Erikoinen hyökkäys kaatoi it-yhtiön verkkosivut
18
Pieni asiakkuudenhallinnan palveluja tarjoava MelbaGroup on joutunut poikkeuksellisen sitkeän palvelunestohyökkäyksen kohteeksi.
Hyökkäys alkoi kolme viikkoa sitten, ja se kohdistuu yhtiön verkko-osoitteeseen www.melbagroup.fi. Osoitteeseen kohdistuu suuri niin suuri määrä hakuja, että osoite ja palvelin ovat ylikuormitetut, eikä yhtiön kotisivu enää aukea.
Sen sijaan yhtiön sähköpostiosoitteet ja yhtiön varsinaiset internetin yli toimivat palvelut toimivat ilman häiriötä.
Hyökkäys on poikkeuksellisen sitkeä, sillä se tuntuu seuraavan MelbaGroupin kotisivua, vaikka sen palvelinta vaihdetaan.
– Hyökkäys alkoi kolme viikkoa sitten lauantaina, ja kaatoi kokonaan meille kotisivupalvelua tarjoavan yrityksen palvelimen, kertoo MelbaGroupin teknologiajohtaja Antti Paukku.
– Suljimme ensin nimipalveluista melbagroup.fi pois, jotta hyökkäys ei enää kohdistuisi kumppanin palvelimelle ja vaikuttaisi heidän muihin asiakkaisiin. Seuraavaksi kotisivut siirrettiin toiselle erilliselle palvelimelle, ja laitoimme nimipalvelut takaisin pystyyn. Hyökkäys on kuitenkin jatkunut.
Tässä vaiheessa selvisi, että hyökkäys tarkistaa ensin nimipalvelimista, missä ip-osoitteessa www.melbagroup.fi sijaitsee, ja aloittaa sitten varsinaisen palvelunestohyökkäyksen.
Suuri hyökkäyksestä on tullut Venäjältä, mutta siinä on mukana myös muutamia suomalaisia ip-osoitteita.
Yhtiö on joutunut perustamaan vaihtoehtoiset verkkosivut osoitteeseen melba.melbagroup.fi, ja antanut asian poliisin tutkittavaksi. Mitään syytä hyökkäykselle yrityksessä ei tiedetä.
– Tämä on harmillinen tilanne, sillä aiemmilla sivuilla oli hyvä Google-näkyvyys. Olimme ensimmäisenä listalla, kun Google-hakuun kirjoitti crm. Se sijoitus on nyt tuhoutunut kokonaan, Paukku sanoo.
Kommentit (18)
...siirrettiin toiselle erilliselle palvelimelle, ja laitoimme nimipalvelut takaisin pystyyn. Hyökkäys on kuitenkin jatkunut..."
Epic fail by incompetence!
Ettei vaan ois katottu F1:ä .ru sivuilta sivuston omalla pläyerillä?
IP:n sijaan domainiin?
Eiköhän tuo aika selvästi tule esiin tuosta uutisesta jos siinä ei ole jäänyt jotain kertomatta.
Ja jos kerta uusi (ali)domain esti hyökkäyksen.
Tarkennan vielä että nimenomaan domain nimeen.
Eiköhän tuo aika selvästi tule esiin tuosta uutisesta jos siinä ei ole jäänyt jotain kertomatta.
Ja jos kerta uusi (ali)domain esti hyökkäyksen.
Anteeksi, en ymmärtänyt oliko tämä vastaus siihen miten hyökkäystä väistellään vai oliko kysymyksesi osoitettu minulle?
Jos hyökkäys suunnataan ennalta määriteltyyn ip-osoiteeseen, ip:n vaihto ratkaisee ongelman. Jos hyökkäys kohdistetaan domain-nimeen jota kysellään jatkuvasti DNS:ltä, siirrytään toisen (ali)domainin taakse, kuten olivat tehneet.
Uutinen kertoi mielestäni kaiken oleellisen ja hyökkäystä vastaan on puolustauduttu niin kuin on voitu. Uudestaan: mikä oli fail ja mikä lol, mitä Sinä olisit tehnyt paremmin?
Vaikkapa alkuun seuraavalla: Load Balancing
Fail ja Lol oli nimenomaan ensisijaisesti tehty suojautuminen, joka oli palvelimen vaihto toiseen.
Ennenkuin edes lähdetään vaihtamaan palvelinta toiseen, niin olisi ollut todella nopea selvittää oliko kyseessä domainiin vai IP:hen kohdistettu hyökkäys.
Itse olisin siis testannut ensimmäisenä ennen palvelimen vaihtoa tuon.