2016-10-22 Kl 02:25 Flashback information
Det var kraftiga attacker mot DynDNS av Mirai Botnet som gjorde att Flashback var nere i en vecka innan ändringen av DNS-tjänsten gick igenom. Förmodligen gick detta via Holland där två nätrelaterade företag som också var angripna av Mirai Botnet. Det är alltså ingen som riktade in sig på Flashback, det är de för små för, de stod bara i vägen……
2016-10-20 Kl 23:00 Flashback information
Sedan en tid har Flashback tyvärr fungerat störningsfritt. Förmodligen har hårdvara uppgarderats och mer bandbredd ut ordnats. Det var med stor sannolikhet den största orsaken till att Flashback inte klarade DDoS-attacken mot servrarna i Holland som på något sätt har med Flashback att göra, tror vi.
2016-10-17 Kl 16:00 Flashback information
Vi måste överväga tanken att det är som vi tidigare sagt i frågan. Det vill säga att problemen egentligen beror på att Bahnhofs kapacitet inte räcker till. Vi tror också på den källa som säger att Bahnhof:s kapacitet gick i taket för några veckor sedan vilket medförde att bara en liten DDoS-attack överstyrde systemet som tvingade Bahnhof att strypa tillgången för alla utom för företagen som de har som kunder. Frågan är om attackerna mot Holland kan påverka Flashback? Frågan är om Flashback har någon länk till Holland och i så fall varför? De frågorna måste besvaras innan vi kan ta reda på vad sänkningen av Flashback egentligen beror på. Ju mer vi tänker på det känns det långsökt att en attack på Holland skulle sänka Flashback och bara Flashback i Sverige. Någon attack mot Sverige förekommer över huvudtaget inte alls just nu eller föregående veckan. Detta är verkligen mystiskt! Vad vet ledningen för Flashback som ingen annan vet? Varför är de så tysta mot sina medlemmar? Hur svårt kan det vara att gå ut med information som i detalj beskriver vad som hänt. Vi börjar ana ugglor i mossen.
2016-10-17 Kl 14:50 Flashback information
Flashback verkar gå trögt igen. Faran är inte över, de kan komma igång igen 😀 . Just nu pågår det mycket kraftiga attacker mot två ställen i Holland. Vi vet sedan tidigare att Flashback på något vis är kopplat till Holland eftersom Flashback försvann helt när en kabel där gick av där för ett par år sedan. Här nedan kan vi se attackerna, det röda strecket har vi satt dit för att visa de två punkterna från var attackerna sker och var målet är dvs från Förenade Arab Emiraten till Holland. Några attacker mot Sverige förekommer inte alls:
Det var svårt att kopiera precis när det sker. Bilden visar en mycket kraftig attack som är i avtagande. Attackerna är pulserande, efter det avtagit kommer nästa osv.
2016-10-17 Kl 03:15 Flashback information
Flashback tycks fungera felfritt nu. Möjligen har någon med IP-nummer utifrån lite problem ibland.
2016-10-16 Kl 20:00 Flashback information
Som vi tidigare skrivit har vi kommit fram till att Flashback står uppkopplad mot Holland och att det är den leverantören i Holland som drabbats av DDoS som vi också konstaterat tidigare. Det skulle då resultera i att det inte går eller blir segare att surfa med anonymt ip som går routen från Europa eller genom Europa via Holland till Flashback. Här nedan kan man se att reaktionen från olika alias på Flashback stämmer väl överens med resultaten i vår lilla undersökning:
Alias på Flashback:
Lite förvånande för mig, med tanke på att lördagkvällen var den värsta perioden hittills. Men idag upptäckte jag att det beror på att jag kör med VPN-proxy i Holland, som alltid har fungerat utan problem. När jag stänger av den och kör oskyddat rullar forumet fint. Har man alltså börjat blocka vissa ip, vilket främst borde drabba de VPN-servrar som används för att gömma sig bakom?
och
Jag menade att proxy-servern jag alltid styr min trafik över ger mig ett holländskt ip-nummer.
