Хронология атаки 1 декабря
 

Встал с кровати, прямо в трусах уселся за стол, ткнув кнопку "Пауэр" моего Термалтейка.
Винда завелась быстро. Открыв асечку, я обнаружил месседж от Тадеуса: булка под тазом
Как так? Ну, давай проверим. И правда под тазом.
Оповестил Джокера, полез в access-лог. В access-логе какая-то хреновня: всё завалено сообщениями

::1 - - [30/Nov/2011:10:15:05 +0100] "GET / HTTP/1.0" 200 1 "-" "Apache/2.2.3 (Linux/SUSE) (internal dummy connection)"

Нормальное явление, но не по 100 же раз в секунду?

Схренали? Первая мысль: кто-то менял что-то в настройках?
Может, думаю, Саб или Джимон чего сделали и не заметили. Стал гуглить как решать проблему. Ничего дельного не нашёл, только костыль в виде RewriteRul'а для localhost'а. Чтоб хоть не генерил страницу заново с кучей MySQL-запросов. Ну что ж, воткнул его, надеясь, что это поможет.
Не помогло, булка всё так же висит.
Реврайтнул вообще всех на blank.html.
Открывается. Адово лагает, но всё же грузит.
Почему этот баг начался именно сейчас? Конфиги же не могли сами собой поменяться! Я уже давненько не лазил в SSH, Джокер тоже. Ну что ж, посмотрим.

find /etc/ -type f -mtime -2

дал пяток файлов, из которых с Апачём напрямую были связаны лишь три. На единственной теперь странице сайта попросил всех причастных пояснить по хардкору, кто куда когда лазил, а сам пошёл их читать.

Спустя несколько минут рытья сообразил, что эти файлы генерируются самим Апачем при рестарте, и причина в другом.

На Серверфолте нашёл, что в Апаче [некоторой версии] был такой баг. Но у нас [другая версия].

Неужели реал дедос? Тем временем в акцесс-логе творятся интересные вещи: куча разных IP со скоростью мильён в сикунду дают запросы на главную. Рефералы - всякие download.ru, rbc.ru, anekdot.ru, lenta.ru и прочие популярные у хомяков сайты. Видимо, рассчитано на то, что админ не захочет бананить таких-то рефералов. Но мы с вами - не хомячковый сайт!
И тут стучится ко мне в асю (заботливо оставленную на главной) товарищ с ником "BooleanHak hakboole" и сообщает, что шутка про Путина от MoKa была не уместна.

Всё ясно. Дедос. Оплаченный сами-поняли-кем. Хренок тот из аси быстро свалил и более туда не возвращался.

Тем временем Джокер нарыл кое-какую годную инфу по защите от дедоса. Я же попробовал забанить в htaccess'е особо ретивых вручную (ip было не так много).

Засранцы получали своё 403, но давили мясом: даже выдача 403 занимает время. Нужно бить глубже.

По нарытой джокером ссылке оказался скрипт для автоматического бана, если запросов слишком много. Но софт у нас на сервере несколько иной...

Плюнув на всё, я решил писать скрипт сам. То поднимая, то опуская Апач, я "ловил" их ip в список и тестил скрипт. А дедос суровый: пока поднят Апач, тормозит даже SSH и vim!

Но в неравной борьбе скрипт всё же был написан и отлажен.
Первая партия подлецов укатила в синюю даль вместе с надписью "Zobanil!!".

Затем скрипт был окончательно допилен и выставлен на крон. С этого момента бан негодяев происходит автоматически.

Победа за нами!

Ответ: Хронология атаки 1 декабря
 

А если они хотели как раз привлечь внимание к этому ролику? Они своего добились же

Ответ: Хронология атаки 1 декабря
 

И что им это в таком случае дало? Ты думаешь, много посетителей этого форума хотело голосовать за ЕдРос?

Ответ: Хронология атаки 1 декабря
 

А зачем ддосить сайт узкоспециализированных гейм-программистов за проскочившую где-то в темах ссылку? Просто чтобы донести до небольшой горстки людей, что ЕР не одобряет?
Плюс сейчас в итоге ролик висит на главной как реклама ЕР. То есть может они ддосили за шутку про Путина, но шутки на главной нет, а вот ролик есть. Я про шутку не знаю, я зашел на сайт и подумал, что булке проплатили рекламу ЕР

Ответ: Хронология атаки 1 декабря
 

Свобода слова во всей красе. Какой то мелкий чиновник решил полизать попку лучезарному повелителю. Страдает как всегда простой народ.

Ответ: Хронология атаки 1 декабря
 

ИТ войны - бессмысленные и беспощадные :)

Ответ: Хронология атаки 1 декабря
 

Для тех кто в танке...
Что за шутка от Mokи?

Ответ: Хронология атаки 1 декабря
 

Ссылка на ролик и есть шутка.

Ответ: Хронология атаки 1 декабря
 

Это только мне кажется,что партия и выборы(читаем ролик) к ддосу никакого отношения не имеют и это все спагетти умело развешенная на ушах?
Почему не ддосят ютуб,почему не досят все гавносайты,на которых этого хлама как грязи после дождя? И тут нарисовалась булка с одним роликом и ее накрыло волной.

Ответ: Хронология атаки 1 декабря
 

Потому что булку можно положить буквально вдвоём.

А ютуб всем китаем класть надо.

Lestar, читая твой пост у меня создаётся впечатление что ты обвиняешь администрацию во лжи.
Изложи тогда своё видение ситуации.

Ответ: Хронология атаки 1 декабря
 

Уже писал об этом. Высшие чины ЕР прямого отношения к этому не имеют. Это проделки лизоблюдов-югендов, которые скорее будут класть булку чем делать что-то полезное.

Ответ: Хронология атаки 1 декабря
 

Не исключено это это делает пользователь булки, у которого случился острый батхёрт, на почте ЕдРинения мозга.

Ответ: Хронология атаки 1 декабря
 

Очень может быть. Вряд ли бы просто так - нашли и положили. Такие приколы, и даже наглядную агитацию можно найти в х*ровой тьме форумов, не говоря уж о соц.сетях. А тут здрасте, форум программистов с рекордом одновременного пребывания 333 в мае. Может быть.

Ответ: Хронология атаки 1 декабря
 

Почему не дедосят вконтакт? Вот и Ютуб поэтому же.
И вообще что ты предлагаешь делать? Сидеть с Okay-фейсом? Ну уж нет. Я не для того несколько часов не отрывал жопу от стула, чтобы Okay-face делать.
Сегодня, спасибо, атакующим, чуть не побили.

Ответ: Хронология атаки 1 декабря
 

Расслабьте ягодицы, осталось три дня!
И все мы (избиратели) на долгие 5 лет станем неинтересны партиям.
Хотя к марту станем резко интересны кандидатам в президенты, хотя тут к гадалке не ходи - президентом будет кандидат от победившей партии.