Zpráva o zjištěném podezřelém provozu na webu cbdx.czZpráva o zjištěném podezřelém provozu na webu cbdx.cz
Sledované období: 1. 1. 2025 – 27. 7. 2025
Na základě podnětu od Fousáče, který upozornil na možnou existenci externí aplikace využívající naši databázi volaček, jsem prověřil zatížení a aktivitu webu cbdx.cz za tento rok (2025).
Byl zaznamenán podezřelý provoz z IP adres 62.109.149.xxx (hostname: able-k8s-worker-xx.cust.webglobe.com), ze kterých bylo provedeno:
-
více jak 115 000 požadavků (hitů) při méně jak 250 návštěvách,
-
stáhla celkem téměř 48 GB dat
- z celého provozu webu je to více jak 70%
-
což výrazně překračuje běžný provoz (např. cca 300 hitů při 50 návštěvách týdně běžného uživatele).
Podezřelý provoz směřoval převážně na stránku:
-
databáze volaček
-
root webu
Z charakteru přístupů vyplývá, že se pravděpodobně jedná o automatizovaný sběr dat (např. skript nebo crawler), který intenzivně čte z webu a využívá naši databázi.
Z těchto důvodů byla IP adresa zablokována v souboru .htaccess, a to pomocí pravidla, které vrací odpověď HTTP 403 Forbidden.
Edit 29.7.2025: Po komunikaci s Honzou Bolevec, autorem aplikace MANTAK jsme se dobrali k tomu, že Honza, jak sám uvedl, spustil svou databázi kolem 1.7.2025. Podezření na nadměrné vytěžování jeho aplikací tedy padá a já Honzovi děkuji za jeho rychlé jednání a chuť věc řešit.
Vzhledem k tomu, že se pravděpodobně jedná o napojení aplikace LOGBOOK – MANTÁK, nechť nás její autor kontaktuje na info(zavináč)cbdx.cz k domluvení pravidel přístupu k databázi volaček, kterou zpracovává Tomáš mobil Roudnice. Za současných podmínek takový nárust provozu však nelze akceptovat.
Soptík Hřensko CL-95
Komentáře
Zasílate odpověď ke stávajícímu příspěvku (zrušit).
Nemáte oprávnění přidávat příspěvky.
- co nejdříve zkontroloval existenci záloh databáze i celého webu, ideálně z doby před počátkem problému až do současnosti (denní/týdenní zálohy), to lze ověřit zpravidla u hostera anebo u správce webového systému
- následně bych zakázal přístup z nejaktivnějších IP adres a sledoval, zda se provoz přesune jinam (již provedeno)
- přidat do robots.txt pravidlo, aby roboti nezpracovávali podstránku s databází volaček (ale zlí roboti mohou pravidlo ignorovat)
- zobrazení podstránky s databází volaček podmínil přihlášením (to spolehlivě zamezí neověřenému přístupu, ale i tak mohou přístupy na zabezpečenou stránku server přetěžovat, pokud jich bude mnoho, také to neřeší domovskou stránku)
- v aplikačním logu se snažil zjistit, jak robot postupuje a zda o jeho identitě nenapoví něco user-agent identifikátor (ze způsobu průchodu by šlo odvodit, zda je o cílené těžení dat, hledání zranitelnosti, hledání možnosti průniku do sql databáze apod.)
- zjistění z aplikačního logu porovnal se seznamem známých zranitelností webového systému (zřejmě SunLight CMS) a zabýval se možností upgrade na poslední verzi
Je dost možné, že nejde o cílené těžení dat, ale že se cbdx.cz dostal do hledáčku skriptů náhodou (skripty například automatizovaně hledají zranitelnosti a možnosti k hacknutí webu a jeho použití pro další účely, web sám nemusí být cíl, ale pouhý prostředek). Zde největší riziko spočívá v tom, že bude web pozměněný a nebude snadné jej dostat do původní podoby.
Odhalili jsme, že něco přetěžuje a sosá náš web.
Na výzvu reagoval nejen autor Mantáka, ale i Apache.
Vše je si teď v klidu Soptík s autory dořeší a není třeba, aby k tomu zaujímala stanovisko široká veřejnost.
Za klub mohu jen poznamenat, že určitě není naším zájmem těmto šikovným lidem házet klacky pod nohy.
Naopak máme zájem na spolupráci s nimi.
My máme "known-hown" a oni mají vědomosti.
Pokud najdeme cestu jak to dát dohromady, tak to bude ku prospěchu celé CB veřejnosti.
https://cbdx.cz/denikcl6/add/denikcl6.tom.zip
https://cbdx.cz/denikcl6/add/denikcl6.cl6.zip
což není tajná informace, ale součást dokumentace zde
https://cbdx.cz/clanky/vsechny/denik-cl6
Pro začátek by stačilo doplnit podmínky, za kterých lze tyto soubory použít mimo program CL6. Může se prosím k tomu klub vyjádřit? Podle mě by to efektivně řešilo i celou kauzu, protože by "pachatel" mohl tato offline data použít aniž by zatěžoval web cbdx.cz.
