Ayuda, botnet masiva haciendo un SAMP cookie flood.

Iniciado por Graber, 14 Mayo 2017, 06:25 AM

0 Miembros y 2 Visitantes están viendo este tema.

Graber

Un amigo me recomendó postear aca por que quiza me puedan ayudar, es sobre servidores SAMP, muevan el tema, borrenlo si quieren, todo lo que busco es ayuda y si no bueno, vine al lugar equivocado jaja.

Bueno, hoy de tarde me di cuenta que me han violado el query del server sin embargo el servidor estaba funcionando normalmente, al rato voy a ver los logs y me di cuenta que habia subido de tamaño exponencialmente. En una semana usual con 40 playuers llegaba a 50 megas, y hoy de la nada dio el saltó a 600 megas, lo peor fue que deje pasar 10 minutos y aumentó 100 megas mas. Estoy hablando de hace un par de horas que sucedió esto.

Logre descargar el log, y me di cuenta que estaban floodeando conexiones mediante una botnet masiva, floodeaban las cookies, tuve la suerte de darme cuenta a tiempo, sino se hubiese llenado el disco duro, vaya lio hubiera sido ahi jaja.

Como dije estaban floodeando las cookies, es una botnet muy bien estructurada al parecer, el log pesa 600 megas, aca posteare un fragmento que pegue en pastebin.

https://pastebin.com/d3hcnnxS

El log completo (le intente recortar partes irrelevantes, se supone que está donde recien empieza el ataque):
http://vps128854.vps.ovh.ca/loga.txt

Si lo descargan porfavor haganlo con el fín de ayudarme, igual no hay mucha informacion sensible ahi.

Me sorprende igual que un server de 3,50 euros de OVH este soportando esto jaja. Alguna solucion? Es una botnet demasiado grande al parecer, ni idea como hare contra algo asi jaja.

engel lex

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Graber

#2
Cita de: engel lex en 14 Mayo 2017, 06:29 AM
que sistema operativo usa el servidor?
OVH Release 3, que hasta donde se es basicamente un CentOS 6.9 con el set LAMP (PHP, Apache, phpmyadmin y MySQL) y Webmin.

Acabo de reiniciar hace 10 minutos y incluso sin el server iniciarse por completo viene el lammer infeliz:

vps128854.vps.ovh.ca/server_log.txt

Ese log es de como 10 minutos antes de publicar esto (La hora es GMT -4 creo)

engel lex

te recomiendo implementes while list, es decir que se registren y solo permitas la conexión a las ip registradas

realmente desconozco el protocolo que usa ese programa pero si das un poco más de info te podría ayudar a configurar las iptables
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Graber

Cita de: engel lex en 14 Mayo 2017, 07:03 AM
te recomiendo implementes while list, es decir que se registren y solo permitas la conexión a las ip registradas

realmente desconozco el protocolo que usa ese programa pero si das un poco más de info te podría ayudar a configurar las iptables
Bueno veras te explico, es un servidor de juego San Andreas Multiplayer, la gente se supone que se registra dentro del juego como en todo largo ya que un registro web ahuyentaria al usuario. tomalo como un server cs pirata solo que aca no se puede distinguir entre pirata y original jaja, entonces no creo que una whitelist sea la solucion

Es UDP el protocolo.

engel lex

busca si hay mods anntiddos para el server... si la conexión no es por ip directa puedes intentar con cloudflare que es gratuito
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Graber

Cita de: engel lex en 14 Mayo 2017, 07:21 AM
busca si hay mods anntiddos para el server... si la conexión no es por ip directa puedes intentar con cloudflare que es gratuito
si se me ocurrio cloudflare pero no hay manera de pasar samp por ahi, igual ya estoy buscando ayuda en los foros del samp pero un amigo me recomendo postear aca tambien y bueno jaja