Всё больше сервисов в последние дни сталкиваются с киберпреступлениями — например, RuTube лежит уже 3-й день. Но мы не ожидали, что в какой-то момент DDoS-атака коснётся и нашего сервиса.
Утро 11.05,10:04. Сегодня утром я получил сообщение в телеграм от нашего, наверно, самого старого и преданного пользователя:
Ровно через 2 минуты после сообщения наши сервера легли. WEEEK внезапно попал в список платформ, которые подвергнутся кибератаке. Почему небольшой сервис попал в список наряду с крупными компаниями (RuTube, тендерные площадки и т. д.) — не знаю.
Мы уже сталкивались с попытками взлома и атаками, но всё решалось блокировкой пакетов IP-адресов, и сервер не ложился. Здесь ситуация сложнее.
Через 5 минут пошли сообщения от пользователей, что они не могут работать.
Утро 11.05, 10:41. Первый шаг — оповещаем пользователей, что сервис не доступен.
Пока мы решали проблему, мне написали два крупных клиента и подсказали решение.
Атака довольно большая. То, что я смог зафиксировать - это около 200 тыс. запросов в секунду. Скорее всего число в 2-3 раза выше.
Что в итоге сделал — взял новый IP-адрес, домен увёл под Cloudflare, включил режим «под атакой» — всё снизилось и сайт заработал.
Основные регионы атаки — Украина, Германия, Штаты, Китай. Но много IP и из РФ. Поэтому, если можете не на уровне сервера (а, например, провайдера) отключать страны — можно так попробовать.
На 12:10 сила атаки уменьшилась на 30%.
На скрине выше — нагрузка на сервер. Когда одно ядро процессора загружено на 100%, там цифра 1, а когда все — 12. Сейчас там 268. Нагрузка в 20 раз выше той, которую мы могли выдержать. На текущий момент мы продолжаем решать проблему.
Update: вечер 11:05, 23:16. Атаки продолжаются, но уже с меньшей силой.
Update: утро 12.05, 10:26. Сервис заработал по новой ссылке:
Если вы наш клиент — спасибо, что вы с нами. ❤
Если вы наш коллега по рынку — обезопасьте себя заранее.
Актуальные новости о работе сервиса ищите в нашем телеграм-канале — https://t.me/weeek_ru и в чате — https://t.me/Weeekchat
Хохлы..
Иш ты, недовольны, что по ним ракетами стреляют и их города уничтожают вместе с жителями! Ещё и огрызаются как попало и не туда
ВМЕСТЕ С ЖИТЕЛЯМИ)))
Комментарий удален модератором
Не собираюсь верить псевдоисточнику, у которого гендиректор с фамилией на ко. Я не считаю всех людей с такой фамилией националистамии русофобами, но если сопоставить этот факт и то, что написано на странице по ссылке, то все становится понятно.
Еще интересно, у меня в Казахстане даже этот источник не открывается без VPN, что свидетельствует о том, что там явно что-то не чисто.
Комментарий удален модератором
Комментарий удален модератором
Ох, знаем каково это, сами недавно попали под DDoS-атаку из-за рубежа, команда всю неделю давала отпор, приятного мало. Желаем удачи и терпения вам, пусть все разрешится как можно скорее! 🙏
Спасибо!
200к это не крупная атака
ну если сравнивать с масштабом сервиса...
что это за развлечение такое у хакеров ломать сайты
Это не DDOS-атака, это "спецоперация"...
Это не минусы... Ну, сам знаешь
Комментарий удален модератором
жiвi Weeek
Удивительно, вас-то за что?
Сами не очень понимаем)
Возможно, сервис попался на глаза в списках импортозамещения как замена trello. Гугл-запрос "weeek замена trello" выдаёт вполне релевантные результаты именно в рамках этой ситуации.
Маловато будет. Я думал там серьёзные атаки.
Под юдп флудом у нас была LA 1000+ ) и увести домен под клаудфларе когда ай пи основного сервера уже известен такое себе. Решить проблему удалось запретом в фаерволе команд из пары строк.
Статья как надо было сделать, но я не сделал! Сайт не доступен, днс рег ру. Скорее всего никакой ддос и не было, какой то косяк с программным обеспечением. Такое часто бывает: программисты накосячат, а руководство заявляет нас ддосят)) давайте уже не валяйте дурака, ремонтируйте сайт и работайте дальше.
Если бы. Но, к сожалению, это атака, таких проблем раньше никогда не было)