Osobně se přimlouvám za takovou licenci, která bude podporovat vznik projektů nad databází postavených, protože nám přeci jde o rozvoj. Současně může být ale použití omezené například pro členy nebo na základě schválení a evidence takových využití, nebo třeba podmíněno symbolickým poplatkem, nevýdělečným použitím apod.
Uvádím to proto, že jsem sám uvažuji o tom si napsat vlastní jednoduchou offline logbook aplikaci a hledal jsem vhodný zdroj volaček a QTH. Zdá se mi, že tato problematika není v ČR komunitě dobře vyřešena a to pak vede ke zbytečným nedorozuměním.
Ohledně Aplikace LOGBOOK – MANTÁK jsem funkci našeptávače volaček poptával já a doporučoval
domluvit se s cbdx + s apachovou databází volaček, viz příspěvek diskuzi z 7. 6. 2025. Tamtéž jsem se ptal, jaký je použit zdroj QTH. Myslím, že by měl autor uvést zdroj dat jak pro QTH tak pro volačky a do budoucna lépe komunikovat. To jsem dal najevo rovněž v diskuzi ve svém dnešním přípěvku.
Pro Rumcajse i Alpineta – omlouvám se, že jsem nereagoval hned, ale opravdu nesedím u počítače 24/7. Odpověď od autora aplikace Manták skutečně dorazila už včera večer na uvedený e-mail, ale z výše uvedeného důvodu se k reakci dostávám podle toho, jak mi to čas dovolí – děláme tohle všechno ve svém volném čase.
Cílem nebylo nikoho bezdůvodně obvinit, ale upozornit na možný zdroj problému a dosáhnout kontaktu s autorem. Pokud má někdo informace o jiném konkrétním směru, odkud k čerpání dat dochází, sem s nimi – nejde o hon na čarodějnice, ale o snahu najít technické řešení. Nikoho netaháme ke zdi, chceme jen předejít dalším komplikacím s nadměrným trafficem na webu.
Díky za pochopení a věcnou diskusi.
Je to výzva na tvůrce aplikace, která by mohla být potencionálním zdrojem problémů, aby nás kontaktoval.
Těch pravděpodobných aplikací není mnoho (Apache a Manták).
Je to výzva k diskusi, ne obvinění.
Nevím jaké vy máte zkušenosti, ale dohledat majitele IP, dohledat na něho kontakt, kontaktovat ho, dočkat se odpovědi atd. je myslím v dnešní době nereálné.
Naopak , v dnešní době vše snadno dohledatelné , 2min na Google a mam volacku autora, FB profil Logbooku …😉
Možná vhodněji volit text k diskuzi …
Ano, v tomto se neshodneme, ale znovu uvádím, že to dělám/e ve svém volném čase a alespoň já tedy nechci svůj volný čas plýtvat na dohledání někoho, o kom ani nevím, zda je to zdroj našeho potenciálního problému a proto jsem volil formu výzvy v článku. Nikoho neobviňuju já ani nikdo z klubu. Prozatím se nám ozvali dva autoři aplikací, které využívají veřejně dostupný seznam volaček a míst. Ale jen jeden z nich to veřejně ve své aplikaci přiznává. To, že jsem si dovolil v článku napsat, že jde pravděpodobně o Mantáka bylo zejména z důvodu, že tato aplikace zcela zjevně využívá databázi cbdx.cz a přesto jsem já ani nikdo z rady o tom nevěděl. Také platí, že by to nikdo neřešil, pokud by dotazy do této DB netvořili víc jak 70% provozu webu ze dvou konkrétních IP ze stejného subnetu a jednoho poskytovatele.
Takže znovu zopakuji to, co napsal Fousáč a plně se s tím ztotožňuji - je to výzva k diskusi, ne obvinění.
Podle vyjádření autora app Manták to na 99,9% vypadá, že on není zdrojem výše uvedeného problému.
Dovolím si ho ale zneužít pro další argumentaci...
OK, tomu rozumím... a co dál?
Volačku Honza Mantov nikdo neznáme. Až dodatečně, po publikaci článku, se dozvídám, že jeho dřívější volačka je nám známa.
Článek v AMA rádio ukazuje, že autor je nejen CBčkář, ale i radioamatér a PMRkař.
Fejsbůček uvádí jisté jméno a příjmení. Fejsbůček nemám a doufám ani mít nebudu, takže končím.
Strejda Gůgl mi na toto jméno, příjmení a Mantov vyplivl osobu, která s autorem app nemá nic společného.
Takže co dál?
Stále nemám ani mail a ani telefon, takže ho nemohu kontaktovat.
Předávám info našemu technikovi...
To je celé.
Vidíš Fousáči, jak jsi byl šikovný i Honzovo příjmení jsi dohledal. Pak už jen stačilo tuto informaci předat někomu z organizačního teamu klubu, který má FB , nebo se dotázat na telegramu a mohli jste předejít této výjimečné "situaci", třikrát měř, jednou řež ... a už se prosím na nic nevymlouvejte. Požádám tě o úpravu článku, stále tam figuruje logbook - manták.
Když můžu, rád poradím.
Soptíku, co zkusit obrácený postup , nejprve zjistit viníka a pak ho vyhlásit . Neviděl jsem ani jeden pokus , třeba v telegramové skupině CB for All.