Buenas ^^

Iniciado por Gaucha, 21 Agosto 2011, 00:02 AM

0 Miembros y 1 Visitante están viendo este tema.

Gaucha

Bueno ante todo, pido disculpas, si la comunidad no brinda el soporte que estoy solicitando yo, o no se dedican a esto, o cree el post en cualquier lado.
No se nada de hacks, por eso me registre aqui para ver si me podian dar una mano ^^

Resulta que yo tengo un sitio web, donde alojo un foro de bvulletin (trucho).

A mi foro lo estan atacando una persona cada tanto con ddos. El mismo logra los ataques porque dentro de un cliente de un juego, inyecta o no se como es la cosa, y por eso tiene muchos bot o como se llame, para hacer ataques grandes ddos.
(Perdon si digo cualquier cosa, pero posta, no se nada de estas cosas xD)

Mi problema es que cada ves que me ataca, mi empresa de hosting me da de baja mi sitio por unos dias, porque satura toda la red.

Hace unos dias hable con la persona que me ataca, porque la conozco por una relación de años de internet, y me dijo que esta ves me habia atacado porque habia recibido un ataque a su web desde la ip de mi dominio.
Me dijo que si yo realmente no habia programado el ataque, que podia ser que alguien me haya inyectado un shell en mi foro y lo utilizaron para atacarlo a el.

Esto puede ser que sea asi o me esta diciendo cualquier mentira ?

Hay manera de que yo detecte si alguien infecto mi foro ?

Muchas gracias de ante mano y portense bien, que gente como yo sufrimos las consecuencias xD  :laugh:

someRandomCode

Mira, pueden ser muchas cosas.
Voy a tratar de ser lo mas paisano posible para explicarte lo que mas pueda.
Revisar tu sistema no es facil, sobre todo tendrias que conocer detalles sobre tu plan de hosting.
Si tu paquete de hosting es dedicado, la cosa se complica bastante.
Porque? Porque puede ser que tengas un rootkit instalado, como puede ser solo una falla de vBulletin que se preste para eso, como puede ser que tengas una shell colada en el sisitema.

Encontrar la shell, se complica a veces.
Algunas shell se guardan como archivos, y otras se guardan en alguna tabla de la DB, ya sea de vBulletin, o no, y luego se invocan con un pedacito de codigo que han injectado por algun lado.

Primero tengo que serte honesto, toda empresa te tendria que dar un margen de proteccion ante ataques de denegacion de servicio (menos dattatec, tuve malas exp ahi).

Otra cosa, si tu hosting es un paquete compartido (no es un VPS, ni un dedicado) la cosa se complica mucho mas, porque puede ser que hayan comprometido a cualquier portal/sitio que este bajo la misma IP de tu sitio, y esten lanzando el ataque desde ahi.

Tendrias que comentarnos un poco mas..

Igual eso amerita para que se vea por alguien que tenga conocimientos un poco profundos por las dudas nomas..

Saludos!

Gaucha

Chas gracias por tu respuesta ^^

Alquilo un host compartido en nuthost.com

Es un plan comun, donde en el mismo server, hay demas personas que hostean su web.

Si realmente el ataque salio de mi ip, me decis que no tengo manera de detectar si tengo algo infectado ?

Osea, por medio d vbulletin que uso como foro, alguien puede haber subido algun tipo de algo para que genere el ataque ?

someRandomCode

No te digo que sea imposible, te digo que vale para que lo mire alguien con un ojo bien agudo che..
La idea seria que primero que nada, revises de los archivos que hay en el host, si todos los archivos son los que vos subiste y como vos los subiste (o modificaste).
Eso es para eganchar si hay un pedazo de codigo malicioso en el portal, o alguna shell colada por ahi.
Si esta metido en una tabla, se complica, tendrias que buscarte alguna utilidad de vBulletin que lo limpie, porque necesitas conocimientos del funcionamiento.
Si es un rootkit, sonaste.. Porque siendo uno compartido sin acceso mas que a (supongo) PHP y/o ASP y MySQL ademas de un panelcito chiquito tipo ferozzo, tendrias que levantar una queja y que el hosting lo mire.

Otra cosa, podrias asumir que tu "atacante" te esta mintiendo, y te quiere joder la vida vuelta y media. Ojo que puede ser tambien :P

En cuanto a revisar los archivos, en un futuro te recomiendo que tengas alguna politica.

Cuando estaba undergroundhakz, tenian una aplicacion con los hashes MD5 de cada archivo y su posicion.
Si surgia alguna amenaza, se revisaba lo que habia contra eso. Si algun archivo estaba cambiado, saltaba al toque.
Si pasaba algo, ya sabian donde habia quedado lo que les habian injectado.
Eso no es dificl de hacer y hasta lo pdoes hacer de una en un script en php en el mismo host, y guardarte los resultados.

Lo mismo que tener una politica de respaldo de datos para la DB sobre todo..

Gaucha

Si pense en eso de que poray me esta mintiendo y solo me volvio a atacar porque se le canto -.-

En cuanto a a info, te agradezco tus lineas y la onda, que igualmente, como me la pintaste, y con mis conocimientos (-10) jamas voy a encontrar si tengo algo o no xD

Vere que puedo hacer por el lado del host, porque ellos deverian de hacer cargo si sufro de un ataque no ? osea, digamos que tendrian que tener alguna defensa para ddos, porque si no, en ves de atacarme a mi ataca a todos sus clientes y se funde la empresa por decirlo asi :/

Por otro lado, aca dan ayuda para crear alguna bot o algo asi por el estilo ? porque ni me cabe la verdad, me parece de idiota realmente ponerse a molestar a la gente, pero este pibe me saturo ya :(

Alguna guia super basica para crear una bot, alguna forma facil, algo como que yo le mande a mis amigos algun archivo y genere un ataque ddos a la ip que coloque ?

someRandomCode

Mira, no se, roza en el tema del robo y manipulacion.
Si lo que queres es una botnet, tendrias que entender que son PCs que estan bajo tu control porque fueron infectadas con algo.

Si alguien mas colabora diciendo si se puede comentar aca, te doy algunas lineas..

Intento ser lo mas simple posible para explicar, si te parece que le subo un cambio pegame el chiflido nomas.

Gaucha

Claro algo asi, pero para dárselos a algunos amigos, y luego ver que onda.

Mandame un mp de ultima, o te paso mi msn ^^

someRandomCode

Ok, pero quiero dejar una cosa mas asentada aca:
Un DDoS efectivo, son mas que "unos amigos" (asumiendo que por unos amigos, digas, no se, 10 o 20 como maximo).
Un DDoS efectivo, y letal, tira un servidor en dos patadas porque tiene de cientas a miles de maquinas infectadas bajo su control.
Si realmente te interesa saber al respecto, mandame un PM.

VanX

usas host gratuito o de pago
dominio?


Gaucha

Pago un servicio en nuthost.com

Mi dominio ahora esta off porque lo bajaron desde el host hasta que secen los ataques asi no perjudica a los demas que compartimos la misma pc.

Es pago el hosting ^^