Diverse Nederlandse sites slachtoffer ddos-aanval

Diverse grote Nederlandse sites, waaronder Tweakers.net, zijn zondagavond het slachtoffer geworden van een grootschalige ddos-aanval. De aanvallers probeerden op verschillende manieren de webservers lam te leggen.

De aanval op Tweakers.net vond zondagavond plaats. De eerste tekenen van de ddos-aanval dienden zich rond 21.30 uur aan, zo blijkt uit de statistieken van de webservers. Na een uurtje hadden de systeembeheerders van Tweakers.net de aanval onder controle en konden de binnenkomende packets adequaat worden geweerd.

Tweakers.net was overigens niet het enige slachtoffer van de aanval. Ook FOK moest het ontgelden. Het is niet bekend of de aanval gerelateerd is aan de hack van FOK zaterdagavond, waarover Tweakers.net zondag berichtte.

Nadat de systeembeheerders van Tweakers.net de aanval succesvol wisten te weren door terugkerende patronen in het binnenkomende verkeer te onderscheiden, lijkt het alsof de aanvallers hun pijlen hebben gericht op de servers van GeenStijl, Dumpert.nl en Spitsnieuws. Ook deze websites gingen zondagavond plat als gevolg van wat een ddos-aanval lijkt.

Het is nog niet bekend wie of welke groep achter de aanvallen zit. Wel is bekend dat de aanvaller of aanvallers het ook via 'udp flooding' hebben geprobeerd. Tijdens die udp-aanval was er sprake van 30.000 packets per seconde die werden geblokkeerd. Op het hoogtepunt van de tcp-aanval, die aan de udp-aanval vooraf ging, werden er zo´n 150.000 packets per seconde op de servers van Tweakers.net afgevuurd. Uit onderzoek is inmiddels gebleken dat de servers van FOK en Tweakers.net op dezelfde manier zijn belaagd. Tijdens de aanval werden er 20 tot 25 miljoen gespoofde ip-adressen gebruikt.

Door Wilbert de Vries

Feedback • 23-08-2009 23:45304

23-08-2009 • 23:45

304 Linkedin Whatsapp

Lees meer

Programmeur VS zette botnet in tegen negatieve publiciteit
Programmeur VS zette botnet in tegen negatieve publiciteit Nieuws van 24 september 2010
Server- & netwerkstatusmeldingen IX
Server- & netwerkstatusmeldingen IX .Plan van 17 februari 2010
'Fok-hacker biedt naw-gegevens uit databases te koop aan'
'Fok-hacker biedt naw-gegevens uit databases te koop aan' Nieuws van 5 september 2009
Rechter stelt borgsom 'kapende systeembeheerder' op 5 miljoen dollar
Rechter stelt borgsom 'kapende systeembeheerder' op 5 miljoen dollar Nieuws van 1 september 2009
Website FOK gehackt en onder vuur van ddos-aanval
Website FOK gehackt en onder vuur van ddos-aanval Nieuws van 23 augustus 2009
Meer producten en artikelen
Internettoegang Tweakers Beveiliging

IT-banen

Meer vacatures

Reacties (304)

-Moderatie-faq
304
285
140
7
0
6
Wijzig sortering
Anoniem: 149075
24 augustus 2009 10:24
Wat ik zeer mis vind in de berichtgeving is dat tweakers om 21:30 plat gaat, na een uur hebben ze e boel onder controle, dat is dus 22:30... hierna worden ook andere sites aangevallen, deze zouden om middernacht nog steeds offline zijn...

Raar vind ik hier dat middernacht misbruikt wordt om een soortement van aan te tonen dat andere beheerders mindere skills hebben dan die van tweakers.... de tijd van down is vrijwel hetzelfde op dat moment....

Er zijn regelmatig SQL issues met servers hier, etc... daar wordt alleen gejuigd als het weer werkt en niet gekeken hoe dat eigenlijk ondervangen had moeten worden.

Je kunt je dan zelf de vraag stellen... is het niveau van admin(s) zo goed of het niveau van de gemiddelde gebruiker hier zo laag dat ze alleen maar lof kunnen uitspreken op iedere spatie die gezet wordt ?

[Reactie gewijzigd door Anoniem: 149075 op 24 augustus 2009 10:24]

Kees
@Anoniem: 14907524 augustus 2009 11:24
Er zijn meer dan genoeg andere mensen die dit ook kunnen, en ik had het eigenlijk ook veel sneller op moeten kunnen lossen, het is nu niet bepaald rocketscience om een tcpdump te draaien en te zien wat je eraan kan blokkeren. Dat het zo lang duurde was omdat we al bijna 6 jaar geen ddos meer gehad hadden (iig niet een die voor downtime zorgde) zodat het even duurde voordat we er achter kwamen wat het precies was.

Overigens; regelmatig SQL issues hier? dat valt volgens mij best wel mee, deze uur downtime is verruit de langste die we dit jaar hebben gehad.

Verder is het niet de gebruiker die moet gaan kijken naar hoe iets opgevangen moet worden als er iets stuk gaat, de meesten hebben daar niet genoeg inzicht in ons serverpark voor, en 'wij' als serverbeheer kijken echt wel naar hoe we zoiets in de toekomst kunnen opvangen (en daarom zijn we ook weer bezig met een nieuw plan voor de database servers, waarmee we hopelijk nog meer downtime kunnen afvangen).

Er is ruimte voor verbetering, en ik heb er weer wat bijgeleerd. Hoe het nivo van het serverbeheer hier is tov andere sites durf ik geen uitspraken over te doen, ik weet niet wat zij precies binnenkregen qua verkeer en hoe eenvoudig het was om dat eventueel te blokkeren. En over het gemiddelde nivo van de bezoeker hier; ik vind het wel prettig om afentoe lof te krijgen voor elke spatie die ik zet - wie niet? :P
Anoniem: 149075
@Kees24 augustus 2009 12:32
Als je ineens veel verkeer genereert dan doe je toch direct een tcpdump ? Dat is echt verre van rocketscience inderdaad.

