Szaleństwa roundcube'a

[Forma Życia 0]

przed chwilą coś się działo przez jakieś 20 minut, objaw dość dziwny - pingi szły (~1% lossów), jednak usługa była nierespondywna (vps) razem z efuturo.pl. Serwer jednak nie zaliczył padu - czyżby jakiś ddosik albo może ktoś sprytny uruchomił forkbombkę na maszynie?

 

tak na marginesie, czasami mam wrażenie, że niektórzy po prostu nie potrafią administrować swoimi maszynami (niech to będą serwery dedykowane, albo otchoćby vps'y), ani też odpowiednio ich optymalizować - i naogół to ci sami ludzie krzyczą najgłośniej iż im coś niedziała... ale to tylko moja opinia (nie, nie mojego dywanu) :>

[Sebak 298]

@TheBlood

 

Rzeczywiście mogły wystąpić kilku sekundowe przerwy w działaniu sieci, spowodowane wymianą switcha szkieletowego.

 

@Forma Życia

 

Około 15 serwerów dedykowanych / vpsów puszczało atak ddos na jeden adres IP serwera w OVH. Atak odbywał się przez dziurę w roundcubie. Doprowadziło to do destabilizacji pracy sieci. Ustalenie przyczyny takiego niecodziennego stanu rzeczy potrwało kilka minut, zważywszy na niecodzienną sytuację i porę.

 

W przypadku VPS'ów sprawa była prostsza, ograniczyliśmy dostęp roundcuba + usunęliśmy procesy odpowiedzialne za ataki. W przypadku serwerów dedykowanych, wycięliśmy na firewallu dostęp do roundcuba + restartowaliśmy maszyny. Zanim udało nam się ustalić przyczynę, serwer / vps'y które brały udział w ataku zostały zablokowane na routerze.

 

Sytuacja została opanowana około 6.

[Gość patrys]

To są te serwery w których kupuje się licencje na panel, klika na ./setup.sh i zostawia...

 

Na chwile obecna zastanawiamy się, jak zabezpieczyć się przed taką sytuacją w przyszłości.

 

Można prowadzić też pewną prewencję wysyłając mailingi o groźnych błędach, gdy ktoś ma np. /roudcube

[Sebak 298]

Wydawało mi się, że dziura w RC była dość głośno nadmuchana, więc wydawało mi się że ludzie powinni się przed tym zabezpieczyć.

 

Jest to dość nietypowa sytuacja, do tej pory zdarzał się pojedyńczy klient z takim problemem. Nigdy zaś, nie był to zmasowany atak, jak to miało miejsce w tej chwili. Była to naprawdę dziwna sytuacja i myślałem już, że coś sprzęt wariuje i pokazuje złe informacje...

 

Plus tego jest taki, że ktoś pewnie hurtowo wyłapał wszystkie dziurawe roundcuby . Więc teraz już nie powinno być podobnych sytuacji z tym oprogramowaniem.

[p 3]

Wydawało mi się, że dziura w RC była dość głośno nadmuchana, więc wydawało mi się że ludzie powinni się przed tym zabezpieczyć.

W odpowiednich kręgach... Zresztą tak jak napisał już patrys, praktycznie wszystkie dziurawe instalacje RC zostały 'wyklikane' przez osoby nie mające żadnego pojęcia o systemie, z którego korzystają...

[www.ionic.pl 535]

Co do RC, my prewencyjnie wysyłalismy mailing, z informacją, kilku klientów serwerów dedykowanych zgłosoiło się nawet do nas abyśmy im pomogli, to na prawdę przynosi rezultaty.

[patryk 451]

Jakiś timebomb się uruchomił? W jednej z serwerowni w UK mam do 80% strat pakietów, jak się okazało: "We are currently looking at a large scale DirectAdmin/Roundcube exploit that is causing large outbound DDOS to remote targets. ". Swoja drogą, wydzielam do osobnego tematu..

[ertcap 0]

Jakiś timebomb się uruchomił? W jednej z serwerowni w UK mam do 80% strat pakietów, jak się okazało: "We are currently looking at a large scale DirectAdmin/Roundcube exploit that is causing large outbound DDOS to remote targets. ".

Ano. Sam widzialem dzisiaj w nocy kilkaset Mbit ddosu (to jest udp flood).