Ранее неизвестная хакерская группировка UkDrillas взяла на себя ответственность за DDoS-атаку на Википедию и Twitch: различия между версиями
[непроверенная версия] | [непроверенная версия] |
Ain92 (обсуждение | вклад) переводы |
Ain92 (обсуждение | вклад) стилевые правки |
||
Строка 3: | Строка 3: | ||
{{тема|Вики-проекты Викимедиа|Хакерские атаки}} |
{{тема|Вики-проекты Викимедиа|Хакерские атаки}} |
||
{{WikimediaMention}} |
{{WikimediaMention}} |
||
[[6 сентября 2019 года]] в конце девятого часа вечера по московскому времени [[Википедия]] и [[Вики-проекты Викимедиа|другие проекты Викимедиа]] перестали открываться у многих пользователей в [[Европа|Европе]] и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК [[Викимедиа Германия]] в [[Твиттер]]е сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40. |
[[6 сентября 2019 года]] в конце девятого часа вечера по московскому времени [[Википедия]] и [[Вики-проекты Викимедиа|другие проекты Викимедиа]] перестали открываться у многих пользователей в [[Европа|Европе]] и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт [[Викимедиа Германия]] в [[Твиттер]]е [https://twitter.com/WikimediaDE/statuses/1170077481447186432 сообщил] о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40. |
||
Строка 13: | Строка 13: | ||
{{oq|en|Currently dropping @Wikipedia<br>20G AMS-IX and 10G Equinix Chicago lines.<br>IPs: 91.198.174.192,208.80.153.224<br>respectively. Started attacking intermittently a few hours ago for testing.<br>Being held since 9PM BST+0.<br>{{=}})}} |
{{oq|en|Currently dropping @Wikipedia<br>20G AMS-IX and 10G Equinix Chicago lines.<br>IPs: 91.198.174.192,208.80.153.224<br>respectively. Started attacking intermittently a few hours ago for testing.<br>Being held since 9PM BST+0.<br>{{=}})}} |
||
}} |
}} |
||
Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на [[Twitch]]. |
Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на [[Twitch]]. |
||
По словам владельцев |
По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей», а корыстного интереса у них на данный момент нет: |
||
{{цитата|<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно. |
{{цитата|<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно. |
||
{{oq|en|<…><br> |
{{oq|en|<…><br> |
||
Строка 26: | Строка 25: | ||
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени. |
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени. |
||
Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с. |
Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов<ref>На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1</ref>). |
||
В 21:35 МСК инженер Фонда Викимедиа [[meta:User:BBlack_(WMF)|Брэндон Блэк]] написал в IRC-канале #wikimedia-operations: |
В 21:35 МСК инженер Фонда Викимедиа [[meta:User:BBlack_(WMF)|Брэндон Блэк]] написал в IRC-канале #wikimedia-operations, предназначенном для координации инженеров, поддерживающих сервера Фонда: |
||
{{цитата|<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке. |
{{цитата|<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке. |
||
{{oq|en|<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.}} |
{{oq|en|<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.}} |
||
Строка 36: | Строка 35: | ||
В кратком официальном коммюнике [[Фонд Викимедиа|Фонда Викимедиа]] утром [[7 сентября 2019 года|7 сентября]] мотивацией атакующих [[FoundationSite:news/2019/09/07/malicious-attack-on-wikipedia-what-we-know-and-what-were-doing|названа]] популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто. |
В кратком официальном коммюнике [[Фонд Викимедиа|Фонда Викимедиа]] утром [[7 сентября 2019 года|7 сентября]] мотивацией атакующих [[FoundationSite:news/2019/09/07/malicious-attack-on-wikipedia-what-we-know-and-what-were-doing|названа]] популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто. |
||
В силу устройства инфраструктуры Фонда |
В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк [[phab:T232224#5472590|подтвердил]], что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Вирджинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября. |
||
Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»: |
Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»: |
Версия от 14:17, 7 сентября 2019
Эта статья помечена как нуждающаяся перед публикацией в рецензии невовлечённых редакторов. См. Викиновости:Проверка статей. Только независимый редактор может опубликовать статью. Не следует заменять {{рецензировать}} на {{публиковать}} до тех пор, пока независимый редактор не проверит её. Инструкция для редакторов:
|
7 сентября 2019 года
В этой статье упоминается Фонд Викимедиа, какой-либо из его проектов или люди, имеющие к ним отношение. Викиновости — один из проектов Фонда Викимедиа. |
6 сентября 2019 года в конце девятого часа вечера по московскому времени Википедия и другие проекты Викимедиа перестали открываться у многих пользователей в Европе и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт Викимедиа Германия в Твиттере сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.
