L'affaire, ce que je sais.
Il y a eu deux attaques. La première n'a pas été très méchante, et la seconde a posé beaucoup plus de soucis. La première attaque a commencé dans la nuit de mardi à mercredi, a peu près en même temps que l'email de team area annonçant la mise hors ligne de Nuked-Klan parce que je les avais soupçonné d'avoir déjà tenté les pratiques pas très net, il y a environ un mois.
Cette première attaque a duré au moins jusqu'à mercredi en début d'après-midi, date où Fce banni les dernières IP qui posaient problème et que l'affaire ait été publié. L'affaire n'ayant pas été publié avant mercredi après-midi, je pense que l'on peut considérer que cette première attaque ait été entièrement l'oeuvre de team area. Le site est resté fluide jusqu'à mercredi soir.
La seconde attaque a commencé a partir de mercredi soir. Cette fois-ci c'est un DDoS a plus grande échelle vu que ça concernait près de 500 machines. Sur cette seconde attaque (qui a même réussi à faire planter apache quelques minutes avant que j'intervienne), a été réalisé avec des zombis. A moins que team area soient aussi des pirates (ce que je ne pense pas du tout), ils n'ont pas été à l'origine de cette seconde attaque, ou alors ils se sont fait aider par un vrai pirate possédant des zombis.
On ne peut pas être certain de qui est à l'origine de cette seconde attaque. Elle n'a pas été revendiqué par team area. On pourrait penser que cette seconde attaque ait été par Alienwar puisqu'on sait depuis sa dernière attaque qu'il a transformé plusieurs serveurs en zombi, et qu'il s'est manifesté sur une news de team area. Après la demande de contact de team area. Est-ce que c'est réellement Alienwar ? Est-ce qu'il a agit seul ? Est-ce qu'il a été mandaté et il le fait de son plein gré ? Dans tout les cas il y a de grande chances que cette seconde attaque n'airait jamais eu lieu sans la première.
Quoi qu'il en soit, pour l'instant aucun "technicien" de Nuked-Klan n'a le temps de configurer un nouveau serveur (et faire en sorte qu'il soit protégé). Nous ne voulons pas non plus pénaliser NitroServ et leurs clients par nos attaques alors qu'ils ont déjà la gentillesse de nous héberger gratuitement, ce qui permet à Nuked-Klan de rester totalement gratuit et sans publicité, d'où la décision de fermer totalement le site.
Les thèmes de Nuked-Klan
J'ai vu sur le site de team area qu'ils reprochaient les thèmes que nous proposions à la communauté. Alors le problème qu'ils dénonce est peut-être mal exprimé sur leur news.
Il y a certains serveurs (principalement les serveurs dédiés) qui ont un système anti-food qui dès que le serveur reçoit un certain nombre de connexion à la seconde banni automatiquement l'adresse IP ayant fait autant de connexion.
Sur certains thèmes très évolués de Nuked-Klan, il y a un très grand nombre d'images, de flash et d'autres gadgets sur les pages. Quand on met un de ces thèmes très chargé sur un site protégé par un système anti-flood et qu'un visiteur va sur le site, le navigateur fait énormément de connexion sur le serveur pour récupérer chacune des images et des autres éléments de la page. Le système anti-flood crois alors que le visiteur essaye de flooder le serveur et le banni.
Je ne vois pas trop ce que Nuked-Klan peut faire contre ça, surtout que ça dépend des règles anti-flood qui ont été appliqués sur le serveur. Et je ne pense pas qu'on peut se permettre de refuser un thème pour la simple raison qu'il comporte trop d'éléments. A la limite, ce qui pourrait être fait c'est rajouter sur la page de téléchargement de ces thèmes un message "Attention, ce thème comporte énormément d'éléments sur les pages, il pourrait provoquer des bannissements non volontaires de vos visiteurs si votre serveur est protégé par un système anti-flood".
Après dire que nous ne savons pas administrer un serveur c'est totalement faux vu qu'il y a 10 mois nous étions encore sur un serveur dédié et que Nuked-Klan est resté sur un serveur dédié plusieurs années !
Par contre comme me l'avait fait remarqué un utilisateur d'IRC, leur site comporte plus de 200 erreurs quand on le passe dans le validateur W3C. Joli pour quelqu'un qui est designer ! Mais bon c'est pas le coeur du sujet, et de toute façon Nuked-Klan aussi comporte des erreurs sur le design officiel si je ne me trompe pas.