Ik zou zeggen... Snorty en je kunt volgende keer wellicht blijven slapen... kost wat tijd om in te richten maar je kunt zelfs een Cisco router er mee bedienen....

Je reactie op het feit dat een gebruiker niet kan inschatten hoe jullie netwerk in elkaar zit vind ik wel wat lef hebben. Dergelijke sites hebben eigenlijk een paar mogelijkheden, en database replicaties met één of meerdere (write)masters en slaves voor het lezen lijkt me ook geen rocketscience meer... hence... sites als marktplaats draaien al jaren zo, ja mysql ja ;)

En dan niet over vrijwilligerswerk beginnen... want zo ken ik er ook nog wel een paar :+

Verder fijn dat het opgelost is... DDos is sowiezo lame.
Kees
@Anoniem: 14907524 augustus 2009 12:46
Tja, in eerste instantie krijg ik niet meer info dan 'het is stuk', vervolgens kijk ik dan uiteraard eerst naar de dingen waar we in het verleden problemen mee gehad hebben (mysql, ocfs2 etc) en dan pas naar de loadbalancers. En opzich kregen we niet bijzonder veel traffic binnen, en ja, het had sneller opgelost kunnen worden.

Overigens denk ik niet dat Snorty hier erg veel tegen had kunnen doen, tenzij het zeer specifiek voor deze situatie stond afgesteld, en de 3 aanvallen die erna kwamen had ik in principe wel gewoon doorheen kunnen slapen ;)

En mysql kan inderdaad prima wat hebben, maar zelfs met replicatie en de hele reutemeteut zul je errors krijgen als mysql zelf loopt te bokken; dat is wat een paar weken geleden zorgde voor SQL errors, mysql viel gewoon 1 minuut lang weg zonder ook maar een error te geven waar dan ook.

En inderdaad, DDoS is lame.
Pixeltje
@Anoniem: 14907524 augustus 2009 10:55
Ik denk dat als je met een uurtje voorspelbare patronen kunt ontdekken in de binnenkomende stroom van pakketjes, en er vervolgens 150.000/seconde kan stoppen je toch wel ongeveer weet waar je mee bezig bent.

Nevertheless, jammer dat iemand kennelijk een te kleine piemel heeft, en de wereld graag laat zien wat hij allemaal met een toetsenbord kan. Het schijnt dat het in deze tijd erg lastig is om gewoon van andermans spullen af te blijven..
Anoniem: 149075
@Pixeltje24 augustus 2009 10:59
De vraag is dus... een ander zou dat volgens jou post niet kunnen ?

Ik vind het 5-min verschil dick-showoff altijd zo lame.
Anoniem: 309109
24 augustus 2009 09:21
na dit bericht te lezen gehad hebben heb ik mijn eigen server gecontroleerd
en deze wat verdomme ook onder atack blijkbaar ook al bezig van gisteren avond zelfde tijd als tweaker plat ging
wat vreemd is want er staat niks belangrijks of zo op gewoon paar websites met verder weinig bezoekers dus :(

dit stond er in mijn webmin procces

perl udp.pl 91.201.195.230 0 0
perl udp.pl 91.201.195.230 80 0
perl udp.pl 88.191.100.144 80 0
perl udp.pl 78.21.149.64 53 0

met een hoge cpu percentage elk er werd zo'n 20mbits constant weg getrokken goed voor verlies van 80gb trafiek :(
men dedicated hoster is worldstream en heb ze gemaild
weet natuurlijk niet of dit door de aanvallen op de Nederlandse websites heeft te maken natuurlijk maar is wel heel toevallig zelfde tijdstip
mindcrash
@Anoniem: 30910924 augustus 2009 09:36
Onder attack? Man, het lijkt erop dat je server is geroot en juist heeft meegeholpen bij deze aanval; vier processen die een UDP script draaien die onder meer verbindingen leggen naar een HTTP en DNS poort lijken me namelijk niet echt legit.

Ik zou dat ding ASAP van het netwerk trekken en onderzoeken wie (lees: welke IP adressen naast die van jou) er de afgelopen tijd jouw bak hebben bezocht via SSH. Wellicht helpt dat ook in het onderzoek naar de vermeende dader(s).

Alvast trouwens een goede tip voor de volgende keer; zorg voor een zo'n klein mogelijke attack surface aan de buitenkant (dus zet alle poorten dicht die zowiezo niet naar buiten open horen te staan), houd security advisories over de door jouw gebruikte server software in de gaten (Apache, PHP etc.) en zorg ervoor dat SSH verkeer en andere admin access (lees: Webmin) alleen mogelijk is vanaf jouw IP thuis (en een eventueel kantoor).

[Reactie gewijzigd door mindcrash op 24 augustus 2009 09:44]

Anoniem: 309109
@mindcrash24 augustus 2009 09:41
ik schaam me dood dat dit is kunnen gebeuren :( ooh wee als ik die klootzak vind

edit : en alleen een vriend en worldstream en ik zelf hebben nog contact gehad op ssh

maar ik denk een week en half terug deed plots ssh niet en dit leek op een attack en worldstream heeft het verder wel terug gereset maar verder niet onderzocht wel is SSH port veranderd en passwoord daarnaa

edit 2 : Worldstream is het momenteel aan het onderzoeken

[Reactie gewijzigd door Anoniem: 309109 op 24 augustus 2009 10:11]

hostname
@Anoniem: 30910924 augustus 2009 09:30
Lijkt meer op alsof ie misbruikt word voor iets...
Anoniem: 315324
24 augustus 2009 00:04
Alles komt van 4chan, en al is het misschien zielig te noemen, omdat geen website vraagt om een ddos aanval, zou je ook even kunnen reflecteren waarom dit nu plaatsvindt.

In het geval van Tweakers is het het meest onterecht, omdat dit een degelijke site is die enig respect voor elkaar hanteert.
In de andere gevallen, met name GeenStijl en FOK!, kunnen ze zich misschien achter hun oren krabbelen en zich afvragen of hun manier van opereren in de media en hun eigen manier van doen richting hun users wellicht wat te maken heeft met deze internetaanvallen.
Ik draag de verantwoordelijke, afhankelijk wat zijn of haar motivatie is, misschien een warm hart toe, als dat inderdaad de boodschap is die ze proberen te verkondigen.