Min VPN-leverantör ger mig närmare 50 olika servrar att välja på världen över, men de verkar vara blockade de också, även om jag bara orkat prova en handfull. Gissar att admin et al. har koll på vilka ip-nummer flitigt nyttjade proxy-servrar har.
Det är bara oskyddat som fungerar för mig i dagsläget.
Och med tanke på att Flashback ibland känns lika smutsigt som en billig hora i Gambia, så är det en inte alltigenom behaglig upplevelse.
och
Jag har samma problem som dig. Fungerar bara från svenskt IP då jag väljer i min VPN tjänst.
Inte ett enda annat lands IP fungerar just nu. Så vi kan hoppas att detta löser sig så småningom.
Här kan man se attacker över hela Världen i realtid: NorseCorp
2016-10-16 Kl 02:20 Flashback information
Vi har nu undersökt attackerna mot Flashback mycket noggrant. Vi har kommit fram till att Flashback står uppkopplad mot Holland. För ett par år sedan gick en fiberkabel av som går från Holland och Flashback stängdes av tvärt. Två platser i Holland är hårt drabbad av överbelastningsanfall. Dessa anfall kommer från Förenade Arab Emiratens stad Dubai eller området omkring. Det är det enda vi kan se stå under attack och som möjligen kan ha något med Holland att göra. Vi har också tidigare sett ip-nummer för Flashback som lett till Holland.
Här kan man se attacker över hela Världen i realtid: NorseCorp
2016-10-15 Kl 22:00 Flashback information
Vi har medvetet inte informerat om Flashbacks tillstånd en tid. Vi ville först se om det fungerar stabilt. Nu tycks det fungera stabilt tidvs. Dock har fortfarande en del svårt för att komma in medan andra inte kommer in alls. Det beror på att man förmodligen kör med VPN och får sitt ip från en server utomlands som sedan går samma route (ungefär “vägsträcka”) som DDoS-signalerna. Flashbacks metod att avstyra DDoS-attackerna är den att man stänger all trafik från den route som anfallet kommer ifrån. Om du då har VPN som går samma route kommer inte heller du in.
Flashback:
Forumet flyter på bra och de flesta upplever inga eller små problem. Däremot kan vissa användare drabbas då och då av olika orsaker, men det har med våra motåtgärder att göra och att man “fastnar” i dem.
och
Precis som vi meddelar här så filtrerar vi trafiken på olika sätt beroende på typen av attacker som sker mot oss. Allteftersom de skiftar så ändras även vår filtrering. Det är alltså normalt att vissa ibland kan ha problem att nå oss, t ex att man råkar ha en liknande route som en DDoS-bot.
Det märkliga är dock att det går inte att se minsta lilla tecken på att en DDoS-attack pågår eller har pågått mot någon hemsida alls i Sverige. Vårt verktyg att se sådant har inte indikerat något sådan trafik alls. Vi får lov att återkomma om detta.
2016-10-15 Kl 02:00 Flashback information
Flashback ligger sedan några timmar helt nere, förut under de senaste fem dagarna gick det att komma in någon gång men nu är det totalstopp. Informationen är mycket knapphändig men behöver i och för sig inte betyda något. Men tystnaden är anmärkningsvärd och leder ofelbart frågan in på vad som döljer sig bakom stoppet vi upplever. Vi kan inte för allt i världen tro att Flashback medvetet vill sprida konspirationer om vad som hänt. Till detta har vi det faktum att admin själv, dvs Jan Axelsson, inte alls deltagit i informationsarbetet. Det är admin4 som gjort hästjobbet med att skriva ett par inlägg om 5-6 rader information under hela tiden.
Vi tror på den källa som säger att Bahnhof:s kapacitet gick i taket för några veckor sedan vilket medförde att bara en liten DDoS-attack överstyrde systemet som tvingade Bahnhof att strypa tillgången för alla utom för företagen som de har som kunder.
Som vi skriver högre upp har denna strypning av bandbredd av Flashback föranlett det motsatta mot vad som är brukligt vid sådana här problem, dvs att i så hög omfattning som möjligt informera. Flashback väljer den helt ologiska motsatta vägen, dvs tystnad. Utan att hemfalla i konspirationer börjar vi sakteliga undra om det inte pågår en maktkamp inom Flashback. Jan Axelssons avhållsamhet, som admin, att informera måste sägas späda på tron att någon form av maktkamp pågår. Med den tanken spirande frågar vi oss: Överlever Flashback detta?
