Клиент: Спорыхин Денис Игоревич
Сайт: medaest.ru

Проблема: Бездействие хостера после факта DDOS атаки на сайт. Объем атаки - 142 запроса/сек, период за который предоставлены журналы - 6 часов. Дата атаки 19.11.2007. Протокол только http. IP реальные. Активных IP не более 10 (80% нагрузки), всего не более 1200 IP.

Результат: Домен блокирован хостером 19.11.2007 на nginx и зона сменена на 127.0.0.1 никаких дальнейших действий хостером не производится.


Фрагменты переписки между мной (СДИ) и службой поддержки (СП)

СДИ: 19.11.2007
С сегодняшнего (вчерашнего после 19:00) дня начались какие-то
непонятные для меня проблемы с сайтом http://www.medaest.ru/, почта с
домена также не доставляется.
Обращение по wwwmedaestru.28.com1.ru
перебрасывает на главную Агавы.
Другие сайты на данном аккаунте функционируют нормально.
Доступ по SSH к аккаунту есть, скрипты на хостинге не изменены.

СП: 19.11.2007
На домен medaest.ru производится dDOS атака, поэтому он был закрыт на
nginx + зона сменена на 127.0.0.1, при этом панель управления и другие
находящиеся на данном аккаунте домены работают.
Мы рекомендуем Вам либо сменить домен, либо арендовать выделенный сервер
с поддержкой администрирования, подробнее http://hosting.agava.ru/ph_col.shtml или http://renter.ru/


СДИ: 19.11.2007
Это серьезно? Что других способов нет кроме как сменить зону на localhost?
Предоставьте пожалуйста выдержки из журналов сервераЮ, отражающие суть
dDOS атаки.

СП: 19.11.2007
В папку logz выложены логи Apache по которым можете посмотреть с каких
IP шло обращение к домену.
/home/wwwmeda1/logz -rw-r--r-- 1 wwwmeda1 virthost 441292590 Nov 19 16:53 apache.log

СДИ: 20.11.2007
Добрый день
Журналы проанализировал, и пришел к выводу
....
Предлагаю попробовать временно (контролируемо) вернуть зону, посмотреть что пойдет
на nginx и если все тихо открыть на nginx. Вы должны понимать что
брать выделенный сервер для сайта с 300 юниками не реально.
...
Приложение сводный анализ журнала Apache.

СП: 21.11.2007
Решением Вашего вопроса занимаемся, просьба подождать. Приносим
извинения за задержку с ответом.

СП: 23.11.2007
Открытие сайта может привести к сбою работы сервера, так как после смены
зоны атака будет продолжаться. Открывать сайт наши системные
администраторы не будут еще 2-4 дня.

СДИ:23.11.2007
Подождем ещё 4 дня, не проблема. Т.е. 02.12.2007 жду от Вас либо
нового журнала Apache либо поднятой зоны и открытого nginx.

СП: 03.12.2007
При закрытии домена на nginx и смены зона на 127.0.0.1 в логи Apache не
пишется ничего, так как закрыто обращение к домену по http.
...
Мы не можем выделить для Вас системного администратора, который постоянно бы блокировал ip, с который идет атака. Атака прекращается как после исчерпания денег/желания у атакующих, так
и после того, как последний убедится, что цель - неработоспособность
сайта - выполнена. Проверить, кончилась ли атака, можно разблокировав
хостинг, что может привести к падению сервера, следовательно минимум 30
минимум простоя у всех клиентов. Мы не можем пойти на открытие хостинга
т.к. очень часто после этого сервер падает т.к. атака продолжается."


Некоторые письма пропущены.

Суммируя всё вышесказанное делаю вывод о словах компании Агава в лице Михаила Счетчиков /Специалиста технической поддержки хостинга AGAVA Software/:
Мы не собираемся даже пробывать что-то предпринять или посмотреть кончилась атака или нет пока вы не возьмете у нас выделенный сервер для сайта с 300 юниками в сутки

Полный архив переписки прикрепить не могу - не нашел как, но по запросу могу выслать.

Вопрос: Что делать дальше?

Собственно все верно. Есть еще 1 вариант - припарковать ваш домен к другому хостингу, который предоставляет информацию о логах апача. Этим вы окажете медвежью услугу этому какому-то хостеру (если атака продолжается), но сможете узнать интересующую вас информацию без помощи текущего хостера.

Домен висит на партнерском договоре АГАВЫ и R01 я не могу перепарковать его, на текущий момент готовлю письма на перенос домена к другому регистратору где им можно рулить.

