TabNews recebe novo ataque DDoS

Uma coisa muito estranha aconteceu hoje. Exatamente às 4h48 a Lily minha filha de 7 meses acordou e às 4h49 começa um ataque DDoS conta a infraestrutura do TabNews. Segue abaixo o volume do ataque agrupado em intervalos de 15 minutos:

Pico de acesssos causado pelo ataque

Então dado ao casamento dos horários, isso prova que foi a Lily quem fez o ataque. O mais interessante é que ela decidiu usar uma Botnet para realmente distribuir o ataque entre vários IPs e vários países.

Tabela mostrando IPs e países no ataque DDoS

Bom, depois eu preciso ter uma conversa com ela sobre o motivo de fazer isso logo contra o TabNews, que é um projeto gratuito, open source, que recebe contribuição da comunidade e ainda oferece um programa de Revenue Share... é uma pena ela querer gastar energia tentando derrubar isso, mas tudo bem, vou conversar com ela e ela vai entender 🤝

rafael há 3 meses

Já vi algo parecido antes. O dono do site achou que o gato dele o alertou sobre um ataque DDoS, mas surgiram comentários indicando que, na verdade, o gato poderia ser o autor.

De todo modo, será uma boa conversa.

Lembranças de 2023: TabNews sofreu um ataque DDoS de 3 milhões de Request

eduardohorta há 3 meses

Como pai de uma filha em idade semelhante, posso afirmar: Ela deve estar passando por um salto de desenvolvimento… ou então a criançada por aqui tá orquestrando um ataque DDoS.

clovisdanielss há 3 meses

Eu queria entender exatamente o porquê fazem esse tipo de maldade. Ainda mais nesse caso do tabnews.

Tipo, existem maldades como ransomware que é sequestro de informação, e pelo menos dá para entender que querem dinheiro - Inclusive é um tipo de maldade abominável.

Mas a intenção por trás de DDoS é qual ? Simplesmente negar o serviço do cara ?

Silva97 há 3 meses

O objetivo do DDoS normalmente é um dos dois: 1. Causar prejuízo financeiro (custo de infra, etc.); 2. Acobertar um ataque real. No segundo caso, funciona como uma distração e a pessoa acaba deixando passar o ataque. Imagine o tanto de logs inúteis/falsos que o DDoS não gera no sistema...

CamisaDoAvesso há 3 meses

Sabia que se você retirar o vento das arvore elas crescem fracas, e se quebram sobre seu próprio peso? Tecnicamente é o vento forte que faz as arvores ficarem fortes... Alias fica uma dúvida: Foi muito caro o estrago? Duvido que tenha sido com Cloudflare.

Edit: Eu tenho um servidor publico em um linux, internet-facing, sempre que sou atacado eu vejo meus logs e aprendo bastante, muito mesmo, aprendo bem mais do que qualquer faculdade poderia me ensinar. Falo isso sendo formado como um dos melhores da turma de engenharia. Faculdade não ensina a vida real, a vida real ensina quem se atreve a se expor. E o tabnews está exposto.

As ferramentas de console de cloud moderna (da microsoft, da aws, do google, etc) nos permitem criar e conectar a maquinas virtuais instanciadas em qualquer pais, sabia que honk kong é a mais cara dos lugares? então não é estranho serviçõs como Cloudflare firewall detectam acessos em massa e uploads gigantes e mitigarem esse tipo de ataque porque ele é facil de fazer e facil de detectar. Existe um paradoxo importante para os alvos: quanto mais você é alvo de ataques, mais forte você fica contra esses problemas, resiliencia é construída com adversidade.

Eu queria ter sucesso suficiente pra ter que melhorar meus sistemas, infelizmente só bot automatizado tenta me atacar, tentando instalar minerador de criptomoeda por requisição chega a ser engraçado! Eu não tenho como ser melhor assim kkkk, evitar ter uma GPU? kkkkk

O sistema do Felipe sempre tem uma boa resposta pra esse tipo de ataque, e desculpa uma visão de fã: mas é sempre bom de ver a análise dele e saber dos detalhes depois dele ser atacado!