Kan det vara så att vi får uppleva glädjens dag? Om det är så lovar vi att genast lägga ned SIG-gruppens verksamhet!
2016-10-12 Kl 18:00 Flashback information
Efter vi skrev föregående har Flashback både dykt och kommit tillbaka. Mycket tyder nu på att de byter servrar, de kan alltså inte hitta felet. Vi kan också se att man kopplat in domänen flashback.info på servrarna.
2016-10-12 Kl 15:00 Flashback information
Tyvärr verkar det som om Flashback börjar komma igång. Det är fortfarande trögt men betydligt snabbare än på morgonen.
2016-10-12 Kl 11:42 Flashback information
Efter att det gått komma in på Flashback under tidig morgon har det nu mot förmiddagen börjat att sega ner sig igen. Det är mycket långa svarstider, vissa funktioner fungerar inte alls och det är inte säkert att det går posta. Nu har det gått 5 dagar sedan problemen började. Det är helt säkert ett tekniskt problem men om det fortsätter så här kommer vi att börja fundera på om det inte är Bahnhof som är problemet.
2016-10-11 Kl 14:52 Flashback information
Det är glädjande nog fortsatt störningar på Flashback. De som kör med VPN verkar inte kunna komma in alls.
Vi har fortsatta driftstörningar idag där det tidvis är svårt att komma åt forumet.
Fokus är på problemet och vi gör vad vi kan för att lösa det fortast möjligt och beklagar besvären.
admin4
Vi har egna loggar över Flashback och de visar att det varit helt stopp med mer än 3 min vid:
287 gånger från och med 2016-10-07 Kl: 15:00 till 2016-10-11 Kl: 7:51.
Attackerna fick alltså ner Flashback första gången i mer än 3 min 2016-10-07 Kl: 15:00.
Vi har väldigt mycket information över Flashback i våra loggar men jag kan dels inte visa allt av olika anledningar och dels tar det för mycket tid att gå igenom materialet.
2016-10-11 Kl 14:05 Flashback information
Flashback är sedan Kl 12:01 2016-10-11 igång med nästan full kapacitet, tyvärr. Vi återkommer när vi vet vad nergången senaste dagarna berodde på.
2016-10-10 Kl 18:00 Flashback information
Flashback har problem igen. De får väl byta lite mer hårdvara eller så var inte DDoS-attacken så liten.
2016-10-10 Flashback information
admin4:
Vi vill helt enkelt inte filtrera och kartlägga vår trafik genom externa tjänster, det är inte speciellt bra för den anonymitet vi erbjuder. Därför är all infrastruktur vår egen. Normalt klarar vi av DDoS ganska bra, oftast märks det inte, men nu hade vi också lite otur och då fick vi även nackdelarna av att ha just egen infrastruktur.
Felet berodde alltså på en enkel DDoS-attack som medförde hårdvarufel. Båda våra gissningar på vad det berodde på var rätt.
2016-10-09 Flashback information
2016-10-09 • Flashback Forum har under helgen haft problem med överbelastningsattacker och saknar för tillfället internetförbindelse.
De säger alltså att Flashback utsatts för överbelastningsattacker. Det är i och för sig trevligt att de ligger nere och där bör de ligga kvar. Men vi ser det som märkligt att de är utsatta för överbelastningsattacker då någon sådan trafik på nätet inte noterats. Nedanståend skrevs innan informationen från Flashback.
Ingen information
Felet på Flashback irriterar även luttrade användare av Flashback. De är mest irriterade över den massiva frånvaron av information om vad som händer och vad för fel det kan vara.
Onintresserade av sina besökare
Detta visar med all önskvärd tydlighet att de inte alls är intresserade av personerna bakom besökssiffrorna, de är bara och endast bara intresserad av besökssiffrorna. Orsaken till det stora intresset av besökssiffror är det faktum att Jan Axelsson tjänar mer ju fler besökare det kommer. Intäkterna ligger på 5-7 milj.kr/år för den reklam som exponeras för besökarna, fler exponeringar mer pengar.