En eens in de zoveel tijd gewezen worden op de tekortkomingen van je site is niet eens zo ontzettend stom als er geen grote consequenties aan vast zitten.
Tweakers heeft zijn zaken duidelijk op een rijtje en is dan ook het minste slachtoffer van dit hele gebeuren.
Je kunt in plaats van daar over klagen, er ook iets positiefs uit halen als internetsite.
En als je echt degelijk bent, zou je zelfs een helpende hand richting de andere "slachtoffers" kunnen steken.
Dat zou goede publiciteit voor Tweakers kunnen opleveren, en ook karakter tonen als site. :)

..en dan gewoon even de wetten en regels vergeten, maar op gut instinct opereren. :)
Kees
@Anoniem: 31532424 augustus 2009 01:07
Dit was een aanval van een persoon (en niet een erg behoorlijke, ik had hem binnen 30m nadat ik erop gewezen was door). Ik denk niet dat je 4chan hier verantwoordelijk voor kan stellen.

Dat ik weet hoe zo'n ddos geblocked kan worden; en ook geenstijl die zijn ook snel weer in de lucht; wijst er maar weer eens op dat dit typisch een 'sctiptkiddie' was die het probeerde. En tja, als ik het probeer lukt het mij ook echt wel, die ervaring heb ik wel.
Hans
@Anoniem: 31532424 augustus 2009 00:20
Wat bazel je nou met je 4chan. Heb je ook feiten om het te onderbouwen of heb je ook es ergens iets gehoord?
Anoniem: 217034
@Anoniem: 31532424 augustus 2009 00:22
Ja, want als je het niet met een persoon of groep mensen hun mening eens bent dan is het natuurlijk prima om je te verlagen tot criminaliteit om ze jouw standpunt duidelijk te maken.

Misschien moet je ook nog wat andere criminelen een warm hart toedragen. Zelfmoordterroristen, ik noem maar een voorbeeld, vinden ook dat hun slachtoffers het op henzelf afgeroepen hebben.

Als mensen de wet overtreden dan is er de gerechtelijke macht om voor een oplossing of passende straf te zorgen. Is het niet tegen de wet, dan kun je het nog zo erg met ze oneens zijn, je kan zeggen wat je er van vind, maar je houdt je gore tengels (virtueel of fysiek) thuis.

Misschien volgende keer eerst even nadenken voor je zoiets doms plaatst?
Volv
@Anoniem: 31532424 augustus 2009 00:22
ik zie niet in wat 4chan met deze DDoS te maken heeft...
denk niet dat de (meeste) 4channers de kennis hebben om zo'n grote aanval uit te voeren =p
Daywalk3r
@Anoniem: 31532424 augustus 2009 00:59
Dat is geen vrijstelling om een website te ddosen!
Anoniem: 312465
@Anoniem: 31532424 augustus 2009 00:17
Ondanks dat het op Tweakers heel netjes blijft, gaat het op websites als FOK! en Geenstijl helemaal los. En als je ziet dat zowat elke tweaker hier op FOK! rondhangt, verbaast het me niet dat ook Tweakers aangevallen werd.
Bolletje
@Anoniem: 31246524 augustus 2009 00:20
Er zijn denk ik meer Tweakers die walgen van Fok!.
Anoniem: 315324
@Dani8624 augustus 2009 00:35
GeenStijl is alweer online, en je hoeft niet P - C te zijn, maar GeenStijl heeft erg veel heksenjachten geinitieerd, en al hebben ze ook soms goede media-nieuwtjes, zijn ze te vaak bezig met het organiseren van klopjachten op mensen die relatief gezien weinig fout doen, terwijl er veel betere zaken zijn om aan de orde te stellen. Het idee was goed, de uitvoering soms minder, en vooral de reaguurders zouden ze best eens wat beter in de gaten kunnen houden. :)

Ik vind niets goed, zeker geen censuur, ik probeer enkel een idee achter deze aanvallen te zoeken, en als het niet willekeurig is, dan is dit een redelijke uitleg, in mijn visie. :)

Ik bedoel het niet kwaad, ik toon alleen mijn nieuwsgierigheid naar dergelijke aanvallen en een eventuele reden daarachter. :)

En buiten het wijzen op de beperkte veiligheid die je op internet blijkt te hebben, wat helaas niet iedereen doorheeft, zelfs al ben je goed onderlegd qua kundigheid wat betreft internet, lijkt dit me een goede reden...
Niets meer, niets minder.
wouterds
24 augustus 2009 00:00
Mijn eerste reactie op tweakers :o!
(lees hier wel al 1 jaar artiekels :D)

Wat zijn gespoofde ip-adressen? Kan iemand me hier wat meer uitleg over geven en hoe dit werkt?
ndsc
@wouterds24 augustus 2009 00:02
De packets zodanig aanpassen zodat het lijkt alsof het van een bepaald IP adres afkomstig is terwijl het niet zo is. Spoofen dus. :)
hoeboe
@wouterds24 augustus 2009 00:03
Gespoofd betekend nep. Dus 1 machine stuurt door middel van bepaalde codes zogenaamd vanaf verschillende adressen, terwijl dit fysiek maar 1 adres is
AW_Bos
@wouterds24 augustus 2009 00:04
http://en.wikipedia.org/wiki/IP_address_spoofing
Keypunchie
@wouterds24 augustus 2009 00:07
Dat is verkeer dat van Ip-adres Y lijkt te zijn verzonden terwijl het eigenlijk van adres X afkomt. Vergelijk het met een postpakketje waar een verkeerd/vals retouradres op zit. In dit geval is het de bedoeling om de bron van het verkeer te verhullen, zodat je niet simpelweg al het verkeer van dag adres kan filteren.
CyBeR
@wouterds24 augustus 2009 00:09
IP-adressen die anders zijn dan welke je eigenlijk hoort te hebben. Bijvoorbeeld ik heb IP adres 1.2.3.4, maar ondertussen probeer ik met 6.7.8.9 tegen je aan te lullen.

