DDoS атака на ЖЖ (livejournal.com)

Три версии:
политическая атака на топ-блогеров или весь ЖЖ как свободную площадку для дискуссий; заказ конкурентов (тоже может восприниматься в политическом смысле — приведет к закрытию ЖЖ);

плохое управление проектом со стороны компании SUP, владелицы сервиса: «Ну какие ДДОС-атаки. Врут и не краснеют.Сервер лёг после запуска анонсированной ими новой системы кеширования. Им стыдно признаться, что у них программистов нет, одни криворукие дебилы с помойки, вот и придумывают ДДОС-атаки.»

Подробно — о чем речь.

Среда, 30 марта, стала черным днем для платформы блогов LiveJournal. В начале дня пользователи обнаружили проблемы с публикацией новых записей, которые появлялись в ЖЖ с большой задержкой из-за новых технологий, внедренных администрацией сайта неделю назад.

«В ЖЖ сейчас наблюдаются некоторые проблемы с мгновенным появлением только что созданных записей в некоторых случаях, далеко не у всех, конечно, но все же. Это связано с тем, что мы внедрили, где-то с неделю назад, систему front-line кэширования»,— сообщил в своем блоге Илья Дронов, директор по развитию продуктов компании SUP, которой принадлежит LiveJournal.

Мощнейшая атака в истории ЖЖ

Тем не менее в середине дня сайт общественного рупора рунета и вовсе перестал открываться. Невозможно было прочитать не только отдельные дневники, но даже перейти на сайт livejournal.сom. В штатном режиме работал только портал livejournal.ru, который привлекает небольшую часть трафика в сравнении с доменом в международной зоне.

В 16.00 руководитель российского ЖЖ Светлана Иванникова обратилась к пользователям сайта, пояснив, что портал подвергся нападению хакеров: «В настоящий момент LiveJournal действительно работает некорректно, мы подтверждаем эту информацию. Связано это с тем, что ЖЖ подвергается DDoS-атаке, но ее источник, как и адресата, мы не можем назвать. Администраторы „Живого журнала“ в курсе и уже работают над устранением проблемы».

Госпожа Иванникова пояснила GZT.RU, что падение сайта не связано с утренними проблемами: «Трудности с мгновенным появлением записей в журналах некоторых пользователей связаны не с DDoS-атакой, а с затруднениями в работе системы кэширования»,— заявила руководитель российского ЖЖ.

«Мы подтверждаем, что примерно в течение четырех часов LiveJournal работает некорректно, это связано с тем, что журналы нескольких пользователей ЖЖ подвергаются сильнейшей DDoS-атаке. Можем определенно сказать, что эта атака имеет несколько иную природу в отличие от тех, что были в «Живом журнале» ранее – атака подобной мощности случается первый раз за историю ЖЖ. Мы не называем юзернеймы пользователей, подвергшихся атаке, но и не рекомендуем делать поспешные выводы о том, что это известные персоны. Администраторы LiveJournal работают над устранением проблемы», – рассказала GZT.RU госпожа Иванникова.

Напомним, что в последнее время атакам подвергался блог Алексея Навального, из-за чего администрация сайта даже согласилась предоставить Навальному специальные условия, чтобы защитить журнал общественного деятеля.

На момент публикации заметки сайт livejournal.com по-прежнему работал с серьезными перебоями— страницы либо не открывались совсем, либо открывались медленно и далеко не с первого раза.

LiveJournal отказали в обслуживании

DDoS— атака (distributed denial-of-service, распределенная атака отказа в обслуживании) направлена на приостановку работы вычислительной системы путем инициирования многочисленных обращений на сервер с помощью бот-сети. При удачной атаке сервер становится недоступным.

Сколько времени нужно, чтобы восстановить работу сервера, зависит от того, какие сервисы на нем размещены. Соответственно, из-за простоя ресурсов компании несут огромные финансовые потери, сумма которых зависит уже от деятельности атакованной организации. DDoS-атаки уже давно стали хорошо отлаженным криминальным интернет-бизнесом. Универсального средства против таких атак пока еще нет.