TamingTechs há 3 meses

Que tragédia esse tipo de investida de gente sem valores...

Espero que com as experiências anteriores tudo esteja bem protegido. Visto que estou aqui conseguindo acessar deve estar. Mas acredito que o ataque pode se repetir por volta do mesmo horário algumas vezes, até eles trocarem o alvo. Fiquem alerta!

Agora voltando à filha... Eu sendo da Psicologia sei de muitos relatos sobre a intuição das crianças até certa idade. Ela pode ter presentido perigo e acordou. Isso não é explicável. Muita gente levanta hipóteses... Eu só sei que a melhor explicação é: "a sensibilidade da criança em pressentir". Há experimentos sobre ressonância de sentimentos (sabe aquele sentimento de ambiente pesado que as pessoas relatam) é nisso que a ressonância tem seu foco "a interferência que os sentimentos geram nos outros sem contato direto". Isso também tem relações com hipóteses sobre ampliação da consciência e acesso ao inconsciente coletivo. Dado o fato do inexplicável, é o que se têm, dentro do hipotético.

Wellington79 há 3 meses

... projeto gratuito, open source, que recebe contribuição da comunidade e ainda oferece um programa de Revenue Share ...

O mau é isso, é Lúcifer: Inveja, orgulho, força e inteligência. Ainda bem que você ou a hospedagem do projeto não são ingênuos e o TabNews tem ótimas defesas, espero que esteja planejando um revide, pois não dá para ganhar guerra ficando só na defesa. Pacifista sim, indefeso não.

vitorcrdias há 3 meses

Mas não dá para fazer um filtro anti DoS e DDoS? Comédia a parte, é uma coisa chata...

pedrolgo há 3 meses

faz um vídeo sobre isso

gpoleszuk mês passado

Será que se a postagem alcançar 100 _upvotes_ individuais de contas "credenciadas" ele faz um novo vídeo? Nem que seja "Members First" e depois liberar uma amostra grátis para os não membros. Sei que é uma faca de dois gumes comentar esse tipo de ataque em público, pois revela certas características da defesa que o TabNews implementa. Em parte ajuda o inimigo que põe à prova o _site_ como prêmio aparecer nos logs, mas também é uma troca de experiência única de uma comunidade tão próxima. Por exemplo, que tipo de requisição é recebida, como o site responde, qual conteúdo é solicitado na requisição etc.. Detalhes que poderiam revelar se é uma requisição feita por humanos ou por um robô. Na vida real, na caixa de distribuição de energia elétrica, existem disjuntores que, quando uma alta corrente é consumida por determinado circuito (cada disjuntor protege um circuito, setores de tomadas e/ou outras cargas), o mesmo atua interrompendo o fornecimento de energia. A maioria desses dispositivos tem rearme manual, ou seja, o usuário tem que ir lá (na antiga caixa de fusíveis) e atuar fisicamente sobre o botão de rearme. Lembre-se de que corrente elétrica se define como $( i = dC/dt )$, ou seja, quantidade de carga por unidade de tempo. Na mesma ideia, será que o Tabnews não consegue criar uma solução de proteção contra excesso de carga (picos) semelhante a um disjuntor? Desta maneira, impediria ultrapassar a quota mensal de requisições ou melhor, a quota diária/horária esperada. Por exemplo, se a média de requisições por minuto é 100, seria anormal atender 1000, banindo temporariamente (digamos que 30 minutos +/- um quantidade aleatória de minutos) todos os IPs incomuns no último minuto. Há alguns problemas com essa ideia no caso de promoções que indiquem o Tabnews, mas na vida real qualquer atividade pública para as massas requer aviso às autoridades para lidar com a demanda fora do normal. Contas identificadas (o usuário fez _login_) seriam banidas por mais tempo (7 dias) se um comportamento semelhante ocorresse. Na reincidência ocorreria a suspensão por maior tempo com registro do IP e outras características que ajudem a identificar o mesmo dispositivo impedindo-o criar novas contas durante um período. Algo mais complicado seria deixá-lo criar contas, mas todas seriam suspensas se inativas posteriormente. Um sistema de convite poderia criar um maior vínculo entre as contas, criando uma espécie de rede de nós interligados, todos com seus detalhes particulares que enviam para o servidor. Alguns servidores de email gratuitos estão banindo contas inativas por motivos de segurança (e eu acho que também por limpeza). Não sei se é possível o Tabnews reunir uma lista de características de todos os tipos de _clients_ que o acessou à cada semana. O servidor deve receber algo parecido como indico abaixo (sei que alguns detalhes são facilmente mutáveis), além do IP origem: ``` GET / HTTP/1.1 Host: localhost:8080 Connection: keep-alive sec-ch-ua: "Kukoo Brome";v="1XY", "Not=A?Brand";v="Z", "Bromium";v="1XY" sec-ch-ua-mobile: ?0 sec-ch-ua-platform: "uLinux" Upgrade-Insecure-Requests: 1 User-Agent: Godilla/7.0 (X22; uLinux x86_128) AppleWebKit/543.21 (KSHTML, like Turtle) Brome/1XY.0.1.2 Savana/543.21 Accept: text/html,application/xhtml+xml,application/xml;q=0.X,image/avif,image/webp,image/apng,*/*;q=0.Y,application/signed-exchange;v=bX;q=0.Z Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate, br, zstd Accept-Language: en-US,en;q=0.X ```