Het antwoord gaat niet terug komen naar mij, maar dat is in deze situatie niet zo interessant.
Gamebuster
@wouterds24 augustus 2009 05:23
Je schrijft een brief en doet deze in een envelop. Vervolgens zet je daar een nep afzender adres op en stuur je deze naar tweakers.net. Voila: post met spoofed afzender adres.
jeroenikke
23 augustus 2009 23:47
Proficiat met jullie succesvolle afwering! Zullen jullie nu die andere sites bijstaan om de patronen te herkennen?
hhoekstra
@jeroenikke23 augustus 2009 23:48
Zou wel zo netjes zijn om FOK.nl te helpen.

Zelf ben ik ook benieuwd wie deze aanval op zich zal gaan nemen. Zal wel één of andere kiddo zijn die zich verveeld. :O
himlims_
@hhoekstra23 augustus 2009 23:52
Zal wel één of andere kiddo zijn die zich verveeld.
geloof niet dat 't slechts één creatief figuur is, als dat wel zo is is deze aardig geschoold in de hedendaagse technische mogelijkheden.
150.000 packets p/s doe je niet zomaar eventjes. Daarvoor is wel de nodige bandbreete vereist(botnet)

als ik die kennis had [..] zat ik inmiddels op de bahama's :+ kun je vast wel wat meer mee dan websites plat leggen

[Reactie gewijzigd door himlims_ op 24 augustus 2009 00:25]

totaalgeenhard
@himlims_24 augustus 2009 00:57
150.000 packets p/s doe je niet zomaar eventjes. Daarvoor is wel de nodige bandbreete vereist(botnet)
MTU verlagen ping -f via een gigabit NIC... makkelijk.
Eventueel maak je zelf iets zodat je overhead van TCP zo min mogelijk gebruikt. Vandaag ook dat ze UDP gebruiken.

Moet je wel ergens een gigabit uplink hebben om het daadwerkelijk weg te krijgen.

Overigens is het wel iemand zonder leven, als je zonder aanleiding (geen verband tussen slachtoffers) gaat DDoSSen ben je zinloos bezig.

Niet dat ik beweer dat er NUTTIGE doeleinden zijn voor DDoSSers, maar uit hacktivisme (politiek gebaseerde) kunnen mensen dingen wel voor zichzelf legitimeren.

Een week overheid websites + een dag geenstijl plathouden levert je hooguit 30 dagen + 3000 euro schade vergoeding op.
dasiro
@totaalgeenhard24 augustus 2009 08:52
Niet dat ik beweer dat er NUTTIGE doeleinden zijn voor DDoSSers, maar uit hacktivisme (politiek gebaseerde) kunnen mensen dingen wel voor zichzelf legitimeren.
t.net users die fok wat belachelijk maakten doordat ze gehacked en geddos'ed waren hebben nu anders wel lekker het deksel op de neus gekregen.

die sql-inject moet specifiek voor fok geschreven zijn, dus het zal wel wat langer duren vooraleer die mogelijk voor t.net ook uitgevoerd kan worden.
johnkeates
@dasiro24 augustus 2009 09:08
Hmm, dat zal je vies tegenvallen, want t.net ging niet ten onder.. :p En fok maakt zichzelf belachelijk. Niks mis mee, maar leg het probleem niet bij de mensen die je er op wijzen.
dasiro
@johnkeates24 augustus 2009 09:51
kijk eens naar de server-stats: die lijken me wel duidelijk genoeg
redwing
@dasiro24 augustus 2009 10:37
Och de meeste reakties gingen over de hack en daar heeft t.net geen last van gehad. Verder is het natuurlijk ook wel een verschil of een site 24 uur lang haast onbereikbaar is of de aanval binnen een uur onder controle heeft. Maar ja, ik mag ook hopen dat er bij een tech-site wel wat meer kennis in huis is :)
johnkeates
@dasiro24 augustus 2009 10:52
Daar heb ik al uitgebreid naar gekeken, en dan nog is t.net niet dood. Ik weet niet waar je met op probeert te wijzen?
Jaap-Jan
@dasiro24 augustus 2009 10:12
Niemand gaat FOK! belachelijk maken omdat ze last hebben van een DDoS, daar kunnen ze namelijk niets aan doen. Die hack daar kunnen ze wel wat aan doen, namelijk hun software goed nakijken. :)
4np
@dasiro24 augustus 2009 09:09
http://xkcd.com/327/ :o
MSalters
@totaalgeenhard24 augustus 2009 21:49
IP MTU verlagen? Wat win je daarmee op een Gigabit NIC? Het blijft Ethernet, dus je Ethenet frames zijn en blijven 1500 bytes. Met 1500 bytes / 12000 bits zit je dus op maximaal 80.000 frames/seconde. Je hebt dus twee GBit Ethernet uplinks nodig die beiden op wirespeed kunnen routen.
leuk_he
@MSalters25 augustus 2009 00:08
http://en.wikipedia.org/wiki/Ethernet

maakt wel degelijk uit hoor. frames kunnen wel degelijk kleiner.
chaos.be
@himlims_24 augustus 2009 00:02
We spreken hier waarschijnlijk over een botnet, als je een grote massa pc's gebruikt met een matige internetverbinding (ADSL-aansluiting) bekom je een reusachtig beschikbare bandbreedte...
Malantur
@chaos.be24 augustus 2009 00:25
Dan nog, mensen met een botnet zijn niet bepaald mensen die zich vervelen. 150.000 packets per seconde is niet bepaald een klein botnet denk ik..
Cergorach
@Malantur24 augustus 2009 00:33
Ach, vroeger had je een tamagotchi, nu heb je een botnet. S'nacht's je bed uit omdat het gevoederd moet worden, 's avonds even een aai over z'n bol en op zondag avond even uitlaten bij een paar websites zoals tweakers...

