<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
{{цитата|<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
{{oq|en|<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.}}
{{oq|en|<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.}}
Строка 36: Строка 35:
В кратком официальном коммюнике [[Фонд Викимедиа|Фонда Викимедиа]] утром [[7 сентября 2019 года|7 сентября]] мотивацией атакующих [[FoundationSite:news/2019/09/07/malicious-attack-on-wikipedia-what-we-know-and-what-were-doing|названа]] популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.
В кратком официальном коммюнике [[Фонд Викимедиа|Фонда Викимедиа]] утром [[7 сентября 2019 года|7 сентября]] мотивацией атакующих [[FoundationSite:news/2019/09/07/malicious-attack-on-wikipedia-what-we-know-and-what-were-doing|названа]] популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.


В силу устройства инфраструктуры Фонда Викимедиа, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного Полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Вирджинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 18:10 (UTC). Сотрудник Фонда сетевой инженер Брэндон Блэк [[phab:T232224#5472590|подтвердил]], что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако, вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Вирджинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 сегодня (7 сентября), по московскому времени.
В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк [[phab:T232224#5472590|подтвердил]], что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Вирджинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября.


Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:
Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:

Версия от 14:17, 7 сентября 2019

7 сентября 2019 года

В этой статье упоминается Фонд Викимедиа, какой-либо из его проектов или люди, имеющие к ним отношение. Викиновости — один из проектов Фонда Викимедиа.

6 сентября 2019 года в конце девятого часа вечера по московскому времени Википедия и другие проекты Викимедиа перестали открываться у многих пользователей в Европе и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт Викимедиа Германия в Твиттере сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.


График сетевого трафика на кластер серверов Wikimedia в Эшберне, штат Виргиния, достигавшего 24 Гбит/с


Незадолго до сообщения немецких викимедийцев, в 23:39 МСК, с зарегистрированного в сентябре 2019 года твиттер-аккаунта @UKDrillas было отправлено первое сообщение о том, что владельцы аккаунта атакуют амстердамские (Esams) и американские (Eqiad) сервера Фонда Викимедиа и держат их недоступными с 23:00 МСК, а незадолго до этого атаковали их же в испытательных целях спорадически:

«В данный момент кладём каналы Википедии: 20-гигабитный AMS-IX и 10-гигабитный «Эквиникс Чикаго». Айпи: 91.198.174.192 и 208.80.153.224 соответственно. Начали атаковать с перерывами несколько часов назад для испытаний. Положили с девяти вечера по британскому летнему времени. =)
»

Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на Twitch.

По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей», а корыстного интереса у них на данный момент нет:

«<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно.
»

В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени.

Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов[1]).

В 21:35 МСК инженер Фонда Викимедиа Брэндон Блэк написал в IRC-канале #wikimedia-operations, предназначенном для координации инженеров, поддерживающих сервера Фонда:

«<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
»

Сообщение не заархивировалось в публичном логе канала, поскольку, как пояснил в Фейсбуке старший аналитик Фонда Тильман Байер, около 21:22 МСК предположительно из-за нерасчётного количества сообщений на IRC-сервере отключился специально предназначенный для этой цели бот.

В кратком официальном коммюнике Фонда Викимедиа утром 7 сентября мотивацией атакующих названа популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.

В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк подтвердил, что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Вирджинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября.

Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:

«Уже прекратили бить твич наряду с Википедией. Вернёмся в то же время завтра =)
»

Источники

Ссылки

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.
  • .."я понимаю атака на популярных блогеров, чтобы не расслаблялись, а Википедия тут причём".. — Это неподписанное сообщение добавлено 92.37.142.20 (обс · вклад) 16:41, 7 сентября 2019
  • После атаки на Blizzard, до возобновления атаки на Википедию дело может не дойти :-)Vort (обсуждение) 17:28, 7 сентября 2019 (UTC)


  1. На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1