Blogi

  • Case: Ekohelsinki.fi vs meta-webindexer 1.1 gone evil

    Tarkastaessani aamulla sähköpostiani koin hämmästystä, sain automaattisen halytys viestin. Ilmoitus kertoi että 70% käytettävissä olevasta siirtokaistasta oli käytetty. Oltiin vasta kuukauden alussa, päivämäärä oli 7.4. Liikenteen lokitietoja tarkemmin tutkimalla selvisi että metan sivustojen AI indeksointi botti ( meta-webindexer ) pommitti pyynnöillä Ekohelsinki.fi sivustoa sivulatauksilla 3 – 4 kertaa sekunnissa. Tämä aiheutti yli 20gigan edestä liikennettä päivää kohden. Tämä vastaa liikennemäärältään DDOS- palvelunesto hyökkäystä. Facebookin botti oli sekaisin ja ilmeisesti joutunut jonkinnäköiseen loputtomaan looppiin. Sivuston robots.txt ohjeitukset FB:n botti oli jättänyt kokonaan huomioimatta.

    Tilannetta otettiin paremmin hallintaan määrittämällä uusia verkkoliikenteen direktiivejä. Botin looppiin eksymiin kyselyihin määriteltiin vastattavaksi 403 statuskoodilla. Suomeksi voisi kuvailla että, pyyntöä evätty, pyyntöä ei käsitellä. Tämän seurauksena liikennekuorma putoaa merkittävästi kun sivustoa ei ladata enää useita kertoja sekunnissa. Verkkoliikenne kuorman putoaminen alkoi näkyä välittömästi kun liikenne direktiivi määriteltiin voimaan.

  • Case: Ekohelsinki.fi – Spammililiikenteen ja DDOS yrityksen torjunta

    Ekolsinki.fi hostin logeista paljastui Marraskuun loppupuolella 2025 että, verkkokaupan sivustolle alkoi tulla runsaasti outoa spammiliikennettä. Tilannettta alettiin tutkimaan. Verkkoliikennettä tuli aluksi muutaman sadan megan verran päivässä. Päivittäin kasvavassa määrin, aina lähes kahdeksaan gigaan päivässä. Tämä söi nopeasti ekohelsingin web hotelliin sisältyvää kuukausittaista liikenne kapasiteettia. Tilanteessa ihmetytti mistä tämä johtuu. Liikenne näytti tulevan vanhentuneista järjestelmistä ja selaimista. Pintapuoleisesti vaikutti taustalla olevan haitallinen botti tai spideri. Liikenne tuli valtaosin idän suunnalta, kiinasta, aasian maista intiasta, pakistanista ja venäjältä. Toki myös laajemmin muualta maailmalta vanhentuneista koneista ja järjestelmistä. Bottiliikennettä aloitettiin aluksi torjumaan luomalla muutamia uusia direktiivejä verkkoliikenteelle, sekä blokkaamalla liikennettä tietyistä maista kuten kiina, venäjä ja edellämainituista aasian maista.

    Myöhemmin, tarkemmin ja laajemmin lokitietoja tutkittaessa paljastui myös hakkerointi ja pääsyn yrityksiä pariin tiettyyn tiedostoon, joiden ei pitäisi olla julkisessa hakemistossa. Tiedostot olivat tulleet tai jääneet aikaisemman järjestelmä päivityksen johdosta. Toinen tiedostoista oli pikemminkin järjestelmän ominaisuus, tai tämän sivuvaikutus. Nämä olivat todennäköisesti juurisyy bottiverkon hyökkäykselle ja spammiliikenteelle. Web-hostin omat liikenteen direktiivit ja järjestelmät bolkkasitvat tehokkaasti hakkerointi yritykset, mutta ei lopettanut hakkerointi yrityksiä tai bottiliikennettä.

    Tilanne otettiin haltuun paremmin. Julkiseen hakemistoon kuulumattomat tiedostot poistettiin ja piilotettiin julkisten hakemistojen ulottumattomiin. Lisäksi tehtiin muutamia direktiivi määrittelyjä liikenteellä jotta sama tilanne ei toistuisi vahingossa uusiksi. Bottiliikentee torjuttiin vastaamalla boteille että tiedostoja tai kysyttyä resurssia ei ole olemassa. Verkkokauppa ja verkkokaupan järjestelmä pysyi koko prosessin ajan toimintakykyisenä. Myötävaikutusta oli tarpeeksi hyvällä ja kattavalla web-hotelli paketilla.