;-)
johnkeates
@Cergorach24 augustus 2009 09:05
Je bent het kusje vergeten aan de eind van de sms!

*botnet keert zich woedend tegen t.net*


Mooi dat de aanval afgeweerd werd, jammer dat de server admins op andere sites niet op hetzelfde niveau werken als hier..

[Reactie gewijzigd door johnkeates op 24 augustus 2009 09:06]

Anoniem: 196662
@Malantur24 augustus 2009 05:24
Je kan gewoon op enkele russische sites gaan en een botnet huren hoor. Krijg je een lekker programma erbij zodat je er zeker niet veel over moet weten.
4np
@Anoniem: 19666224 augustus 2009 09:03
Waar dan weer een Trojan in zit zodat je ook direct onderdeel wordt van het zombie netwerk :)
johnkeates
@Anoniem: 19666224 augustus 2009 09:07
Maar ik kan geen russisch, wat nu?
Gepetto
@Anoniem: 19666224 augustus 2009 09:35
www.rentokill.ru :+

[Reactie gewijzigd door Gepetto op 24 augustus 2009 09:37]

Anoniem: 52621
@Anoniem: 19666224 augustus 2009 09:47
ach, gaat toch krassen! :D
Lapixx
@Malantur24 augustus 2009 09:07
Niet uit verveling? Waarom dan? Als je willekeurige websites gaat DDOSsen heb je gewoon helemaal niks te doen in je vrije tijd...
T-men
@Lapixx24 augustus 2009 12:06
Waarom ? Wat dacht je van: reclame voor je botnetje... !
geerttttt
@chaos.be24 augustus 2009 00:25
Ja, 20 tot 25 miljoen ip adressen. dat zijn dus een hele shitload aan pc's.
AW_Bos
@geerttttt24 augustus 2009 00:27
Nee, ze waren gespoofed...
SKiLLa
@AW_Bos24 augustus 2009 11:27
Wat het belang van ingress-en vooral egress-filtering weer eens aangeeft. Een groot aantal - serieuze - Nederlandse providers doen dit, maar helaas is dit in sommige landen minder gebruikelijk, ookal zou het DDoS-aanvallen en spam met gespoofde source-adressen grotendeels kunnen voorkomen.

Als aan dergelijke filtering gedaan wordt, zou men bij DDoS aanvallen tevens logs kunnen aanleggen van de zombie-hosts die betrokken zijn bij de aanval en deze vervolgens 'bulk' bij de Abusedesk van de betreffende ISP kunnen neerleggen, zodat - hopelijk - een groot deel van het gebruikte botnet ontmanteld kan worden ...

[Reactie gewijzigd door SKiLLa op 24 augustus 2009 11:28]

MSalters
@SKiLLa24 augustus 2009 21:43
Hoe helpt egress filtering tegen het spoofen van andere adressen uit dat blok? De eigenaar van x.y.z.1 kan x.y.z.2 spoofen en dat vang je niet met egress filtering.

Het is overigens best te ontdekken, en daarna kun je de verantwoordelijke poort (op een laag onder IP) dichtzetten. Dat is echter geen egress filtering.
jeroenikke
@hhoekstra23 augustus 2009 23:53
Dan wel een kiddo die erg veel computers kan besturen...

Niet dat ik respect heb voor de persoon/groep die dit gedaan heeft, maar volgens mij hadden ze wel een mooi botnet in beheer...
Anoniem: 283778
@jeroenikke23 augustus 2009 23:56
Inderdaad, tweakers, FOK, GeenStijl en Spitsnieuws.
Dat duid op een behoorlijke botnet.

Iedereen kan een botnet maken, maar wil je een grote bouwen dan heb je toch wel wat kennis nodig en geduld.
lamme23
@Anoniem: 28377824 augustus 2009 07:35
Volgens mij hoef je steeds minder geduld te hebben. In bijna alle 'geleende' software, die tegenwoordig langs komt op nieuwsgroepen en torrents en zo, zit wel een trojan en/of een rootkit. Niet alleen in de keymakers, maar ook veel in de setup.exe en eventuele andere executables.
Nadat de systeembeheerders van Tweakers.net de aanval succesvol wisten te weren door terugkerende patronen in het binnenkomende verkeer te onderscheiden,
En voor de meeste van die kiddies geldt over het algemeen dat ze geen idee hebben wat ze werkelijk aanrichten met hun cybervandalisme. Een groot botnet maken is geen kunst. Als ze het echt slim hadden aangepakt hadden ze meer verschillende patronen moeten aanbieden. Maar waarschijnlijk hebben de daar niet genoeg kennis voor omdat ze de botnets niet zelf ontworpen hebben.
Anoniem: 92624
@lamme2324 augustus 2009 17:08
sssst.. laat mensen die trojan-geinfecteerde zooi lekker 'gratis' gebruiken!

Je gaat jongeren toch ook niet leren om met een condoom te sexen.. hoe moeten besmettelijke ziektes dan zich voortplanten???

(cynisch bedoeld)
Kees
@Anoniem: 28377824 augustus 2009 00:55
ik weet niet of het een 'behoorlijk' botnet was, maar er was niet echt veel verkeer, eht was meer gericht op een aantal services, en daarom lagen wij ook plat.
Kees
@hhoekstra23 augustus 2009 23:54
Ja hoor, ik ben al met mensen van Fok! in gesprek, zoals niet meer dan normaal is.
JaWSnl
@jeroenikke23 augustus 2009 23:55
idd ben ik de admins ook erg dankbaar voor hun skills... toch wel ff balen, geen tweakers als je het graag wilt :P

20 tot 25 miljoen ip adressen... is dat niet een GIGANTISCH botnet? Of betekent dit niet gelijk een even groot aantal geinfecteerde computers?
Kettrick
@JaWSnl23 augustus 2009 23:56
Tijdens de aanval werden er 20 tot 25 miljoen gespoofde ip-adressen gebruikt.
De IP adressen hoeven dus niet perse overeen te komen met een machine, volgens mij kan je dus weinig zeggen over de feitelijke hoeveelheid machines.

