Mensajes

la redirección que te llevaba al index de la web ya está arreglada.

fue un error mío al intentar parar el ataque mirando el HTTP referer con el mod_security:

Código [Seleccionar] Expandir

SecFilterSelective HTTP_Referer|ARGS "-""nolog,redirect:http://www.elhacker.net/"

El problema es que en ciertas ocasiones estás en el foro y esta condición se cumple y por lo tanto, cuando hay muchos falsos positivos en una regla, no es una buena solución.

Más info del ataque:
http://foro.elhacker.net/index.php/topic,164082.0.html

[Explicación del ataque DDoS]

Explicación del ataque DDoS

El ataque en imágenes (Gráficos del tráfico)



Duración del ataque: Viernes 4 , sábado 5 y domingo 6 Mayo 2007.

Método del ataque

Petición GET /index.php con 2.000 zombies cada 20 minutos aproximadamente.

Simplemente un "GET", es una llamada del navegador al index del foro. Es decir, muchos zombies visitando la página principal del foro.

Impacto

¿Qué ocurre?

Tantas peticiones seguidas y de diferentes ip's al index del foro hacen que el MySQL del foro se colapse y el foro no funcione.

Solución

Primero se deshabilitó que los Visitantes (usuarios no registrados) pudieran navegar por el foro. Por eso salían 2.000-3.000 usuarios visitantes on-line en el foro.

Este método es efectivo, pero sigue consumiendo muchos recursos (hace consultas al MySQL para contar los invitados).

El acceso al foro para invitados está siempre activado (sólo se activa automáticamente en caso de ataque).

Buscando otra solución....

¿Cómo distinguir si la persona que entra al foro es usuario normal o es un zombie?

Busquemos un patrón:

- HTTP_Referer --> Nulo, entran directamente. Y un visitante normal también es posible que entre directamente (desde favoritos, etc).

- Sistema Operativo --> la mayoría de los bots usan Windows XP, pero no podemos decirle al foro que no deje entrar usuarios con Windows XP jeje

- Navegador --> los zombies usan Internet Explorer con diferentes versiones, pero de nuevo no podemos denegar el acceso a TODOS los que usen el IE.

¿Cómo lo hacemos?

javascript "alert" (ventanita que requiere confirmación por parte del usuario) que se carga al principio del foro y "verifica" si la petición es "humana" o no. Si es un bot (no humana) no sabe hacer click en aceptar y se queda a la espera (no se carga el index del foro y por lo tanto no consume recursos).



Si aceptas se guarda una cookie que verifica "tu humanidad". Si no eres bot, puedes ver el foro.

Esta ventana solo aparece una vez, la primera vez que entras al foro (a no ser que borres las cookies), aunque ayer saliera repetidamente, ya que se estaban realizando pruebas.

¿Porqué hay tantos infectados?

El método de infección es vía Messenger.

Si alguien cree que está infectado o tiene muestras del posible virus que envie la muestra a staff@elhacker.net para su posterior análisis. Gracias.

Estado actual

Solucionado con JS.

¿Hasta cuándo?

Hasta que el atacante se canse.

¿Quién ha sido?

No se sabe, ¿hay miedo a decirlo por posibles represalias? xD

Lee más sobre XSS, verás como se puede aprovechar un fallo de este tipo.

Primero entiende cómo se hace, cómo funciona y luego haz las pruebas.

El escaner Acunetix busca muchas variantes de XSS.

Ya está disponible la actualización para PS3 que nos permitirá hacer funcionar a los juegos de PSOne que se descarguen desde la PS Store, cosa que por ahora sólo ocurre en tierras niponas, pero que llegará en breve a Europa y Estados Unidos.Se habilitan las funciones de vibración para los accesorios de las anteriores consolas. Así que a los que les apetezca probar cualquier título que tenga la opción de vibración, lo podrán hacer utilizando estos accesorios de las anteriores versiones. Además se amplia la retro-compatibilidad con juegos de PS2.

Fuente:
http://www.elotrolado.net/vernoticia.php?idnoticia=13132

tranquilo que no es tu conexión, es problema de la línea que tiene este servidor que está en USA, que a ratos va bien y a ratos se corta, con lo que no funciona como debería.

Ya estamos hablando con el Datacenter para solucionarlo.

La DB aunqe tenga 600.000 mensajes todavía tiene cuerda para rato 

[Navegar con Lynx]

para linux hay un montón de navegadores vía consola. A malas puedes usar un emulador tipo cygwin

wget, curl, lynx, w3m, framebuffer, links2

Navegar con Lynx
http://foro.elhacker.net/index.php/topic,48420.0.html

se va a mejorar el buscador del foro porque se está creando un gran index para que funcione mejor y más rápido.

El problema es que crear el index lleva 2 o 3 semanas, en máximo 2 semanas ya lo tendré acabado (lleva un 17% completado).

Aquí la explicación en inglés:

A search index can greatly improve the performance of searches on your forum. Especially when the number of messages on a forum grows bigger, searching without an index can take a long time and increase the pressure on your database. If your forum is bigger than 50.000 messages, you might want to consider creating a search index to assure peak performance of your forum.

Note that a search index can take up quite some space. A fulltext index is a built-in index of MySQL. It's relatively compact (approximately the same size as the message table), but a lot of words aren't indexed and it can, in some search queries, turn out to be very slow. The custom index is often bigger (depending on your configuration it can be up to 3 times the size of the messages table) but it's performance is better than fulltext and relatively stable.

cuando se borra la papelera, si tenías mensajes ahí se descuentan, pero dudo que tuvieras 200 mensajes en la papelera, ya estarías baneado xD

Azielito estabas inspirado, parecen cucarachas o ácaros que recorren mi habitación cuando hay polvo

Creo que fumastes algo raro para dibujar eso 

Código [Seleccionar] Expandir

:xD

Código [Seleccionar] Expandir

:¬¬