Пост в блоге 2 июля от старшего системного администратора Яна Келлинг указывает, что инфраструктура для Фонда свободного программного обеспечения «подвергается нападению с августа 2024 года».
«С момента статьи ничего не изменилось», — сказал во вторник FSF Sysadmin Michael McMahon. «Мы все еще имеем дело со всеми этими проблемами».
Организация имеет только двух сотрудников технической команды, работающих на полную ставку, плюс несколько «преданных добровольцев», чтобы решить эту проблему.
И июльский пост FSF ссылается на отчет Librenews, в которых отмечаются аналогичные проблемы на громких сайтах FOSS, включая проект Fedora, инфраструктуру KDE Gitlab, экземпляр Gnome Gitlab, диаспору и даже еженедельные новости на сайте Foss Linux. (И «Gnome сталкивается с проблемами с ноября прошлого года…»)
Статьи, такие как FSF, — это способ поделиться «методами и инструментами», сказал МакМэхон во вторник. Хотя он добавляет, что у некоторых системных администраторов также есть личный список рассылки «где мы можем координировать и делиться эффективными стратегиями. Конкретные смягчения часто не могут быть опубликованы, потому что это дало бы нашим злоумышленникам преимущество».
Есть чему поучиться из битвы FSF с ботами-о тактике Sysadmins, а также о новых проблемах, с которыми они сталкиваются сегодня от этих «гипер-агрессивных полей LLM»? Как FSF помещает его в свой пост в блоге… «Кажется, что у здоровья Интернета сейчас есть некоторые серьезные проблемы».
Поддержание 70 сайтов
Это большая проблема, чем кажется. Технологическая команда FSF поддерживает более 70 различных веб -сайтов, услуг и платформ — не только для проектов FSF и GNU, но и для «более широкого сообщества бесплатных программных программ» (включая популярные веб -каркасы, такие как Drupal и MediaWiki, среда настольных компьютеров KDE, а также даже классическую игру Nethack). «Недавно мы насчитывали семьдесят различных услуг,-пишет Келллинг,-и имеем дюжину физических серверов в двух центрах обработки данных Бостона».
Тем не менее, «мы не используем какие-либо из так называемых« облачных »сервисов»,-объясняет еще одну веб-страницу, «поскольку« облако », на которое они обычно называют, является просто чужой компьютером. Мы не устраняем проблемы с фреймворками в верхней части контейнеров Docker, работающих в Kubernetes, собранных кем-то, кто говорит вам напрямую вывод труб в переход и установить программное обеспечение, не глядя на него…».
FSF удерживает свой стек в соответствии с более высоким стандартом, объясняет, и «мы собираем наши программные стеки так, как мы можем понять и отслеживать, настраивая услуги, организованные Ansible в виртуальных машинах с либевиркой на Trisquel GNU/Linux, работая на Asus kgpe-d16. Доверенный… »
Команда администратора даже проверяет, что их программное обеспечение не запускается. «Мы запускаем только код, который мы можем запустить, изменять, копировать и делиться, вплоть до запуска полностью бесплатного биография на наших серверах».
Отталкивание продолжающейся атаки
Поддержание всех этих сайтов — это «огромная задача», объясняет июльский пост в блоге, особенно перед лицом тех агрессивных веб -сканеров LLM, которые «были значительным источником атак».
Во вторник МакМэхон объяснил, что «эти вероятные компании LLM не оставляют контактных данных, поэтому нет отдельных компаний, которые бы не сообщают, кроме владельцев IP -адресов».
Таким образом, как и другие сайты, их первая линия защиты — «определить, какие IP -адреса отправляют запросы как часть [Distributed Denial of Service]а затем сервер игнорировать запросы с этих IP -адресов », — объясняется сообщение в блоге.
Но это не так просто, как кажется. В декабре прошлого года сообщение в блоге вспомнила, что «одна из недавних атак за последние несколько месяцев потребовала блокировки более 40 000 IP -адресов от атаки DDOS». И в этом месяце Келлинг написал: «Эта атака продолжается, но мы смягчили ее». (Хотя в этом случае, «судя по схеме и масштабам, цель, вероятно, опустила сайт, и это не было гусеницей LLM».)
Плохие новости? «С тех пор у нас было больше атак с еще более высокой тяжестью». И есть несколько атак из различных источников …
- «Гну Саванна, система совместной разработки программного обеспечения FSF, пострадала от масштабного ботнета, контролирующего около пяти миллионов IPS, начиная с января». 2 июля он был «все еще продолжается, но текущая итерация ботнета смягчена». Команда администратора предполагает, что она предназначена для создания учебного набора LLM.
- GNU.org и ftp.gnu.org пережили новую атаку DDOS, начиная с 27 мая. (Также в настоящее время смягчалась, «его цель состоит в том, чтобы снять сайт … у него было несколько итераций, и каждый из них вызвал несколько часов простоя, в то время как мы выяснили, как защитить себя…»)
- Directory.fsf.org, сервер, стоящий за каталогом свободного программного обеспечения, подвергся атаке 18 июня. Две недели спустя эта атака все еще была «очень активной», хотя и «частично смягченной». Они считают, что атака «вероятно, это скребок LLM, предназначенный для специфической нацеливаемости вики -сайтов медиа с ботнетом».
- Существует также обычный высокоэффективный трафик от сканеров уязвимости и веб-сканеров, а также сканеров, которые притворяются постоянными пользователями-или другими сканерами.