Ben geen expert op dit gebied, dus misschien zit ik er naast :?
Peerke
@Kettrick24 augustus 2009 00:07
Ik sta er nog steeds van te kijken dat er zoveel ISP's zijn die hun netwerk niet controleren of het pakketje wat hun netwerk verlaat, ook daadwerkelijk een source-adres heeft uit hun netwerk. Als ze alle niet-valide pakketjes meteen zouden droppen, heb je het grootste probleem al opgelost..
geerttttt
@Peerke24 augustus 2009 00:26
Lijkt me toch dat als de ISP ALLE pakketjes van ALLE klanten zou scannen dat het een inmens datapark mag opzetten om dat realtime bij te kunnen houden?
Anoniem: 52211
@geerttttt24 augustus 2009 00:36
Lijkt me toch dat als de ISP ALLE pakketjes van ALLE klanten zou scannen dat het een inmens datapark mag opzetten om dat realtime bij te kunnen houden?
Wat denk je dat een firewall doet?

Je zou het probleem ook gewoon al bij de modem kunnen aanpakken. Als iemand een gespooft pakket probeert te versturen, gewoon de verbinding dichtgooien voor 48 uur oid. Belachelijk dat er tegenwoordig nog ISP's zijn die spoofing toelaten.
basb
@geerttttt24 augustus 2009 00:55
Valt wel mee, belangrijkste is om niet te gaan proberen alles op 1 plek te scannen maar netwerk beetje opdelen. Met dedicated hardware kom je dan een heel eind. maar tja kost wel een bak met geld en daar heeft geen één bedrijf trek in.

Hetgene waar je enorme parken nodig voor hebt, is die belachelijke opslag plicht van verkeersgegevens.
.oisyn
@geerttttt24 augustus 2009 02:01
Ah ja, en pakketjes wourden automatisch gerouteerd wil je zeggen? Elke hop inspecteert packets - meestal gelimiteerd aan de IP headers, maar meer is voor dit ook niet belangrijk. En daar waar de pakketjes van de klant het netwerk van de ISP voor het eerst bereiken (meestal in de wijkcentrales), daar zou ook die controle gedaan kunnen worden.
MSalters
@geerttttt24 augustus 2009 21:53
Nee. Je moet typisch een stuk of 16 bits per IP packet testen. Dat is 1 binary operatie met 2 mogelijk resultaten. Als alle bits kloppen mag het packet mag door. Zoniet, dan mag het packet weg. Bovendien geldt dat de snelheid van een packet weggooien volstrekt onbelangrijk is. De typische tijden voor een dergelijk test liggen onder de 1 nanoseconde op een moderne chip. Dus elke ISP had deze complete flood kunnen egress-filteren in realtime, met 1 chip ( ! )
Z80
@Peerke24 augustus 2009 08:47
ook dit is geen probleem om te omzeilen.
controleer ip + subnet van de verbinding, en bereken de daarbij horende ip adressen
voor de spoof aanval.
dit kan volledig automatisch.
Malarky
@Peerke24 augustus 2009 11:22
Wij krijgen regelmatig mensen in de computerzaak met een brief van vooral KPN dat hun Internet afgesloten is omdat de computer geïnfecteerd is. Wij als computerzaak moeten dan eerst een handtekening onder de brief en factuur plaatsen dat het opgelost is. Dus controle (waarop precies weet ik niet) is er wel.
Cio
@Malarky24 augustus 2009 13:21
Conclusie: Jullie controleren niets, want wat het is weet je niet, maar je tekent toch.

Super!
Anoniem: 92624
@Cio24 augustus 2009 17:10
Dat is zoiets als een dokter die zegt dat je gezond bent, omdat hij niet weet hoe hij je ziekte moet diagnostiseren
AW_Bos
@JaWSnl24 augustus 2009 00:03
gespoofd... dus fictieve IP's... Nouja, neit de echte ip's daar waar ze vandaan komen.
IP adressen die gestuurd worden over de verbinding kunnen gewoon bij een Ddos aangepast worden naar alles....

(zoiets toch?)
totaalgeenhard
@JaWSnl24 augustus 2009 01:01
Uhm... als je vanuit een netwerk een source adres kunt versturen die niet tot dat netwerk hoort (uRFP uit zie: http://en.wikipedia.org/wiki/Reverse_path_forwarding) is een paar miljoen IP adressen genereren geen probleem. Mocht ooit eens blijken (die kans is heel erg klein) dat alles vanaf 1 machine af komt dan is het wel interessant om te zien of ze een random generator hebben gebruikt, want dat kost meer computing resources dat tcp packet op de lijn te zetten.
TheJVH
@JaWSnl23 augustus 2009 23:56
Wat denk je dat virussen soms doen?
MadDonkey
24 augustus 2009 00:25
FOK! is al veel langer offline dan de andere site's. Heeft dit een speciale reden? Wordt FOK! harder aangepakt dan de andere site's? Of zijn er geen admins van FOK! aan het werk?
Danny
@MadDonkey24 augustus 2009 00:41
Op FOK! duurt de DDoS inmiddels, met een paar korte tussenpozen, al drie dagen. Daarnaast hadden we ook nog een hack tussendoor. Ja, we zijn aan het werk en iteejer is - wederom - onderweg vanuit dordrecht naar amsterdam. Terwijl hij behoorlijk ziek is. Het is niet zo dat we uit onze neuzen zitten te nassen natuurlijk. Wij hebben alleen wat minder ervaring met dergelijke aanvallen.
MadDonkey
@Danny24 augustus 2009 00:45
Het was niet bedoeld als commentaar, ik was alleen nieuwsgierig waarom FOK! zoveel moeite heeft om de boel weer onder controle te krijgen.