La grosse news sur moi
Je ne compte pas non plus laisser ce tissu de mensonge sans réponse. Commençons du début, Déjà ce n'est pas une accusation que je leur ai envoyé, mais juste une remarque comme quoi j'avais des soupçons. Ca aurait été des accusation le message ne serait pas parti de moi, mais du président (ou du vice-président) de Nuked-Klan, et ça aurait été un email et non un MP sur un site.
Le fichier log ne datait pas de plusieurs mois, mais d'exactement un mois. Du 5 juillet 2011 pour être précis. A vrai dire c'était quelque chose dont on avait jamais fait spécialement fait attention, et qui avait été découvert en mettant le système de log à jour. C'était quelque chose absolument sans importance, qui avait pas été remonté à un conseil d'administration et il n'y a eu aucune mesure contre. Même s'il étaient réellement à l'origine de ce qui s'était retrouvé dans les logs, il n'y aurait jamais eu de conséquence.
Bref aucune mais alors aucune raison de nous en prendre à NK, si se n’est que par la suite et en quelques minutes d’intervalles nous avons reçu des menaces d’extinction de quelques uns de nos domaines, de la pars d’un admin s’appelant BONTIV et de 2 autres se rapportant comme simple user NukedKlan !Ca c'est complètement faux, je n'ai absolument jamais envoyé de menace, et je ne me rabaisserais jamais à rendre à déni de service. Je préfère largement régler les problèmes par diplomatie. Je plus méchant que j'ai fait, c'est de mes avoir traité de "sales cons" dans mon quatrième email puisque toutes les tentatives de dialogue se heurtaient à un mur : la colère de team area. Quoi qu'on essayait de dire, ils nous répondait par un message uniquement animé par la colère, et sans prendre le temps de bien lire ceux que je leur envoyait.
Après peut-être qu'ils ont lu une menace tout comme ils ont lu "Les flics débarquent en une heure" quand j'ai écris "Je connais quelqu'un dont les flics ont fait une descente chez lui parce qu'il a bloqué un serveur pendant rien qu'une petite heure". La colère est un état où on n'est plus entièrement lucide, ce qui empêche la bonne compréhension d'un message et qui a empêché jusqu'ici tout dialogue.
Toujours par manque de sincérité, ils ont affichés sur leur site (après la coupure de ma petite attaque) que leurs site était en maintenance depuis une page Html (mensonge une fois de plus, puisque c’étais moi qui mettais leur domaine hors ligne) !
Alors ce n'est pas un manque de sincérité, c'est tout simplement notre page de maintenance par défaut quand on ferme le site. Quand on ferme le site pour une attaque, généralement on s'amuse pas à prendre le temps de personnaliser la page de fermeture. On a effectivement fermé le site le temps de récupérer les logs, savoir quelles sont les IP à bannir, les bannir et enfin rouvrir le site. Après cette page de maintenance n'est jamais tombé !
Se gars nous fait savoir qu’il à la maitrise complète de la sécurité de leur hébergement et m’avançant des arguments très peu convaincant et qui m’a bien donné la certitude que se gars la spécialiste en sécurité se devait d’occupé un autre poste pour le bien de Nuked-Klan, du genre à : Nous avons peu de session apache, un quota illimité et vos IPs attaquants ils sont bannie par mon HtAccess !
Je lui fait donc la remarque que le bannissement par HTAccess laisse tout de même arrivé les paquets jusqu’au serveur dédié et que les IPs qu’il bannis en fait appartiennent à des milliers d’internautes, puisque étant à l’origine d’un Syn-Flood ! Bref, je tente de lui faire comprendre que sa sert à rien de faire cela quand sa provient d’une attaque Syn-Flood, tout juste bon en fait pour un simple DDOS !
Je fait aussi la remarque de ne pas confondre un quota illimité et un débit maximum illimité : l’un veut simplement dire qu’il n’y a pas de comptage sur les éléments Upload/download mis depuis le site Nuked-Klan et certainement pas d’avoir un hébergement avec un débit illimité !