Напрягает не ситуации с DDOS а наглая ложь службы поддержки АГАВЫ:
21.11.2007 Решением Вашего вопроса занимаемся, просьба подождать.
23.11.2007 Открывать сайт наши системные администраторы не будут еще 2-4 дня.
03.12.2007 Мы не можем пойти на открытие хостинга т.к. очень часто после этого сервер падает т.к. атака продолжается

Для АГАВЫ - тикет проблемы [agava #359425], чтобы вопросов о порче бизнес репутации и напраслине не возникало.

И всё по новому кругу. Самое интересное что это произошло в разгар сезона услуг+смены основного офиса фирмы для которой сделан сайт, как ждали блин.

И ещё не нравится что человеку с ISSEP 3!!! раза тыкают в ссылку с описанием что такое ddos после того как он по пишет что знает об этом. Вывод напрашивается что Служба поддержки АГАВА письма не читает вообще

debugger, а варианта для агавы изменить зону на какой-нибуть тестовый сервер и посмотреть идет ли атака сложно? Или клиент не стоит таких напрягов? Вы кстати имеете какое-либо отношение к Агаве?

Я не работаю в Агаве, т.ч. не могу сказать, стоит ли клиент таких напрягов с их точки зрения.
С другой стороны для них не должно составлять труда внести на свои ns сервера "A запись", которая перенаправит обращения к вашему домену на указанный вами ip (можете попросить их например на свой рабочий/корпоративный/домашний компьютер перенаправить все (если у вас конечно внешний ip)). В любом случае эта операция занимает менее 5 минут

Вот видите сколько решений, а применить их слабо стало?

Где товарищи из СП с которыми приятно и комфортно было работать? Konstantin Glazyrin (2006 год), Sergey Alekseev (2005 год) никаких проблем небыло.

А сколько вы платите за хостинг?

Я думаю не такую высокую плату.

А теперь подумайте: клиенты АГАВы будут страдать, и обвинят как раз таки не вас

Вы на себя посмотрите, даже прочитать топик не удосужились, в топике указано ДВА альтернативных решения проблемы при которых никто не пострадает. А про плату - не вам судить и не с вашей колокольни. Любая услуга имеет свою объявленную продавцом и принятую покумателем цену, отсутствие услуги в течении 3-х недель в предновогодний ажиотаж, несмотря на наличие оплаты, должно иметь объяснение. Использование "тупого" решения с выделенным сервером увеличит стоимость владения в 10!!! раз это при том что необходимость (неизвестно идет атака или это была просто тренировка) не подтверждена и озвучена заинтересованным лицом - хостером, что очень смахивает на простой развод на дедик. И вообще хоть вы и не член группы "Хостинг-провайдеры" (надеюсь с таким подходом вы никогда им не станите) лично я к вашему мнению прислушиваться не собираюсь т.к. читайте сначала.

Не понятно молчание представителей компании Агава.

Давно пора научиться извлекать выгоду из любых ситуаций. Что мешает поставить 3-4 сервера в качестве детекторов, заворачивать трафик DDOS на них и объявить о новой уникальной услуге - мониторинг состояния DDOS скажем за 1$ в сутки с предоставлением ежедневной отчетности. Я бы платил и спокойно ждал окончания, это в любом случае дешевле чем платить за дедик.

Кто знает, как пригласить для обсуждения представителей компании?

Очень большой негатив с вашей стороны.

Хостер АГАВА всего лишь волнуется о других клиентах, да и обещали они разблокировать аккаунт когда ДОС прекратиться.

Пока я думаю атака еще идет, и после момента разблокировки возможно начнется заново.

Здесь немало представителей Агавы зарегистрировано, в том числе и Громов. Пошлите любому из них (напр., http://forum.hostobzor.ru/index.php?showuser=987) ссылку на эту тему, может поучаствуют в обсуждении Вашей проблемы. Но, увы, с тех пор, как из Агавы ушел Алексей Иванов, какое-либо конструктивное участие компании в работе форума сошло на нет. Опять же, судя по опубликованной Вами переписке, что-либо новое мы здесь вряд ли услышим.

Я бы, на Вашем месте, разрешил участие в теме хостерам. Проблема слишком актуальная. Позиция каждого хостера в отношении выполнения взятых на себя перед клиентом (за его деньги!) обязательств очень разная в ситуациях, аналогичных Вашей. Кто-то вкладывает деньги и ищет способы оградить клиента, кто-то набирает клиентов по пять копеек на переполненные сервера и сразу предлагает убираться каждому, с кем у него возникают непредвиденные проблемы (вернее, проблемы, с которыми нужно возиться дополнительно), прикрываясь заботой об остальных клиентах. Этакая выборочная забота - о тех, кому ничего, кроме создания аккаунта, мы заботимся, а о тех, кому еще что-то от нас нужно - мы не заботимся.

