DDOS útok trochu jinak

A teď jednou zase z toho mého IT soudku… Při prohlídce logů na zdejším serveru, jsem dostal nápad, jak provést DDOS útok, nebo třeba cílené klikání na reklamu, nebo nějaký odkaz, jen za pomoci domény druhého řádu a „správně“ nakonfigurovaného webového serveru, u kterého bohatě stačí, že bude zapnutý jen pár týdnů. Nebudu zacházet do úplných detailů, protože se sám zatím pohybuji z velké části na teoretické rovině a nemůžu proto dát žádný konkrétní příklad. Nicméně jsem si téměř 100% jistý, že to bude fungovat.

Takžě k věci… Jde o to, že když máte webový server, kde je špatně zabezpečený formulář, řekněme, u návštěvní knihy (bez nutnosti přihlašování, ověřování přes Capcha, atp.), nebo třeba nezabezpečenou MediaWiki, můžete si být jistí, že se Vám taková stránka brzy začne plnit spamem. Když toto necháte několik týdnů běžet, tak se Vám na webovém serveru vytvoří stovky až gigabajty textu. To většinou bývá dost nemilá situace – člověk pak tráví spoustu času tím, že promazává databázi, připadá si jak popelka a proklíná všechny spammery na světě.

Jak to ale využít pro svůj prospěch?

Jde o to předvídat a naprogramovat si tento nezabezpečený web tak, aby v budoucnu sloužil svému účelu. Chceme-li tedy udělat DDOS útok na nějaký konkrétní web, musíme si na něm vybrat nějaký skript, který zatěžuje server (třeba tím, že na něm spouští nějakou výpočetně náročnou úlohu). Takový skript by zároveň měl umožňovat zadávání nějakých parametrů GET metodou. Řekněme tedy, že na webu example.net, na který chcete útočit, je skript search.php, který přes GET metodu přijímá parametr word a protože není uplně šťastně napsaný (má třeba chybně indexovanou databázi, nebo tam těch dat je zkrátka už moc a není na to odladěn), tak vyhledává poměrně dlouho a zatěžuje tím o trochu víc systémové prostředky. To většinou není žádný problém… Dokud nezačně DDOS útok.

Na svém serveru (ideálně tak, aby šlo o doménu třetího řádu – např. ddos.asocial.cz) si pak vytvoříte třeba onen nezabezpečený formulář, který bude vytvářet při každém novém příspěvku novou stránku se svou vlastní URL, která bude ve formátu ddos.asocial.cz/search.php?search=xyz (kde xyz budou buď náhodné znaky, nebo třeba i cílené dle nějakého slovníku, atp.). Druhá možnost je použít známý CMS (Mediawiki, Joomla, WordPress, Drupal, atd.), na který útočníci rádi útočí a ten si poupravit tak, aby vytvářel URL v takovémto formátu. Nemělo by to pak trvat dlouho a stránky se Vám začnou plnit spamem. Zde platí, že čím víc spamu a čím déle to necháte indexovat vyhledávači, tím větší to bude DDOS. Ve chvíli, kdy si řeknete, že by to mohlo stačit (což si časem určitě řeknete, protože nejprve to začne DDOSem na Váš server), uděláte to, že v nastavení DNS u vašeho registrátora, změníte CNAME domény třetího řádu tak, aby odkazoval na doménu vaší oběti. Všechny indexované a všemožně po webu rozšířené odkazy na spam, na Vašich stránkách, rázem pošlete na jiný web a ke všemu na jeho špatně napsaný skript. V mém hypotetickém příkladu se tedy URL ddos.asocial.cz/search.php?search=xyz díky DNS přesměruje na example.net/search.php?search=xyz. Mám vyzkoušeno, že poměrně dost lidí deně na některou z vašich URL klikne a pokud by to nestačilo, může se tento postup prostě opakovat, do té doby, kdy to stačit bude (nebo dokud vám nezruší doménu, nebo vás nezavřou).

Možná, že to není žádná novinka a jenom znovuobjevuju kolo… V tom případě budu rád, když mi o tom dáte vědět třeba do mailu (patok@asocial.cz), nebo do diskuse pod článkem.

Antimasožravec – úvaha o úvahátorech /24. 2. 2010/

Každý názor a životní postoj vznikl nepochybně v prvopočátku myšlenkovými pochody jedince – úvahami o vlastním bytí a vztazích k ostatním tvorům, rostlinám, věcem, universu… I ortodoxní vegetarián či vegan musel projít touto životní fázi, než došel k názoru, že my, co jíme maso, jsme špatní. A proto mi dovolte menší úvahu o této minoritní skupině bojovníků proti větrným mlýnům.

Nejprve bychom si měli uvědomit, že morální postoj k zabíjení je samozřejmě v této (Evropské) civilizaci spíše na jejich straně. Smrt je tabu, které je jistě většinou z nás vnímáno jako něco negativního. Žijeme, milujeme se a představa že nás taková milovaná osoba opustí je pro nás zcela znepokojující. Fantazie je ale vrtošivá potvůrka a nechá naše úvahy zabrousit dál, až do hlubin zvířecí duše. Řekneme si „zvíře také musí mít rádo, musí milovat“. No proč ne? Souhlasím že některá zvířata nejsou tak primitivní, že mají i city, že se dokáží vcítit do jiných tvorů. Ale proto máme jíst jen ovoce, zeleninu a biologické produkty zvířat? Soucit je jedna věc a získávání energie je věc druhá. Otázka je spíše taková, kdo tu energii vlastně potřebuje a na co ji potřebuje. Člověk, který netvoří, ale jen žije, aby si mohl pasivně užívat, rozmnožit se a umřít, není snad hoden ani místa, které na světě zabírá, neměl by dýchat ani vzduch a pít vodu (která by mnohem více posloužila tvorovi, který poslouží jako potrava). A pokud někdo věnuje svou energii a čas tomu, že bojuje proti masožravcům a myslí si že dělá něco tak úžasně správného, nemá to asi v hlavně úplně srovnané, pokud ovšem nemá nějaké vyšší přesvědčení – např. budhismus, ale ten zase pokud vím není tak ortodoxní, aby někomu něco vnucoval. Věřím že většina těchto lidí brojí proti masožravcům, jen kvůli aktu zabíjení těch nevinných zvířat (ha – nevinných, ale evolučně zaostalých a v podstatě sebestředných). Vždyť každý tvor by měl něčím obohatit ostatní – měl by brát i dávat a využívat energii tak, abychom přežili jako celek – jako celá civilizace. Možná může připadat důležité neublížit nevinné tvářičce štěněte, ale důležitější je zachránit časem civilizaci před viry, pandemiemi, expanzi slunce a tak podobně. Ale ani to není pro každého…jatka-img

Každý by si proto měl najít své místo v této společnosti. Měl by tolerovat a nebránit jiným v získávání energie z masa, pokud ji dobře využívají. Tato kontraproduktivita činí z života takového antimasožravce život vcelku zbytečný (nehledě na vliv na ostatní) a otravuje zároveň životy těch, kteří možná mohou působit bezcitně, ale vytváří pravé hodnoty.

— z osobního archivu (24. 2. 2010)