Un serveur qui ne convient plus, et hop, en deux coups de cuillère à pot, on est sur un autre.

J’espère que ça limitera les power trips de certains admins.

  • Sphks@lemmy.dbzer0.com
    link
    fedilink
    arrow-up
    12
    ·
    edit-2
    1 year ago

    L’affaire Lemmy.world est quand même inquiétante. Les attaquants connaissent bien Lemmy ; leurs attaques passent à travers les services anti-DDOS car ils ciblent des actions qui déclenchent des requêtes SQL coûteuses.

    Pour les non techos : la majorité des actions qu’on fait sur un site web déclenchent une requête vers la base de données. Pour récupérer de l’info et l’afficher. Pour ajouter un commentaire. Pour ajouter un fil de discussion. Etc.
    Lorsqu’un site est bien programmé, il ne devrait y avoir que des petites requêtes non complexes qui s’appuient sur l’indexation des tables. Lorsqu’un site est mal programmé, il existe des requêtes complexes, par exemple parce qu’elles n’ont pas de limite dans la quantité de résultat retourné, ou bien parce qu’elles font des jointures complexes sans index.
    Les attaquants de Lemmy.world exploitent ces requêtes, pendant que les admins de Lemmy.world tentent de les combler au fur et à mesure. Les attaquants connaissent bien le code source de Lemmy et ce type de requêtes semble être nombreuses, ce qui est mauvais signe.

    Les attaquants visent spécifiquement Lemmy.world pour tuer cette instance. Il est possible que ce soit une instance concurrente qui veut récupérer de la puissance (comptes, communautés, ne pas avoir de gros concurrent défédéré). Je ne souhaite pas que Lemmy.world jette l’éponge. Ils sont motivés pour se battre, ont des fonds, et ils s’y connaissent un minimum techniquement. S’ils ne le font pas, qui le fera ? J’espère qu’ils vont se sortir de leurs déboires et que ça va faire progresser la fiabilité du code Lemmy. Sinon ça voudrait dire que n’importe qui pourrait tuer d’autres instances. Si jlai.lu devient le bastion francophone, j’imagine bien un jour un hacker anti français s’attaquer à jlai.lu pour foutre la merde.

    • dhawos@jlai.lu
      link
      fedilink
      Français
      arrow-up
      4
      ·
      1 year ago

      Ça va clairement être l’épreuve du feu pour Lemmy et lemmy.world. Espérons qu’ils arrivent a traquer les requêtes incriminées mais il y a l’aornd’en avoir pas mal

    • Camus (il, lui)@jlai.luOP
      link
      fedilink
      arrow-up
      2
      ·
      1 year ago

      Exactement. Leur post d’hier sur [email protected] est intéressant pour ceux que ça intéresse, mais en résumé très clairement LW essuie les plâtres pour tout le monde.

      Lemmy n’a apparemment jamais vraiment été pentesté, c’est l’occasion

      • anansi@jlai.luM
        link
        fedilink
        arrow-up
        3
        ·
        1 year ago

        Vu les discussions que j’ai avec les créateurs de lemmy sur la gestion des sessions et de l’authentification, j’ai quand même un peu des sueurs quant à leur niveau de compréhension des enjeux de sécurité. J’ai pas beaucoup de doute sur le fait que ce soit une passoire pour le moment, et je pense qu’on va tous apprendre dans la douleur cat sad

      • Camus (il, lui)@jlai.luOP
        link
        fedilink
        arrow-up
        5
        arrow-down
        1
        ·
        1 year ago

        Oui j’ai pas trop compris non plus où ils voulaient en venir avec ça, n’importe qui peut lancer une instance et trouver les requêtes les plus consommatrices.

        Un bête exemple, mais comme la fédération est opt-in, j’imagine qu’il suffit de créer une nouvelle instance, qui sera fédérée avec LW, puis spammer un paquet de commentaires/médias/whatever dans une des communautés LW.

        Et il doit y avoir moyen de raffiner ça avec plusieurs instances qui se répondent, utiliser une instance innocente comme proxy, etc.