Prosba o pomoc s fórem

[Tomáš Grygarčík]

Já měl za to, že AF implodovalo a už přes týden nefunguje. Dneska v práci jsem měl dvě hodiny čekačku v autě, tak jsem to zkusil přes mobil a ejhle - sedm stran nepřečtených příspěvků.
DNS problém není, adresy překládá, na PING odpovídá, ale NMAP hlásí "host seems down". Linux, Windows, Android, Firefox, Konqueror, Opera, ethernet, WiFi... server neodpovídá. O2 asi nechce, abych tu lezl, zato přes mobilní data T-mobile problémy nejsou. Ještě vyzkouším v rámci dědiny u příbuzných, jak moc lokální ten problém je.

Částečně se mi ulevilo, že AF stále funguje.

[nou]

Mne tiež predvčerom fórum blblo kedy mi vracalo že spojenie bolo reštartované. Dokonca som si pustil wireshark a pozrel sa čo sa tam deje. Po three way TCP handshaku browser poslal TLS client hello načo server odpovie RST paketov a celé spojenie tým padne. Po pár minútach sa mi to ale rozbehlo. Podľa mňa je to ale neriešiteľné pretože to bude proste nejaký problém po ceste. Jediné čo by mohlo niečo napovedať je tracerout.

[armichael]

No a nemôže byť toto spôsobené ochranou, ktorú správca serveru implementoval proti spamu a DDoS útokom?
Vo vlákne o novej verzii sa to dá nájsť, cca okolo tohto príspevku: viewtopic.php?t=18824&start=1170#p525207
A fai2ban by zodpovedal tomu čo v komunikácii vidíš. Mne to teda tiež občas blbne podobne divným spôsobom a až sa to stane znovu, tak tiež skúsim wireshark.

[HonzaStr]

Ano, je to tou ochranou (v případě Tomáše Grygarčíka). Je tam nastavený limit na počet dotazů za nějakou dobu, v tomto případě došlo k překročení, načež následoval ban ve firewallu. Konkrétní čísla bych tu raději veřejně nepsal, ale je to nastavené tak, aby to běžný traffic celkem bezpečně nepřesáhl (a ten ban je pak na poměrně dlouhou dobu). Napíšu SZ.
Kdyby se to někomu dalšímu stalo, tak se nestyďte - a ozvěte se. Už tu i jeden případ byl (tam to způsobovala splašená smarfeed čtečka, když bylo smartfeed vypnuté).
Jinak teda ty problémy včera a předevčírem, to byl zase náš "DDOS útočník" - vypršel limit na ban ve firewallu a ti jeho "workeři" zase začali otravovat, než je to znovu setlo. Je to holt boj, jak to nastavit, je to o určitém kompromisu.

[Tomáš Grygarčík]

Pouze uvedu, že jsem měl několik let vypnutou cache ve Firefoxu a zapomněl jsem na to. Prakticky vše jsem pokaždé stahoval znovu, a to mi zvedlo dotazy na server nad kritickou mez.

[nou]

V mojom prípade to nebol fail2ban pretože server odpovedal na pripojenie len ho okamžite zahadzoval. Tiež sa to po desiatich minútach znova rozbehlo. Tiež sa takýto výpadok potom opakoval aj večer.

[HonzaStr]

Ano, to odpovídá, to bylo tím přetížením serveru, tj. tím "slow DDOS" útokem. Dělají to ve vlnách. Teď bude zase pár dní pokoj, než jim vyprší ban.

[Stanislavxyz]

(...)
Kdyby se to někomu dalšímu stalo, tak se nestyďte - a ozvěte se.
(...)

Já mám možná hloupý dotaz, snad mě poněkud omlouvá, že oblast IT je pro mě španělská vesnice, ale komu a jak se ozvat, když se kupříkladu nedostanu na AF a nebudu tedy moci napsat sem, ani SZ někomu kompetentnímu? Jistě, na pár členů mám telefon, či email, avšak nerad bych je obtěžoval tím, že mi nejede AF...

[ArcturusD]

Kdyby se to někomu dalšímu stalo, tak se nestyďte - a ozvěte se.

Mne sa to posledné týždne stáva relatívne pravidelne; cca týždeň sa neviem dostať na fórum, potom na cca 24 hodín funguje bez problémov a následne sa to zasa akoby "zablokovalo". Keď si momentálne fórum otvorím normálne cez prehliadač, neviem sa sem dostať, ale keď sa cez ten istý NTB pripojím na pracovný proxy server, tak už áno.

[HonzaStr]

Stanislavxyz: Nejlepší je se zkusit připojit přes jinou IP adresu, což (obzvlášť pro laika) nemusí být jednoduché. V zásadě jde o to, přihlásit se do astro-fóra odjinud, aby to nešlo přes společné připojení k internetu (např. přes mobilní data v mobilu, v práci, u souseda/známého...). Pokud to tam jde, napište mi odtud soukromou zprávu. Do té zprávy je ideální mi napsat IP adresu, která je blokovaná (zjistíte jí např. na stránce https://www.whatsmyip.org/), případně jí dohledám i sám, pokud jste např. nedávno postovali nějaký příspěvek (a adresa se od té doby nezměnila).
Anebo počkejte, až problém přejde (ale trvá to déle než týden) a pak mi bez odkladů napište ze svého připojení.
Ale za normálních okolností by se vám to stát nemělo, pokud nemáte např. vypnutou cache v prohlížeči a do toho nezačnete intenzivně prohledávat astro-fórum .

ArcturusD: vypadá to na stejný problém, jako u Tomáše - velmi velký počet dotazů za posledních několik hodin. Vypadá to, že máte vyplé cacheování v prohlížeči, doporučuji to zkontrolovat a zapnout. Prohlížeč se takhle pořád dokola ptá např. na obrázky v záhlaví, ikony smajlíků, všechny soubory .css atd - a neúměrně (a zbytečně) tím roste počet dotazů na server.

[kuceraz]

Od té doby, co je implementována ochrana proti DDOS nejsem schopen se připojit z firemního počítače, pokaždé stejná chybová hláška - connection timed out.
Osobní i mobil bez problémů, může to být také způsobeno změnou nastavení serveru?
Původně jsem si myslel, že komunikaci utne firewall, ale po přečtení příspěvků zde si tím už nejsem jistý.

[Stanislavxyz]

Honzo, děkuji Vám za odpověď i za práci, kterou pro AF konáte!

[HonzaStr]

kuceraz: Ano, to vypadá přesně, jako ten popsaný problém. Pošlete mi do SZ svoji IP adresu z práce, podívám se na to.

[ArcturusD]

HonzaStr - kontaktoval som vás cez SZ a tiež som vám poslal svoju IP adresu. Vypisuje mi to rovnakú chybovú hlášku "connection timed out".

[HonzaStr]

Protože se množily problémy, tak jsem nakonec zařadil do obranného mechanismu filtr na geolokaci podle IP adresy. Odteď by to tedy nemělo odchytit adresy v CZ/SK.
A rovnou jsem zkontroloval už odchycené adresy a u těch z CZ/SK jsem zrušil jejich ban, překvapivě jich tam pár bylo, i těch "nenahlášených". Ono je to tím, že ty blokovací kritéria jsou nastavena poměrně mělce a zřejmě není takový problém to při opravdu intenzivním prohlížení webu překročit.
Odteď by to tedy mělo být zase o něco spolehlivější.