Если говорить о защите с технической стороны, то при правильной настройке современное сетевое оборудование умеет масштабировать нагрузку на канал. Но если вычислительные ресурсы хакера превосходят по пропускной возможности канал жертвы, то сложно справиться своими силами. В таких случаях необходимо сразу же обратиться к провайдеру, рассказал GZT.RU Павел Потасуев, директор по IT российского представительства ESET.

Читать далее: http://www.gzt.ru/topnews/hitech/-zhzh- … copiedlink

LiveJournal атакуют

В настоящий момент LiveJournal подвергается DDoS-атаке, в связи с чем сервис может работать некорректно.
Руководитель LiveJournal в России Светлана Иванникова: «Мы подтверждаем, что примерно в течение четырех часов LiveJournal работает некорректно, это связано с тем, что журналы нескольких пользователей ЖЖ подвергаются сильнейшей DDoS-атаке. Можем определенно сказать, что эта атака имеет несколько иную природу в отличие от тех, что были в Живом Журнале ранее – атака подобной мощности случается первый раз за историю ЖЖ.

Мы не называем юзернеймы пользователей, подвергшихся атаке, но и не рекомендуем делать поспешные выводы о том, что это известные персоны. Администраторы LiveJournal работают над устранением проблемы».

Интересное Мнение Эксперта «Лаборатории Касперского»

LiveJournal под атакой
Мария Гарнаева
Эксперт «Лаборатории Касперского»
опубликовано 5 апр 2011, 14:14 MSK
Сюжеты: DoS-атаки

У меня нет учетной записи на ЖЖ, но я его иногда читаю в перерывах между работой. 4 апреля провести послеобеденное время за чтением постов не получилось — ЖЖ был недоступен из-за DDoS-атаки, о которой официально сообщил руководитель LiveJournal Russia.

Это уже вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки.

Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.

Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — http://rospil.info, а 1 апреля атаке подвергся сайт http://www.rutoplivo.ru.

В следующей таблице представлены ссылки, получаемые ботами для старта DDoS-атак, в период с 24 марта по 1 апреля:
24.03.2011 http://navalny.livejournal.com
25.03.2011 http://navalny.livejournal.com
25.03.2011 http://navalny.livejournal.com/569737.html
25.03.2011 http://www.livejournal.com/ratings/posts
26.03.2011 http://navalny.livejournal.com
26.03.2011 http://rospil.info
29.03.2011 http://rospil.info
30.03.2011 http://www.kredo-m.ru
30.03.2011 http://navalny.livejournal.com
01.04.2011 http://www.rutoplivo.ru

Стоит отметить, что впервые о DDoS-атаке представители LiveJournal заявили 30 марта. В этот день мы фиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя ссылки на блоги многих популярных пользователей данного сервиса:

http://www.livejournal.com
http://www.livejournal.ru
………..

Специалистам в русскоязычной блогосфере должно быть очевидно, что в списке находятся блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми «тысячниками». Было ли это попыткой “размыть” реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире — нам неизвестно.

Стоит написать пару слов о виновнике атак – боте Optima. Впервые на русскоязычном киберпреступном рынке он появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров, и др.).

Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.

Что же касается размеров ботнета, то у нас нет такой информации, однако есть косвенный факт, который может прояснить этот вопрос. В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack. Об этой интересной вредоносной программе вы скоро сможете прочитать подробнее в нашей отдельной аналитической статье-исследовании. Распространение через ботнет еще и CodecPack’а говорит о том, что ботнет большой – поскольку его владельцы принимают (и получают) заказы на «загрузку» других вредоносных программ. Учитывая размах работы владельцев CodecPack, можно смело сказать, что «работать» они будут только с одним из крупных ботнетов на рынке. А это, скорее всего, десятки тысяч инфицированных машин.

Мы весьма удивлены тем, что представители LiveJournal до сих пор не обратились в правоохранительные органы с заявлением по поводу атаки: «Мы не обращались в российские правоохранительные органы с заявлением о возбуждении уголовных дел, однако не исключаем такой возможности», — заявила руководитель Livejournal Russia Светлана Иванникова. Более того, в СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы». C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ «Создание и распространение вредоносных программ». У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи.

итак, с 24 марта по 6 апреля. Посмотрим, что будет дальше.