Незадолго до сообщения немецких викимедийцев, в 23:39 МСК, с зарегистрированного в сентябре 2019 года твиттер-аккаунта @UKDrillas было отправлено первое сообщение о том, что владельцы аккаунта атакуют амстердамские (Esams) и американские (Eqiad) сервера Фонда Викимедиа и держат их недоступными с 23:00 МСК, а незадолго до этого атаковали их же в испытательных целях спорадически:
В данный момент кладём каналы Википедии: 20-гигабитный AMS-IX и 10-гигабитный «Эквиникс Чикаго». Айпи: 91.198.174.192 и 208.80.153.224 соответственно. Начали атаковать с перерывами несколько часов назад для испытаний. Положили с девяти вечера по британскому летнему времени. =)
Оригинальный текст(англ.)
Currently dropping @Wikipedia
20G AMS-IX and 10G Equinix Chicago lines. IPs: 91.198.174.192,208.80.153.224 respectively. Started attacking intermittently a few hours ago for testing. Being held since 9PM BST+0. =) |
Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на Twitch.
По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей», а корыстного интереса у них на данный момент нет:
<…> У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили не так давно.
Оригинальный текст(англ.)
<…>
We have no finiancial incentive. This is just testing some new IOT devices which we're loaded not long ago. |
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени.
Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов[1]).
В 21:35 МСК инженер Фонда Викимедиа Брэндон Блэк написал в IRC-канале #wikimedia-operations, предназначенном для координации инженеров, поддерживающих сервера Фонда:
<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
Оригинальный текст(англ.)
<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.
|
Сообщение не заархивировалось в публичном логе канала, поскольку, как пояснил в Фейсбуке старший аналитик Фонда Тильман Байер, около 21:22 МСК предположительно из-за нерасчётного количества сообщений на IRC-сервере отключился специально предназначенный для этой цели бот.
В кратком официальном коммюнике Фонда Викимедиа утром 7 сентября мотивацией атакующих названа популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.
В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк подтвердил, что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Вирджинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября.
Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:
Уже прекратили бить твич наряду с Википедией. Вернёмся в то же время завтра =)
Оригинальный текст(англ.)
Stopped hitting twitch along with Wikipedia earlier.
We'll be back same time tomorrow =) |
Источники
- «Wikipedia disrupted globally in apparent denial of service attack». NetBlocks, 6 сентября 2019 года. (архив)
- Роман Московский «Пользователи «Википедии» по всему миру массово пожаловались на недоступность сервиса». TJ, 7 сентября 2019 года. (архив)
- «Malicious attack on Wikipedia—What we know, and what we’re doing». Wikimedia Foundation, 7 сентября 2019 года. (архив)
Ссылки
- phab:T232224
- https://grafana.wikimedia.org/d/000000330/varnish-machine-stats?from=1567786000000&to=1567894000000&var-datasource=esams%20prometheus%2Fops&var-cluster=bastion&var-instance=All&orgId=1 (состояние кластера в Амстердаме)
- https://grafana.wikimedia.org/d/000000330/varnish-machine-stats?from=1567786000000&to=1567840000000&var-datasource=eqiad%20prometheus%2Fops&var-cluster=bastion&var-instance=All&orgId=1 (состояние кластера в Вирджинии)
- https://www.facebook.com/groups/wikipediaweekly/permalink/2357240037657147
- https://twitter.com/UKDrillas/with_replies
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
- .."я понимаю атака на популярных блогеров, чтобы не расслаблялись, а Википедия тут причём".. — Это неподписанное сообщение добавлено 92.37.142.20 (обс · вклад) 16:41, 7 сентября 2019
- После атаки на Blizzard, до возобновления атаки на Википедию дело может не дойти — Vort (обсуждение) 17:28, 7 сентября 2019 (UTC)
- ↑ На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1