Caída del foro?

[el-brujo]

no se va a banear ni a EFEX, ni a nadie. Será muy triste banear a un usuario del foro por aportar un vídeo, eso no es suficiente prueba, me da igual de dónde lo haya sacado o dónde lo haya visto, o si se lo ha pasado alguien. No tiene que dar ningún tipo de explicación.

Sinceramente me da igual que ha sido el o haya sido otra pesrona, que entre al foro no no entre, que sea miembro no no, para mi es totalmente irrelevante.

Tendría que estar muy seguro para banearlo del foro y aún así, ¿qué sentido tendría? si quiere entrar puede hacerlo.

Si la persona que ataca prefiere seguir en el anonimato, adelante, por mi no hay problema. Sea quién sea sólo le quiero decir que no lo conseguirá tirar por más de unos minutos máximo. Da igual el número de infectados que haya, si son servidores o usuarios normales si son de Venezuela, de Tailandia, de China o de España, si tienen el User Agent aleatorio con Google Chrome, si hacen peticiones GET o POST, cualquier ataque se puede filtrar o mitigar por grande que sea con un buen hardware y una buena red.

Ahora mismo el ataque sigue en marcha y hay unas 2.000 conexiones en el Apache (cuando lo normal son 150-200 aprox) pero el foro sigue funcionando. Si quiere enviar más peticiones puede hacerlo, el servidor ha llegado a manejar 9.000 conexiones y todavía le sobra memoria ram, procesador ni la red a llegado a su tope. Eso si, que me avise con tiempo para poder aumentar el número de procesos xD

[Eleкtro]

Hola de nuevo, traigo un poco de info, no se si ustedes ya habrán investigado esto pero me gustaría ayudar en lo que pudiese...

¡Analizemos el video!.

1)
He descargado el video de youtube, por si el tipo se acojona y decidiese eliminarlo, aquí lo tienen subido a mi cuenta:

[youtube=640,360]https://www.youtube.com/watch?v=M2HCMeJrmRI[/youtube]

2)
En el minuto 0:48 del video aparecen las urls a las que se refirió el compañero WHK en el historial de navegación, son estas:



3)
En el minuto 2:38 del video aparecen más urls:



4)
Fijaros en la última url, la del servicio de hospedaje de imágenes, Imgur:

http://i.imgur.com/ypHOsB2.png

Sin una mayor profundización (hablar con imgur) no podemos determinar si la imagen es del atacante de elhacker.net, o de otra persona, pero la imagen a la que hace referencia esa url es la siguiente (la he subido yo mismo a una cuenta, por si el tipo borra la original):



5)
Esa persona utiliza Windows 7, y aparentemente está utilizando una máquian virtual (ej: VirtualBox) ya que no ha echo ninguna modificación a la barra de tareas de una post-instalación de Windows 7:


6)
El día en el que se subió hizo la imagen es el mismo dia en el que se subió el video del supuesto "AK-47":


Esto nos indica que quizás haya sido otra "obra" del mismo personaje que está atacando elhacker.net.

y examinando la hora local de su PC, muy posiblemente este personaje viva en España.

7)
Fijaros en la url que aparece en el título del navegador de la imagen de Imgur:

http://payasako.esy.es/

8)
¿Y que nos aparece al entrar en esa url?, lo siguiente:



9)
El nombre del team usado en http://payasako.esy.es/ es: PskSecurity

Los pseudónimos usados en http://payasako.esy.es/ son:

Infiernako
AdJ
DarkNess
REMIIX
AR3S
Tiburon
InDem0N

10)
La pregunta es: ¿Habrá algun usuario registrado con alguno de esos psudónimo en el foro.elhacker.net, o en otras webs amigas?

Yo lo único que he podido encontrar como humilde usuario que soy, es un tal AR3SW0RMED, no parece tener relación por su niactividad en el foro, pero ahi lo dejo caer:

-> perfil de AR3SW0RMED

-> VIDEO ATAQUE NEMESIS CON AR3S

11)
Otra pregunta que se me viene a la mente es, ¿sabrá el admin de la página http://payasako.esy.es/ quien le hackeó la web?, ¿tendrá relación con el atacante de elhacker.net?.

Saludos!

[Eleкtro]

12)
La otra url que aparece en la imagen de imgur, es un chat, este:

http://xat.com/habbolibre

[daryo]

ak-47 en el chat de la imagen xD
http://xat.com/HabboLibre?p=0
y cuando doy click a su nick sale  BLACKBERRYM5 (359887551)
http://xat.com/HabboLibre?p=0

si necesitan las capturas de pantalla las paso pero no creo que haga falta en todo caso xD

[Eleкtro]

13)

Posiblemente el pseudónimo "AK-47" sea el mismo nick que usa en el chat de habboolibre:



(snuggypook soy yo)




(calamar soy yo)

Nota: creo que en el chat hay más de un enterado sobre el tema este de elhacker.net, y quizás mientan, no hacer mucho caso de lo que pone en la imagen de arriba...

EDITO: Conozco un usuario de Murcia fustigado  por elhacker.net, @Randomize, pero no creo que haya sido él, ¿verdad?.

EDITO2: Creo que estaría bien examinar cuales de los usuarios que han visitado este post tienen puesto que son de murcia/málaga en su perfil, quizás eso ayude a cerrar el cerco.

[daryo]

Posiblemente el pseudónimo "AK-47" sea el mismo nick que usa en el chat de habboolibre:

si de hecho
AK-47    BLACKBERRYM5 (359887551)    Usuario VIP de HabboLibre
http://habbolibre.com.mx/tabla/

estaba cuando entre al chat

[simorg]

El Nick Infiernakoaparece aquí:

http://underc0de.org/foro/index.php?action=profile;u=36625


Saludos.

[el-brujo]

https://www.youtube.com/watch?v=ftf3CoZFF4k

El usuario ha suprimido este vídeo.
Disculpa las molestias.

Ha borrado el vídeo xD demasiado tarde, ya hay varias copias del vídeo y se pueden ver más cosas interesantes del vídeo, WHK ha sacado la ip dónde se conecta al escritorio remoto

Copia del Video:
[youtube=640,360]https://www.youtube.com/watch?v=2Xv9dtnWTUM[/youtube]

[engel lex]

Seamos sinceros, si alguien piensa que puede hacer un ataque a un foro de informatica y no esperar forencia está mal, hay que pensar poco para no creerlo... y lo que puede salir caro es una denuncia por botnet D:

[daryo]

y no esperar forencia está mal

lo que pasa cuando tienen ganas de fama y llamar la atencio

[offtopic]investigando me encontre con el nombre de elektro xD[/offtopic]