Вот, узнаете позиции высказавшихся и будете знать, куда перенести свой сайт. Одно мнение, Inhoster.Ru, у Вас уже есть .

Приглашаются к обсуждению все желающие.

Вопрос непосредственно с хостером - АГАВА частично закрыт на их совесть. Осталось перенести домены на свой аккаунт в RuCenter, думаю до уровня ВХ они опускаться и препятствовать переносу не будут. Деньги возвращают только за проплаченный хостинг с 01.01.2008 ни о каких компенсациях речи нет.

Что хочется услышать? Прежде всего, оценку сложившейся ситуации и свой взгляд на возможные решения данной проблемы.

Я бы посоветовал:

1. Получить бекап сайта (прежде всего)
2. Взять VDS
3. Заказать настройку у специалиста как раз для защиты от ddos - напрмер поставить nginx вместо апача
4. Попросить AGAVA сменить IP домена на IP VDS

хм, о какой компенсации идет речь?
Вас ддосили, практически каждый хостер за такое отрубает.

Вот я и пишу что речи нет. Да отрубили, да выхода другого небыло. Без вопросов. Но дальнейшее развитие событий вызывает недоумение. Вместо периодического (скажем раз в неделю) возврата зоны например на тестовый сервер откровенная ложь службы поддержки, причем с конкретными сроками и в каждом письме явное навязывание своих выделенных серверов.

Это нормально?

вообще странно для крупной компании отсутствие карантинного сервера на который можно было бы завернуть зону и посмотреть а что будет
кроме того - 10 IP - 142 запроса в секунду ( вполне можно попробовать нагло записать deny в .htaccess )

100% согласен с Вами. Мало того, можно было полечить просто установкой доп модуля фильтрации к Apache. Т.е. вариантов развития событий было много, хостер предпочел вариант "страус".

IMHO: разумная позиция по отношению к мелким клиентам ( уж извините, но 10$ в мес для Агавы клиент мелкий):
я не стану из - за одного клиента ставить и настраивать модуль апача (а черт его знает, что он за собой потянет и как отнесется к внешним акселераторам), но те минимальные действия которые можно предпринять не затрагивая пакеты и ядро сервера, как то написание правил фаервола и изменение htacess - предприму, Хотя бы просто по той причине, что сарафанное радио - лучшая из возможных реклам.

Здравствуйте. Хотя и влез не по делу, но уже крайне заинтересовало это высказывание.
Объясните мне уважаемый, на каком основании Вы посчитали клиента Агавы мелким, если он платит за услугу $120 в год? Приведите свои соображения на этот счет, может есть какая статистика по ценовому уровню клиентов?
Спасибо

+1
Именно это я и хотел сказать.
за 10$ в месяц можно работать по публичному договору, если клиент хочет персональное обслуживание, цена возрастает в разы со всеми вытекающими последствиями, персональный договор, личный менеджер и т.д

Практически со всеми пунктами 2175 согласен (кроме 10$, поскольку каждая услуга, сколько бы за неё не просил продавец должна быть оказана в полном объеме, если 20$ было бы конкурентным предложением, платили бы 20), какие-то простые действия по защите клиента должны быть приняты, и думаю что периодический мониторинг наличия атаки по просьбе клиента осуществлялся бы или нет?

AF4, Вы сказали то что хотели, не передергивайте и не поясняйте.

Скажу немножко невпопад, но важно: обязательно предупредите хостинг, куда вы будете переезжать, о том, что на вас осуществлялась атака.

И еще добавлю от себя, что сетевая атака такого типа, т.е. что-то среднее, но способное всё же убить сайт, ранее не была особой проблемой. Хостинги сталкивались с ней сранвительно редко.
Сейчас она случается довольно часто, когда карма испортилась - у хостинга такого размера, как Агава - до нескольких раз в неделю (на разные сайты), и некоторая усталось от этого уже наступила, а регламент действий, выгодный всем - еще нет.
Технически с ней сложно что-либо поделать, и "карантинный сервер" и прочие исследования - это для примерно половины таких атак сродни попытки отразить атаку террористов, спрятавшись в школе или больнице и позвав на помощь штатную охрану сего заведения, простите за отсраненную аналогию.
Понятно, что им может и хотелось бы вам помочь, и может быть и стоило бы, но треть таких атак завалит и карантинный сервер, и канал к нему, и еще маршрутизатор какой-нибудь просядет, и я не стал бы говорить о том, что убытки, которые для компании исчисляются в любом случае сотнями, если не тысячами долларов (от простоя тысяч других ресурсов), должны быть принесены ради одного клиента.
Особенно если это далеко не единичный случай.