Moderatorer sliter för inget
Moderatorerna är en stor del i de stora inkomsterna men tilldelas av Jan Axelsson 0 kr för jobbet. Dessa moderatorer kan inte ha mycket innanför pannbenet som jobbar ideellt för ett vinstdrivande företag. Det är mycket ovanligt att det sker så, det är så ovanligt att man inte kan hitta ett enda fall där man jobbar gratis utom på Flashback.
Vi lämnar information
När inte Flashback lämnar någon statusrapport får väl vi göra det:
2016-10-09 Kl 20:00 DNS-KONTROLL
Namnservrar:
ns1.flashback.org.
ns2.flashback.org.
Respons från namnservrarna:
FEL HITTAT: Namnserver som inte svarar:
udp4: 79.136.115.19
Tillåtna TCP-anslutningar:
VARNING: Det gick inte att ansluta med TCP-protokollet:
tcp4: 79.136.115.18
tcp4: 79.136.115.19
Kontrollera namnservers konfiguration och brandväggsregler.
När svar på en DNS-förfrågan överstiger 512 byte bör alla namnservrar tillåta TCP-anslutningar (port 53).
Namnservrar distribueras över flera nätverk:
VARNING: Alla namnservrar är placerade i ett C-klassnätverk:
79.136.115.0/24:
ns1.flashback.org.
ns2.flashback.org.
Namnservrarna skall köras (topologiskt och geografiskt) över Internet för att undvika risk för enstaka fel (RFC 2182).
Namnservrarna fördelade på flera ASN
VARNING: Alla namnservrar är placerade i ett autonomt system: AS8473:
ns1.flashback.org.
ns2.flashback.org.
Namnservrarna skall köras (topologiskt och geografiskt) över Internet för att undvika risk för enstaka fel (RFC 2182).
Namnservrars Version
VARNING: Namnservrarnas programversioner är:
79.136.115.18: “fbdns-1.2”
79.136.115.19: “fbdns-1.3”
Exponera programnamnens version kan vara riskabelt, då sårbarheter kan hittas. Namnservrarna kan automatiskt utnyttjas av scriptkiddies. Det är förvånansvärt att denna säkerhetslucka inte täppts till. 😀
Namnservrarnas serienummersystem
VARNING: Vi hittade olika serienummer på namnservrarna, det är OK om de ändrat sin zon nyligen.
79.136.115.18: 2016100901
79.136.115.19: 0
Med olika serienummer på namnservrarna kan visa fel i konfiguration (mellan flera master) eller andra kommunikationsfel uppstå.
SOA-uppdatering
VARNING: Uppdateringsintervall är nu 86400. Rekommenderade värden 1200 – 43200.
Uppdateringar avgör hur snabbt förändringar fortplantas från master till slav.
SOA-upprepning
VARNING: Upprepningsintervall är nu 60. Rekommenderade värden 120 – 7200.
Upprepning från SOA definierar hur ofta slav ska försöka kontakta master om anslutning till master misslyckades under uppdatering.
SOA-avslut
VARNING: Avslutsintervall är nu 2419200. Rekommenderade värden 604800 – 1.209.600.
Utgången definierar förfallotiden i sekunder efter vilket slav återigen måste validera kontakten med master om det tidigare misslyckats.
SOA-minimumTTL
VARNING: Minsta TTL-värdet är nu 300. Rekommenderade värden 3600 – 86400 (1 timme till en dag).
Minsta TTL omdefinierades i RFC 2308, definierar den tid som används av slavar att cacha negativa svar.
Placering
Namnservrarna verkar vara placerade i Segeltorp 14170, Stockholms län på Bahnhof Internet AB.
ns1.flashback.org.
ns2.flashback.org.
Vet inte Flashback
Självklart vet de om detta men undviker av någon anledning att informera. Det är inte alls säkert att det är detta som förorsakar segheten på Flashback. De problem vi nämner här ovan är inte av den karaktär att det skall sänka Flashback.