Il faut savoir que l'attaque qui a provoqué la mise hors ligne du serveur n'avait rien à voir avec la bande passante ni à du syn-flood contrairement à ce qui laisse croire. Il n'y a aucune limite de débit sur la machine hébergeant le site, et la machine est relié à deux GIX directement, ce qui laisse la bande passante relativement tranquille. Surtout pour des paquets SYN qui ne font que quelques octets. D'ailleurs notre FTP n'avait aucun ralentissement et les serveurs de jeux de NitroServ qui utilisent la même connexion que le serveur web n'ont pas du tout été impactés.
Ce qui a provoqué la mise hors ligne du site a été du flood HTTP. Le tunnel TCP avait donc correctement été établie (ce n'est donc pas du syn-flood). Seulement sur Apache il y a qu'un certain nombre de client qu'il peut prendre en charge, après il ne réponds plus. Voilà l'erreur qui apparaissait dans les logs :
[notice] mod_fcgid: too much /var/www/virtual/nuked-klan.org/htdocs/index.php process(current:10, max:10), skip the spawn request
La bande passante n'avait aucun soucis, mais Apache était totalement bloqué par le flood qu'il recevait. Et si Apache recevait la connexion, c'est que le tunnel a été établie et donc que ce n'est pas du syn-flood. De plus l'attaque ne provenait pas d'un millier d'IP comme il l'avançait, mais de moins d'une dizaine. Une fois les IPs en questions bannis dans mon pauvre petit htaccess, Apache leur délivraient la page d'erreur directement sans utiliser le mod_fcgid et le site est reparti comme si ne rien était ! La première attaque a donc été maîtrisé facilement une fois la petite dizaine d'IP identifié.
Ce n'est que la seconde attaque qui a posé réellement problème puisque cette fois-ci l'attaque provenait d'une liste de 500 IPs. Avant le bannissement de ces 500 IPs le serveur apache ne pouvait plus afficher une seule page. Après le bannissement des 500 IPs, le site est reparti, mais avec une vitesse relativement lente puisque la boucle principale d'apache qui permet le traitement des données restait surchargée.
Suite de la news dans une demi-heure avec aussi leurs menaces depuis Facebook qui doivent venir nous cassé la gueule ! ah bien tiens, et cela de la pars d'ingénieur en j'sais plus trop quoi, bref des gars qui veulent faire croire qu'ils sont correcte et qui veulent venir nous cassé la gueuleJuste une précision, je suis le seul à faire des études d'ingénierie donc je suppose que cette remarque me concerne aussi. Je n'ai jamais écrit de menace sur Facebook. Déjà je ne suis pas membre de la team communauté de Nuked-Klan et surtout mardi / mercredi j'avais un flood à gérer donc ce qu'il se passe sur Facebook j'en avait pas grand chose à faire. Ce n'est pas moi qui ait écrit ce message. Il ne faut pas non plus m'accuser de tous les maux.
Alors aujourd’hui, il l’avait tellement mauvaise sur ces contradictions en matière de sécurité informatique qu’il est passé au stade des tentatives DDOS et a expliqué se qu’il voulait bien à des utilisateurs Nuked-klan et à quelques uns de leurs admins (ils sont combien chez eux d’admins ?)Je n'ai jamais fait de tentative de DDoS, désolé. Déjà parce que en journée j'ai un stage et donc que je ne peux pas trop faire de DDoS (et le soir je le passe à régler des problèmes, ce que je fais encore ce soir en écrivant cet article). De plus pour faire un DDoS il faut avoir des zombis et vu que je ne suis pas un pirate, je n'ai pas de zombi sur des machines. Donc la seule chose que j'aurais pu faire, c'est du DoS, et encore je n'ai pas le temps et ce n'est pas ma philosophie pour aborder un problème.
Sinon tous les membres de la team de Nuked-Klan sont administrateurs.
Seul chose que moi j’ai à me reproché c’est de vous avoir attaqué quelques minutes hier, justement parce que vous m’aviez accusé à tort ! ! Et vous voulez maintenant mettre les choses à l’envers ! !Ce n'était pas une accusation, mais juste un soupçon placé dans une remarque. Et au lieu d'en discuter calmement afin de trouver le problème, vous avez préféré réagir en lançant directement des attaques sur le serveur. Donc maintenant après des soupçons pour quelque chose sans importance, on vous accuse d'avoir attaqué notre serveur.
Aucun commentaire:
Enregistrer un commentaire