Я комментирую не конкретный данный случай и поведение лиц, в них участвующих, я хочу просто описать, что для представителя провайдера это гораздо более заметная неприятность, чем вам могло показаться.

Ну так значит необходимо собраться "клубом хостинг-провайдеров" и выработать, или я не прав?

Это внутреннее дело каждого провайдера. В конце концов, каждый из них имеет свои наработки в отражении атак и возможность действовать тем или иным образом сильно зависит от технической возможности провайдера.

Не понимаю негодование клиента, вы понимаете, что ваша плата за хостинг, это не та сумма ради которой с вами будут персонально возиться, включать-выключать, по тестовым серверам раскидывать. Вариантов решения проблемы много, у каждого хостера есть свои наработки по отражению ддоса, атака не сильная, отбить легко. Но никто не будет этим заниматься за 10$ в месяц. Смысла нет, отобьют вам одну атаку, потом пойдет вторая вы снова будете просить, а потом всем друзьям расскажите где от ддоса за 10$ спасают и хостеру принесете только один геморой.

Если ваш сайт не приносит и 100$ в месяц, а его уже досят, выкиньте в помойку такой сайт, он не стоит того чтобы с ним возились.

атака способная положить маршрутизатор или зафлудить канал - редкость ( примерно каждая 100 из тех с которыми приходилось сталкиваться), сравнение с больничной охраной - хорошее, только у хостера всегда есть спасительная кнопка -"Ну не смогла я!"
Про сравнение тут ниже - за поездку в метро платится менее 1$ - но никто не отказывает в поездке пассажиру потому что на него косо смотрят те двое, что уже вошли в метро.

Откажут сразу как только он будет представлять опасность для жизни, тех двоих что косо смотрят.


У любого хостера есть правила, в которых описано какую нагрузку он позволяет делать клиентам. В случае DDOS, нагрузка создаваемая клиентом на сервер, явно превышает допустимую за что и отключили.

давайте не будем забывать, что на обработку и отдачи ошибки доступа требуется и процессорное время и память

позволю возразить не он для них, а некто для него и возможно окружающих. А про нагрузку - хорошая идея - неугодных клиентов самому DDOSить

Зря вы так на Агаву гоните по любому поводу не разобравшись в ситуации. Тех. поддержка там работает нормально и никаких бездействий нет.

Судя по всему к этому и идет, я сменил регистратора и получил возможность рулить DNS и что в итоге - создал A записи на свой комп, атаки нет и в помине. В купе с навязыванием дедика в каждом письме стоит задуматься о происхождении атаки.

А вы не допускаете того что на это время атака могла уже просто прекратиться?

Хотелось добавить по поводу 10$ в месяц. Интересно, кто-нибудь задумывался сколько хостер тратит на траффик который летит при атаке?(отсюда обычно и заворачивают его на локалхост) На моей практике получается, что хостер сам платит за то, что его клиенты страдают, да еще персонально работает с атакуемым клиентом. Поэтому скорее всего и предлагают на дедушку перейти, так как при блоках никакие соотношения не получаются. Быстро набегает входящий. Атакующим на все это положить так как исходящий обычно бесплатный.
При таком решении клиент свои проблемы оплачивает сам, и клиенты хостера не страдают. имхо, для хостера лучший вариант.
Вот такие размышления.


p.s. 142 запросов в секунду, и 80 процентов с 10 ип, как-то это не серьезно интересно почему решение заблокить 10 ипов- не есть решение?

За косо посмотрят не откажут, а вот за нетрезвый вид или за глязную одежду могут в метро и не пустить. И тут за большую нагрузку или дос атаку могут отключить, а про попытка борьбы с дос атакой за 10$, то это вопрос хватит ли этих 10 у.е. на оплату сисадмину того времени, которое он за это затратит и на существование более приоритетных задач, например у нас сисадмины в первую очередь решают проблемы, затрагивающие группу клиентов, потом персональные, но если есть возможность то постараемся сделать все возможно.

УФ! так какого фига предлагать клиентам бесплатный трафик ? А про страдать админу и клиентам - так один клиент с задавленым DDOS (даже с 10 IP) - по рекламной эфективности может оказаться вполне сравним с зарплатой админа за неделю- две.
Рустам Нарманов, атакуемый клиент сам трезв и одет обычно прилично, на него смотрят косо нетрезвые личности,
P.S. в данный момент наблюдаю DDOS, скушавший канал в гигабит одними запросами -(: - что с таким делать .