FutureFullStack há 3 meses

A inveja possui várias versões.

luiztux há 3 meses

Isto é muito amador para ser considerado um ataque... 🥱

Nem precisa mascarar o ip, é tudo spoofing.

michelbarutot há 2 meses

Pergunta honesta: um Cloudflare da vida segura um ataque desses (+1M requests)? Estou implementando Cloudflare para um site da minha empresa, onde o domínio é .store.

Na primeira madrugada com o site no ar, recebi um ataque parecido com esse (1.5K de requests), o Cloudflare segurou e apontou no painel o ataque. Porém acredito que a intenção não era apenas negar o serviço, porque o bot utilizado estava procurando por arquivos específicos (/wpadmin.php, /index.php, etc).

Apesar de estar a um bom tempo codando e fazendo deploys mais simples, essa parte de infra com Cloudflare na frente é novidade pra mim. Abraços a todos!

filipedeschamps há 2 meses

> Pergunta honesta: um Cloudflare da vida segura um ataque desses (+1M requests)? Estou implementando Cloudflare para um site da minha empresa, onde o domínio é .store. Aguenta sim! Sem problema algum. Como mostrei no `GIF` da publicação principal, aguentou um ataque de `1.6 milhões` de requests. > Na primeira madrugada com o site no ar, recebi um ataque parecido com esse (1.5K de requests), o Cloudflare segurou e apontou no painel o ataque. Porém acredito que a intenção não era apenas negar o serviço, porque o bot utilizado estava procurando por arquivos específicos (/wpadmin.php, /index.php, etc). Correto, isso é um `scan` na verdade 🤝

michelbarutot há 2 meses

Felipe, obrigado pela resposta! Sempre aprendo algo com você, valeu demais!

avelinobego há 3 meses

Todos que não sabem que correlação não implica em casualidade acabam morrendo um dia...

cleitonlc há 3 meses

Oxi, mas era apenas um ping, testando a conexão da internet.

samukarb há 3 meses

Esse ataque rápido contabiliza e aumenta os custos com a Vercel? Estou querendo subir um pequeno serviço lá, mas estou com medo de ultrapassar o limite devido à esses ataques DDoS recentes... EDIT: desculpe, era para perguntar ao criador do post :'(