En ik wil jullie bij deze dan ook sterkte wensen in deze moeilijke tijden!
Anoniem: 315191
@MadDonkey24 augustus 2009 00:50
Tweakers is natuurlijk op vrijdag en zaterdag (indirect) al gewaarschuwd voor een mogelijke DDoS.
Ze hebben zich kunnen voorbereiden.
Danny
@MadDonkey24 augustus 2009 00:50
tnx :) (ik vatte het overigens niet als aanval op ;))
Anoniem: 315324
@Danny24 augustus 2009 01:18
Vraag hulp aan Tweakers.net, ik denk dat ze best een helpende hand willen toesteken in deze situatie, of zoek mensen die je betalend willen helpen.
Soms vraag ik me oprecht af of je door hebt dat je 1 van de grootste fora in Nederland in bezit hebt, omdat je het altijd zo onprofessioneel op probeert te lossen.

En betaal je moderators, en geef ze duidelijke regels omtrent wat wel en niet geaccepteerd is, je hebt een goudmijn in bezit, maar je laat zoveel zitten...

Je ziet nu weer hoe professioneel Tweakers er mee omgaat, waarom kan dat op FOK! niet?
Terwijl Tweakers zich aan 1 aspect van interesses wijdt, wat hun eigen keuze is, en FOK! potentieel een allesomvattend forum zou kunnen zijn... :)
Exorcist
@MadDonkey24 augustus 2009 00:26
Fok had itt de andere sites grotere problemen dit weekend..
Anoniem: 315191
@MadDonkey24 augustus 2009 00:38
Er zijn binnen Fok! twee admins die hier verstand van hebben en één daarvan zit op Lowlands.
Vicarious
23 augustus 2009 23:50
Kansloze actie, een beetje lopen DDoSsen. Wel netjes dat jullie de aanval zo snel geweerd hebben. FOK! ligt er al 3x uit dit weekend. Misschien een idee om een snelle FAQ te maken om dit soort aanvallen te weren? Hebben andere sites ook weer baat bij.
arjankoole
@Vicarious23 augustus 2009 23:53
Uit ervaring weet ik dat ze zelden 2 keer hetzelfde geintje uithalen, dus zo'n FAQ heeft maar zeer beperkt effect, bovendien lezen de hackers 't ding ook, dus het geeft ze juist meer inzicht waar (niet) te zoeken de volgende keer.

Ik vermoed wat gestunt met tcpdump en heel goed kunnen detecteren wat de gemene deler was in de obscure packets. (zo doe ik 't altijd tenminste)
Vicarious
@arjankoole23 augustus 2009 23:56
Nouja, zoiets als jij nu post is al iets natuurlijk. Het hoeft geen detailpaper te zijn, maar meer waar je het in kan zoeken en een soort algemene aanpak. Een complete netwerkFAQ bestaat ook niet, maar je kan wel een algemene aanpak beschrijven hoe je een netwerkprobleem oplost. Stap1: controleer de kabel, en zo verder ;)
arjankoole
@Vicarious24 augustus 2009 00:02
daarvoor is een DDOS net iets te complex en variabel helaas.

wat je er vooral voor nodig hebt is een goed stel analytische hersens, en dat is iets wat je moet hebben, niet iets wat je kunt leren.
Kees
@arjankoole24 augustus 2009 01:02
En dat is precies wat er gebeurt is, gewoon even snel tcpdumpen, kijken wat er binnenkomt en hoe ik het kon blokkeren, daar is geen Ir of Dr titel voor nodig, maar gewoon een kwestie van goed kijken wat er gebeurd (en weten waar je moet kijken)
Anoniem: 62763
@arjankoole24 augustus 2009 13:20
wat je er vooral voor nodig hebt is een goed stel analytische hersens, en dat is iets wat je moet hebben, niet iets wat je kunt leren.
Analytisch brein is het resultaat van ervaring. Dus je kunt het wel zeker aanleren.
Anoniem: 196662
@Vicarious24 augustus 2009 07:41
Controleer de kabel is leuk voor amatuers met thuisservertje. Beetje website draait in een serverroom waar je niet ingeraakt zonder eerst een afspraak vast te leggen ;)
Rafe
@Vicarious23 augustus 2009 23:52
Het verschilt per aanval welke maatregelen er genomen moeten worden lijkt me. Goede sysadmins (zoals van T.net :P) kunnen het patroon van de aanval herkennen en er iets tegen doen.
CH4OS
@Rafe24 augustus 2009 01:04
Het verschilt per aanval welke maatregelen er genomen moeten worden lijkt me. Goede sysadmins (zoals van T.net :P) kunnen het patroon van de aanval herkennen en er iets tegen doen.
De systeembeheerders van andere sites zullen denk ik net zo goed zijn, anders raken ze gewoon klanten (als het bij de andere sites door derden is gehost) kwijt. Iets wat je niet wilt natuurlijk. :) (Al snap ik je :P emoticon weer wel ;))

[Reactie gewijzigd door CH4OS op 24 augustus 2009 01:05]

Anoniem: 16328
23 augustus 2009 23:48
!!! Kees is een held !!!

Allen na mij scandeer deze tekst uit volle borst ;)
totaalgeenhard
@Anoniem: 1632824 augustus 2009 01:09
Uhm, ik denk dat Kees en co er verstandig aandoen zich afzijdig en ingetogen te houden.

Misschien was het slechts een probe om te zien hoeveel ze nodig hebben voor een echte aanval.

In Nederland zijn er (bij mij weten) geen netwerken waar uRFP uit staat (zie mijn eerdere reactie) waardoor het vanuit buitenland komt.

Indien het een ECHTE grote aanval is, dan zal het nullrouten op border routers geen zin hebben omdat de pijp vol komt te zitten. (denk aan afsluiten riool in je straat, terwijl je in een dal zit en vanaf een berg regenwater naar beneden komt).