«Мы должны выяснить конкретный защитный подход для каждой атаки…» объяснил сообщение в блоге.
Есть еще одна проблема. Автоматизированные трубопроводы CI/CD «часто отправляют гораздо больше запросов, чем необходимо, что выглядит и действует как атака DDOS, даже если это не предназначено». Одним из примеров является проверка-и повторная проверка-на новых обновлениях кода для восстановления программного обеспечения. И «они, как правило, не предоставляют контактные данные», — сказал МакМахон во вторник. «Наши методы связи с ними — отправлять отчеты о злоупотреблениях владельцам IP -адресов или запустить« тест крика », где мы блокируем адрес и посмотрим, жалуются ли они.
«Кричные тесты часто эффективны и приводят к конструктивным разговорам о лучших способах использования наших ресурсов».
Но в сообщении в блоге отмечается, что блокировка адреса не всегда работает, и вместо этого «часто побуждает их искать лучшие способы достижения одних и тех же целей».
Держась
Во-первых, бесплатные инструменты мониторинга программного обеспечения, такие как Prometheus и Uptime Kuma, предупреждают их о отключениях или замедлении времени отклика, и «журналы затронутой услуги обычно рассказывают историю». (Подозрительные запросы включают такие вещи, как поиск страниц, специфичных для WordPress, на сайте, которые даже не используют WordPress или не выполняют несколько запросов страниц в секунду-и они проверены по таблицам IP-адреса, подавляющих ASN с использованием инструмента под названием iPtoasn).
Затем адреса заблокированы «различными брандмауэрами», а также есть блокировка на основе поведения с помощью инструментов Fail2ban и агентских правил с модбезопасностью. Иногда они даже делают отчеты о злоупотреблениях интернет -провайдерам и хостинговым компаниям (хотя «эта страница может использовать необрабонный JavaScript. Обычно мы можем обойтись, используя необработанные JavaScript в таких случаях, отправив электронное письмо с описанием злоупотребления, фрагментом журнала и ожидаемом поведением…»)
Это часть долгосрочной стратегии. «Надеемся, что поставщики интернет -услуг, облачных провайдеров и мобильных перевозчиков начнут обращать внимание на злоупотребление в их сетях, — сказал МакМахон во вторник, — и поможет нам, донести до корень более широкой проблемы».
Но в то же время брандмауэры FSF могут блокировать большинство сканеров уязвимости, согласно сообщению в блоге, и «нам может потребоваться блокировать отдельные адреса, адреса CIDR, поставщики VPS или даже целые ASN».
Большая проблема
FSF находит свои сайты, стоящие перед сканерами на веб -сайте, которые «игнорируют файлы robots.txt, слишком быстро сканируют и снимают сайты» — и здесь сообщение в блоге вызывает «особенно» тех сканеров, «написанных крупными компаниями моделей языка».
Crawlers — это проблема и для других сайтов, судя по марш -сообщению в блоге от генерального директора/основателя Sourcehut Daw Devault. Девот сказал, что эти гипераггрессивные LLM-трещины «делают это, используя случайные пользовательские агенты, которые перекрываются с конечными пользователями и происходят из десятков тысяч IP-адресов-в основном жилых, в неродственных подсетях, каждый из которых делает не более одного HTTP-запроса в течение любого периода времени, который мы пытались измерить-активно и злобно адаптироваться и смешивание к конечному движению и избегая их поведения, которые охарактеризуют их поведение», чтобы охарактеризовать их поведения, чтобы охарактеризовать их поведения, чтобы охарактеризовать их поведения.
И это требует потери, написал Дево. «Мы переживаем десятки кратких отключений в неделю, и мне приходится пересмотреть наши смягчения несколько раз в день, чтобы не допустить, чтобы это число стало более высоким… несколько высокоприоритетных задач в SourceHut были отложены недели или даже месяцы, потому что мы продолжаем прерываться, чтобы решать эти боты, и многие пользователи были отрицательно повлияли, потому что наши смягчения всегда не могут быть достоверно отличают у пользователей.
Некоторые веб -сайты используют Anubis, которая отправляет программу JavaScript, требующую вычисления, прежде чем разрешить доступ к сайту. Но хотя он соответствует определению FSF свободного программного обеспечения, «мы не поддерживаем эту схему, потому что она противоречит принципам свободы программного обеспечения… программой, которая выполняет расчеты, которые пользователь не хочет сделать, является формой вредоносного ПО», — сказал Девот.
Сообщение в блоге заканчивается на обнадеживающую ноту. «Несмотря на то, что мы находимся в активной атаке, GNU.org, FTP.GNU.org и Savannah.gnu.org в настоящее время работают с нормальным временем отклика и были в течение большей части этой недели… мы сейчас защищали эти сайты в течение почти полного года интенсивных атак, и мы будем продолжать бороться с этими атаками до тех пор, пока они продолжались».
Добровольцы всегда могут помочь им продолжить в этой миссии, конечно. Существует специальная страница, предлагающая несколько способов помочь, сказал МакМэхон во вторник, и «мы на борту новых добровольцев на постоянной основе».
Но даже если вы не Sysadmin, они указали в декабре: «Лучший способ сигнализировать о долгосрочной поддержке с командой FSF Sysops и FSF в целом,-стать ассоциированным членом FSF».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэвид Кассель — гордый житель района залива Сан -Франциско, где он освещал технологические новости более двух десятилетий. За эти годы его статьи появлялись повсюду от CNN, MSNBC и The Wall Street Journal Interactive … Подробнее от Дэвида Касселя
