Περίεργες επιθέσεις στο Ελληνικό internet και κανείς δεν γνωρίζει γιατί!

Πρόσφατα πέσαμε πάνω σε μια άκρως ενδιαφέρουσα δημοσίευση ιδιοκτήτη, μιας από τις μεγαλύτερες εταιρείες hosting στην Ελλάδα της cretaforce.gr, που μιλά για περίεργες επιθέσεις τους τελευταίους μήνες σε πλήθος ελληνικών ιστοσελίδων από 10.000 – 100.000 IPs που προέρχονται κυρίως από Κίνα, Βιετνάμ, Ουζμπεκιστάν και άλλες χώρες, ενώ διατυπώνει την υποψία ότι ίσως να οφείλεται και σε επικείμενη δραστηριοποίηση γνωστού κινεζικού κολοσσού στην Ελλάδα, του Temu αν και υπάρχουν αναφορές και από το εξωτερικό.

Αρχική δημοσίευση 17 Μάϊου 2025 στο Facebook

Έχει παρατηρήσει κάποιος το τελευταίο διάστημα ότι χιλιάδες bots εξαπολύουν επιθέσεις σε e-shop με φίλτρα, χρησιμοποιώντας κάθε φορά διαφορετικές τυχαίες παράμετρους στα φίλτρα; Λογικά το κάνουν διότι οι σελίδες με φίλτρα είναι και οι πιο βαριές ώστε να πετύχουν την μεγαλύτερη κατανάλωση πόρων από τους servers. Συνήθως οι επιθέσεις προέρχονται κάθε φορά από 10.000 – 100.000 IPs, κυρίως από Κίνα, Βιετνάμ, Ουζμπεκιστάν και άλλες χώρες. Τα e-shops που δέχονται τις επιθέσεις δεν σχετίζονται μεταξύ τους, άλλοι είναι αυτοί που τα κατασκεύασαν, άλλοι οι ιδιοκτήτες των e-shops, και άλλα τα είδη που πουλούν.

Δημοσίευση 29.7.2025

Τις τελευταίες εβδομάδες το πρόβλημα έχει επιδεινωθεί σημαντικά και έχω πολλές αναφορές για αυτό το πρόβλημα και από άλλους ελληνικούς webhosts και από ιδιοκτήτες e-shops και υπάρχουν και κάποιες αναφορές στο εξωτερικό.

Από έρευνα που έκανα διαπίστωσα ότι υπάρχουν εταιρίες που εμπορεύονται residential proxies και για να συγκεντρώσουν IPs πληρώνουν χρήστες να εγκαταστήσουν στους υπολογιστές και στα κινητά τους εφαρμογές όπως τα traffmonetizer[.]com και pawns[.]app.

Οι χρήστες που εγκαθιστούν αυτά τα προγράμματα παραχωρούν έμμεσα πρόσβαση στη σύνδεσή τους, επιτρέποντας τη χρήση της ως proxy. Οι εταιρίες αυτές καταβάλλουν ένα μικρό αντίτιμο στους χρήστες (περίπου $0.20/GB) και στη συνέχεια πουλάνε αυτή την πρόσβαση σε τρίτους προς πολύ υψηλότερη τιμή (περίπου $3.50/GB).

Το αποτέλεσμα είναι ότι διάφοροι κακόβουλοι χρησιμοποιούν bots τα οποία εκτελούν requests μέσω πραγματικών residential IPs (διευθύνσεις IP από οικιακές συνδέσεις), καθιστώντας εξαιρετικά δύσκολο τον εντοπισμό και το φιλτράρισμά τους. Οι ίδιες οι σελίδες που πουλάνε τέτοιους proxies διαφημίζουν ότι έχουν πρόσβαση σε πάνω από 100 εκατομμύρια IPs.

Μόνο τις τελευταίες 3 ημέρες, σε δύο e-shops που φιλοξενούμε, καταγράφηκαν 3.687.462 requests από διαφορετικές IP σε σελίδες με φίλτρα από bots. Ευτυχώς, πλέον κατάφερα να εφαρμόσω ένα σύστημα αποκλεισμού που μπλοκάρει πλήρως αυτά τα bots.

Για ευνόητους λόγους, δεν θα αναφέρω δημόσια τη μεθοδολογία εντοπισμού και αποκλεισμού των επιθέσεων, αφενός διότι το παρόν μήνυμα ενδέχεται να διαβαστεί και από τους ίδιους τους επιτιθέμενους και αφετέρου διότι σε περιβάλλοντα με κλασική αρχιτεκτονική (Apache/Nginx με Cpanel/Plesk) ή με ενεργοποιημένο CDN (proxy) μέσω Cloudflare, είναι αδύνατο να υλοποιηθεί.

Πάντως η λύση που έχουμε εφαρμόσει στους δικούς μας servers θα μπορούσε τεχνικά να υλοποιηθεί και με Cloudflare Workers.

Τέλος αξίζει να σημειωθεί η λύση που βρήκα όχι μόνο μπλοκάρει τις επιθέσεις, αλλά επιβραδύνει σημαντικά τον ρυθμό με τον οποίο μπορούν να εκτελούνται. Αυτό σημαίνει ότι αν ο ίδιος επιτιθέμενος στοχεύει ταυτόχρονα και άλλα e-shops με τους ίδιους residential proxies θα επηρεαστεί συνολικά η ταχύτητα της επίθεσης και στα υπόλοιπα e-shops επομένως και θα επωφεληθούν έμμεσα και όσοι φιλοξενούν e-shops σε άλλους webhosts.

Ευχαριστούμε θερμά την cretaforce.gr για την παραχώρηση άδειας δημοσίευσης του εν λόγω άρθρου. Βασικά χαρακτηριστικά cretaforce hosting.

• Caching της MySQL στην RAM για γρήγορη δημιουργία temporary tables, βελτιώνοντας την απόδοση των php processes.
• Micro-caching για δυναμικές εφαρμογές στην PHP.
• Caching στατικών αρχείων στην RAM για ταχύτερη μεταφορά δεδομένων.
• Συμπίεση στατικών αρχείων για ταχύτερη μεταφορά δεδομένων.
• Χρήση Nginx για web-server, προσφέροντας ταχύτερη φόρτωση στατικών αρχείων σε σύγκριση με Apache.
• Opcode optimizer (opcache) στην PHP.
• Υποστήριξη Redis.
• Backup σε 3 ξεχωριστούς servers, με έναν από αυτούς σε ξεχωριστό datacenter.
• Ξεχωριστούς mail servers για αποστολή e-mails με έλεγχο σε πραγματικό χρόνο για blacklists.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.