Het enige wat ze met veel moeite kunnen bewerkstelligen is op AMS-IX verkeer buiten Nederland te null-routen, zodat verkeer via AMS-IX wel gewoon aankomt. Ik weet niet of ze dat weleens eerder gedaan hebben (kost resources).
Kees
@totaalgeenhard24 augustus 2009 01:42
Dat is inderdaad een keer eerder gedaan, 6 jaar geleden. En nee, deze anval was redelijk amateuristisch van opzet en had ik sneller kunnen blocken als de server niet zo langzaam was geweest ;)

Een echt grote attack waarbij de pijpline vol komt is inderdaad weinig tegen te doen, maar dit was een 'technische' ddos, wat je redelijk eenvoudig kan blokkeren. En zodra ik het blokkeerde was het ook afgelopen 5m erna, dus de ddosser zt ook onze site te bekijken ;)
Cyberwizzard
@Kees24 augustus 2009 04:15
Mooi, dan hebben we na de analyse van de log files ongeveer 174.000 verdachten... Naja, 173.999 natuurlijk want ik was het in ieder geval niet 8-)
Gamebuster
@Cyberwizzard24 augustus 2009 05:18
Lees de logs van iedereen die op de site kwam 5 minuten na het blokkeren. :P
Matthew
@Anoniem: 1632823 augustus 2009 23:51
!!! Kees is een held !!!

Gefeliciteerd met jullie overwinning. O+
Convirion
23 augustus 2009 23:48
Zo zie je maar weer hoe professioneel de crew van t.net is in verhouding met andere sites!
Anoniem: 297771
@Convirion23 augustus 2009 23:51
Fok! en GeenStijl zijn andere sites dan Tweakers... Het lijkt me dan ook niet meer dan logisch dat ze er bij Tweakers beter mee om weten te gaan...
Kosty
@Anoniem: 29777124 augustus 2009 00:01
Lijkt mij dat andere grote sites ook gewoon "mensen" hebben die het onderhoud voor de servers verzorgen. Het is niet omdat een site een andere doelgroep heeft dat "alles achter de schermen" ook met dezelfde kennis van zaken moet gebeuren als die van de doelgroep.
Malantur
@Kosty24 augustus 2009 00:35
Wat je zegt klopt wel, maar op tweakers.net zijn vast wel meer mensen die er iets van weten, ervaring mee hebben en de motivatie ligt misschien ook hoger. Dat zou ik in ieder geval wel verwachten.
watercoolertje
@Kosty24 augustus 2009 08:38
haha nee dan was geenstijl niet zo groot geworden ;)
xxxneoxxx
@Convirion23 augustus 2009 23:50
Lijkt mij ook niet zo heel lastig om heel eerlijk te zijn.. Doelgroep en zo.
DutchStoner
24 augustus 2009 00:39
Door de kleine suggestie in het nieuwsartikel
Het is niet bekend of de aanval gerelateerd is aan de hack van FOK zaterdagavond
Zou ik het erg op prijs stellen als iemand van tweakers kan bevestigen of tweakers dezelfde kwetsbaarheden heeft (unsalted md5 in combinatie met sql injecties).. Zo weet ik in ieder geval dat mijn MD5 hash niet op straat ligt.

Dit was mijn reactie op de FOK.nl hack.
DutchStoner in 'nieuws: Website FOK gehackt en onder vuur van ddos-aanval'

[Reactie gewijzigd door DutchStoner op 24 augustus 2009 01:16]

Peter
@DutchStoner24 augustus 2009 08:28
Je kunt nooit bevestigen dat een website SQL Injection proof is, hacken is altijd een kat en muis spel. Een hacker vind een ingang, het slachtoffer lost het lek op. Best practices hanteren is het beste wat je kan doen, maar ook dat is niet feilloos. Daarnaast is er niets mis met MD5 als je een goed wachtwoord gebruikt, geen enkele rainbow table die de mijne kent :)
CrashOne
@Peter24 augustus 2009 09:25
Wat natuurlijk onzin is, als jou super moeilijke wachtwoord een hash oplevert die gelijk is aan een enkel cijfer, dan heb je nog steeds jou wachtwoord niet nodig en staat je hash wel in iedere rainbow table.
MSalters
@Peter24 augustus 2009 22:07
Onzin. Simpelste tegenvoorbeeld van een website die SQL injection proof is: elke tinythhpd website. Als je geen SQL hebt, dan ook geen SQL injection. Volgende tegenvoorbeeld: Elke site met fixed SQL queries is bewijsbaar vrij van SQL injection, omdat elke query vantevoren geschreven is Volgende bewijs: Elke site die uitsluitendgebruik maakt van geparameteriseerde queries is vrij van SQL injectie.

Sterker nog, elke vorm van SQL injectie is een direct gevolg van luiheid van de verantwoordelijke programmeur. Maar gezien het risico zou SQL (in z'n string vorm) uberhaupt verboden moeten zijn op webservers.
BHQ
@DutchStoner24 augustus 2009 00:40
Wat denk je zelf?

Die zaken zijn heus wel op orde bij t.net :)
DutchStoner
@BHQ24 augustus 2009 00:44
Dat gevoel heb ik in ieder geval wel altijd gehad, en denk dus inderdaad dat dit allemaal in orde is. Maar ik zou het toch graag willen weten, dat vereist namelijk voor velen tweakers een actie. Ik weet verder niet in hoeverre Fok is gerelateerd aan Tweakers.

[Reactie gewijzigd door DutchStoner op 24 augustus 2009 00:47]

Patriot
@DutchStoner24 augustus 2009 01:25
Je hoeft je over de beveiliging van T.net niet meer zorgen te maken dan je deed voor je van dit hele gebeuren hoorde. Geen beveiliging is onfeilbaar, maar die van Tweakers is één van de betere die je tegen kunt komen. Mochten de hashes toch op straat komen te liggen, dan hoef je niet bang te zijn dat die unsalted zijn.

Als je zelf de benodigde voorzorgsmaatregelen hebt genomen (een uniek wachtwoord op Tweakers.net, die ook voldoende sterk is), dan hoef je je hier geen zorgen te maken.

EDIT:
Ohja, de relatie tussen Tweakers.net komt van het feit dat de bedenker en beheerder van Fok! (Danny), ooit erg actief was op T.net. Het idee van Fok! heeft hij toen hij hier actief was uitgewerkt (hij heeft geloof ik ook nog wel wat gerecruteerd).

[Reactie gewijzigd door Patriot op 24 augustus 2009 01:28]

1 2 3 ... 11

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee