Skupina Anonymous využívá během svých útoků především nástroje HOIC, LOIC a SLOWLORIS. Tyto nástroje generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů. To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

Aktuálně z bezpečnosti

Apple vydává záplaty bezpečnostních zranitelností pro všechny své operační systémy

24.01.2017

Společnost Apple vydala balík bezpečnostních oprav týkající se takřka všech Apple operačních systémů.

více »

Oracle vydává záplatu na 270 chyb

19.01.2017

Oracle vydal čtvrtletní záplatu opravující 270 chyb napříč portfóliem svých produktů. U více než 100 z těchto chyb je možné jejich vzdálené zneužití (remote exploit ...


Nová phishingová kampaň je zaměřena na uživatele Gmailu

17.01.2017

více »

Osm opravených bezpečnostních zranitelností ve WordPressu

12.01.2017

Ve verzi 4.7.1 byly opraveny zranitelnosti typu CSRF a XSS. Další z nalezených zranitelnosti zveřejňovala data všech uživatelů, kteří napsali veřejný příspěvek. Verze ...


Ansible vydal verzi s opravenou zranitelností umožňující převzít kontrolu nad řídícím strojem

12.01.2017

Ansible sloužící primárně pro automatizaci konfigurace a provisioning serverů vydal verze 2.1.4 RC1 a 2.2.1 RC3, ve kterých opravuje závažnou zranitelnost ...


CSIRT.CZ vydává doporučení pro správce internetových stránek, vedoucí ke snížení dopadů DDOS útoků

Skupina Anonymous využívá během svých útoků především nástroje HOIC, LOIC a SLOWLORIS. Tyto nástroje generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů. To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

V tuto chvíli doporučujeme následující možnosti, které povedou ke snížení dopadu útoků:

1. Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.

2. Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.

3. Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný nginx v módu reverzní proxy se zapnutou cache.

4. Doporučujeme také zkontrolovat zda na www stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučujeme kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástroje Nikto2. Doporučujeme také preventivně změnit hesla k databázím.

Jak již bylo zmíněno, zatím se akcí Anonymous neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream. Pokud máte zájem o bližší informace, kontaktujte nás na naší e-mailové adrese abuse@csirt.cz.