Test Foro de elhacker.net SMF 2.1

No se podía acceder al foro en los últimos minutos, fallo de disponibilidad o caída?

O ataque... Todo es posible.
Pero mas que unos minutos yo he estado estado sin poder entrar unas 2 horas.

sí, el foro ha estado caído de 19:30 a 21:30 aproximadamante.

Se quitaron las ips baneadas y por lo visto el atacante sigue erre que erre.

En fín, ya se cansará. Volvemos a banear las ip's atacantes esta vez durante más tiempo  :rolleyes:

Hay que ver lo aburrida que está la gente... qué esperan conseguir? Una medallita? En fin...

Cita de: el-brujo en  9 Septiembre 2014, 21:42 PM
En fín, ya se cansará. Volvemos a banear las ip's atacantes esta vez durante más tiempo  :rolleyes:

creo que ha vuelto a caerse la web hasta hace practicamente un instante no podia acceder al foro y me salia error de SQL (15:35 hora española)

que tio más cansino, en serio, luego saldrá a la luz y se justificará diciendo que es que era para hacer un test de su nueva herramienta ddos, como el último tio que recuerdo que atacó la web y se justificó de esa manera, cuanto #%$$@·%& hay por ahí suelto.

Si lo pillan espero que no tengan contemplaciones con él.

Un saludo!

Esta vez no lo note.. (dormia como un oso)
Puede ser el richi o alguno que le cerraste el tema  ;D

Como bien dicen, ya cesará.. no es la primera vez que sucede, y el foro siempre vuelve.

Larga vida al hacker.net carajo!

Saludos.

Ahora mismo ha lanzado otro aataque... lo único divertido es que al menos va cambiando de ataque. Ayer ataque GET / y hoy y otros día GET /index.php aunque eso no es mucha variación xD Por lo menos también sabe poner un user-agent aleatorio  ;-)

Hoy hay un argentino mandando un syn-flood 190.31.28.177

CitarSep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0
Sep 10 18:45:23 ns7 kernel: martian source 108.162.206.73 from 190.31.28.177, on dev eth0

Y el ataque del 8 de septiembre no lo había visto nunca:

CitarSep  8 15:17:03 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:17:04 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:04 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:17:05 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:06 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:06 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:10 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:13 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:13 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:14 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:23 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:23 ns7 kernel: UDP: bad checksum. From 221.207.203.17:1363 to 108.162.206.73:80 ulen 352
Sep  8 15:17:26 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:27 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:29 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 278
Sep  8 15:17:31 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:32 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:17:35 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:35 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:42 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:17:42 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:17:47 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:47 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:48 ns7 kernel: UDP: bad checksum. From 113.9.227.210:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:17:48 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:53 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:59 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:00 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:01 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:04 ns7 kernel: UDP: bad checksum. From 113.0.4.194:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:18:07 ns7 kernel: UDP: bad checksum. From 113.9.227.210:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:10 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 300
Sep  8 15:18:14 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:17 ns7 kernel: UDP: bad checksum. From 113.0.74.11:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:17 ns7 kernel: UDP: bad checksum. From 221.212.160.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 113.9.114.231:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:20 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:23 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:25 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:28 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:29 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:30 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:31 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:35 ns7 kernel: UDP: bad checksum. From 221.207.203.17:4413 to 108.162.206.73:80 ulen 321
Sep  8 15:18:35 ns7 kernel: UDP: bad checksum. From 113.0.189.87:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 113.0.74.220:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:37 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:37 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:40 ns7 kernel: UDP: bad checksum. From 221.212.160.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:43 ns7 kernel: UDP: bad checksum. From 113.0.250.3:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:43 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:45 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:47 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:48 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:50 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:50 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:18:51 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:51 ns7 kernel: UDP: bad checksum. From 221.207.203.17:3041 to 108.162.206.73:80 ulen 288
Sep  8 15:18:51 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:52 ns7 kernel: UDP: bad checksum. From 113.0.4.194:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:18:52 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:18:52 ns7 kernel: UDP: bad checksum. From 113.0.189.87:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:53 ns7 kernel: UDP: bad checksum. From 1.62.79.55:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:18:55 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:55 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:56 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:56 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:56 ns7 kernel: UDP: bad checksum. From 221.207.203.17:3913 to 108.162.206.73:80 ulen 323
Sep  8 15:18:57 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:19:00 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:02 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:19:03 ns7 kernel: UDP: bad checksum. From 221.207.203.17:4992 to 108.162.206.73:80 ulen 321
Sep  8 15:19:04 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:19:05 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 252
Sep  8 15:19:06 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:08 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:19:08 ns7 kernel: UDP: bad checksum. From 113.0.4.194:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:19:09 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:19:09 ns7 kernel: UDP: bad checksum. From 113.9.114.231:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:19:12 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:19:13 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:19:15 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:19:15 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:19:15 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:19:15 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:19:16 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:19:16 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:19:18 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:19:20 ns7 kernel: UDP: bad checksum. From 113.0.189.87:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:19:21 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:21 ns7 kernel: UDP: bad checksum. From 113.0.74.220:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:22 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:19:22 ns7 kernel: UDP: bad checksum. From 1.58.21.252:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:19:24 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:19:24 ns7 kernel: UDP: bad checksum. From 113.0.250.3:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:19:26 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:19:26 ns7 kernel: UDP: bad checksum. From 1.58.21.252:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:19:26 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:19:27 ns7 kernel: UDP: bad checksum. From 113.9.227.210:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:30 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:19:30 ns7 kernel: UDP: bad checksum. From 1.58.21.252:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:19:31 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:19:31 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:19:31 ns7 kernel: UDP: bad checksum. From 113.9.114.231:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:19:34 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:19:34 ns7 kernel: UDP: bad checksum. From 113.0.74.220:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:19:34 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 296

