Asocial.Cz je zpátky!

Ano, je to tak, už jsme zase on-line a jelikož byl admin (já) moc líný na to, aby web přesměroval někam jinam a dal světu vědět o tom co se děje, tak se o tom můžete dozvědět právě teď a tady…

Stalo se, že se naše mládě rozhodlo prozkoumat zásuvku a to zrovna tu, kde byl Banana Pi server. Dopadlo to nešťastně – server už nenajel. Nicméně admin (opět shodou okolností já) nebyl až tak úplně líný, jak bylo zprvu avizováno, ani tak chudý, jak by se mohlo zdát a pořídil nový server (SuperMicro 5018A-MLTN4, 16 GB RAM, 2x 400 GB SSD v RAID 1), který by mohl být tak trochu spolehlivější, rychlejší a ovladatelnější (např. díky IPMI rozhraní).

Zároveň jsem se pokusil server trochu oživit po grafické stránce a nahodil nový minimalistický vzhled. Jinak vše zůstává při starém – žádné změny ve funkčnosti, žádná ztráta dat… všechno v cajku.

DDOS útok trochu jinak

A teď jednou zase z toho mého IT soudku… Při prohlídce logů na zdejším serveru, jsem dostal nápad, jak provést DDOS útok, nebo třeba cílené klikání na reklamu, nebo nějaký odkaz, jen za pomoci domény druhého řádu a „správně“ nakonfigurovaného webového serveru, u kterého bohatě stačí, že bude zapnutý jen pár týdnů. Nebudu zacházet do úplných detailů, protože se sám zatím pohybuji z velké části na teoretické rovině a nemůžu proto dát žádný konkrétní příklad. Nicméně jsem si téměř 100% jistý, že to bude fungovat.

Takžě k věci… Jde o to, že když máte webový server, kde je špatně zabezpečený formulář, řekněme, u návštěvní knihy (bez nutnosti přihlašování, ověřování přes Capcha, atp.), nebo třeba nezabezpečenou MediaWiki, můžete si být jistí, že se Vám taková stránka brzy začne plnit spamem. Když toto necháte několik týdnů běžet, tak se Vám na webovém serveru vytvoří stovky až gigabajty textu. To většinou bývá dost nemilá situace – člověk pak tráví spoustu času tím, že promazává databázi, připadá si jak popelka a proklíná všechny spammery na světě.

Jak to ale využít pro svůj prospěch?

Jde o to předvídat a naprogramovat si tento nezabezpečený web tak, aby v budoucnu sloužil svému účelu. Chceme-li tedy udělat DDOS útok na nějaký konkrétní web, musíme si na něm vybrat nějaký skript, který zatěžuje server (třeba tím, že na něm spouští nějakou výpočetně náročnou úlohu). Takový skript by zároveň měl umožňovat zadávání nějakých parametrů GET metodou. Řekněme tedy, že na webu example.net, na který chcete útočit, je skript search.php, který přes GET metodu přijímá parametr word a protože není uplně šťastně napsaný (má třeba chybně indexovanou databázi, nebo tam těch dat je zkrátka už moc a není na to odladěn), tak vyhledává poměrně dlouho a zatěžuje tím o trochu víc systémové prostředky. To většinou není žádný problém… Dokud nezačně DDOS útok.

Na svém serveru (ideálně tak, aby šlo o doménu třetího řádu – např. ddos.asocial.cz) si pak vytvoříte třeba onen nezabezpečený formulář, který bude vytvářet při každém novém příspěvku novou stránku se svou vlastní URL, která bude ve formátu ddos.asocial.cz/search.php?search=xyz (kde xyz budou buď náhodné znaky, nebo třeba i cílené dle nějakého slovníku, atp.). Druhá možnost je použít známý CMS (Mediawiki, Joomla, WordPress, Drupal, atd.), na který útočníci rádi útočí a ten si poupravit tak, aby vytvářel URL v takovémto formátu. Nemělo by to pak trvat dlouho a stránky se Vám začnou plnit spamem. Zde platí, že čím víc spamu a čím déle to necháte indexovat vyhledávači, tím větší to bude DDOS. Ve chvíli, kdy si řeknete, že by to mohlo stačit (což si časem určitě řeknete, protože nejprve to začne DDOSem na Váš server), uděláte to, že v nastavení DNS u vašeho registrátora, změníte CNAME domény třetího řádu tak, aby odkazoval na doménu vaší oběti. Všechny indexované a všemožně po webu rozšířené odkazy na spam, na Vašich stránkách, rázem pošlete na jiný web a ke všemu na jeho špatně napsaný skript. V mém hypotetickém příkladu se tedy URL ddos.asocial.cz/search.php?search=xyz díky DNS přesměruje na example.net/search.php?search=xyz. Mám vyzkoušeno, že poměrně dost lidí deně na některou z vašich URL klikne a pokud by to nestačilo, může se tento postup prostě opakovat, do té doby, kdy to stačit bude (nebo dokud vám nezruší doménu, nebo vás nezavřou).

Možná, že to není žádná novinka a jenom znovuobjevuju kolo… V tom případě budu rád, když mi o tom dáte vědět třeba do mailu (patok@asocial.cz), nebo do diskuse pod článkem.

Kívlež přestěhován, zabydlen a server dostal novou šasi z dx.com

Tak vás zdravím v novém roce ve znamení čísla 16 (mého osudového). Kívleže se mi povedlo v minulém týdnu zachránit před nachlazením či umrznutím v krutých mrazech, jenž by panovaly v nejzažším rohu panelákového bytu. Nuceně probrán ze zimního spánku se v novém bytě chvíli rozkoukával a během pár dnů běhá nezvyklým tempem křížem krážem po kuchyni (která se stala jeho domovem). A mě pro změnu konečně dorazila zásilka z Číny (z dx.com), v které mimo jiné byla šasi (krabička) pro Banana Pi (tedy tento server), což jsem korunoval ještě zasazením toho celého do plechové designové krabičky Maggi. Toto už bude doufejme na delší čas stabilní stav po té naší fyzické stránce.

Šťastné a veselé…

Jsou Vánoce, blíží se konec roku a tak je čas na menší předsevzetí… Chvíli jsem váhal, jestli mám na Asociála povolit přístup přes účty z Facebooku, Twiteru, Googlu a podobně. Rozhodl jsem se nakonec jasně a definitivně – na Asocial.Cz se nikdy nedostanete jinak, než přes lokální účty! Jsme asociální síť, takže se nebudeme zahazovat se sociálními sítěmi a když už, tak jedině tak, že Facebook, Twitter, Google a další podobní, povolí používání účtů z Asociála u nich.

A kde jsou vlastně všichni budoucí uživatelé tohoto serveru? No přeci v hospodách, barech, kavárnách a normálně se baví… Z pohledu sociálních sítí jsou off-line a jsou proto asociální – a takové tu chceme 🙂

Ale nebudu nepřející – přeji Vám všem, ať už asociálům, nebo sociálům, hezké prožití svátků Vánočních a hodně štěstí, zdraví a lásky v novém roce.