el-brujo

https://www.youtube.com/watch?v=ftf3CoZFF4k

;)

Cita de: EFEX en 10 Septiembre 2014, 20:17 PM
el-brujo

https://www.youtube.com/watch?v=ftf3CoZFF4k

;)

¿Y tu como conoces la existencia de esa video?, porque fue subido hace 60 minutos, asi que una de dos, o sabes quien es el atacante, o has sido tú.

Saludos!

Cita de: Eleкtro en 10 Septiembre 2014, 20:30 PM
¿Y tu como conoces la existencia de esa video?, porque fue subido hace 60 minutos, asi que una de dos, o sabes quien es el atacante, o has sido tú.

Saludos!

JAJAJ ya me dijeron que sospecharian no, no soy yo, tan navo no soy.

Cita de: Eleкtro en 10 Septiembre 2014, 20:30 PM
¿Y tu como conoces la existencia de esa video?, porque fue subido hace 60 minutos, asi que una de dos, o sabes quien es el atacante, o has sido tú.

Saludos!

https://www.google.com/#q=foro.elhacker.net&tbs=qdr:d

Cita de: EFEX en 10 Septiembre 2014, 20:17 PM
el-brujo

https://www.youtube.com/watch?v=ftf3CoZFF4k

;)

Cual es el objetivo de subir un video de un DoS? Fama, quizás? Demostracion de "poder"?

Segun veo las cosas, es otro video basura, de los tantos que hay en youtube...

Voy a añadir el vídeo a mis Favoritos.

[youtube=640,360]http://www.youtube.com/watch?v=ftf3CoZFF4k[/youtube]

Dice que está off-line pero yo sigo pudiendo entrar.... habrá caído 1 minuto o una cosa así  :P

Cita de: MCKSys Argentina en 10 Septiembre 2014, 21:18 PM
Cual es el objetivo de subir un video de un DoS? Fama, quizás? Demostracion de "poder"?

Segun veo las cosas, es otro video basura, de los tantos que hay en youtube...

Fama con algo tan trivial no creo que consigan, si obtiene el dominio total del foro podria decirse algo asi, es como querer resaltar o creerte rambo inyectando SQL.

Pierde su tiempo, no gana nada y si es alguien con conocimientos profundos no lo va a subir en youtube, donde abundan los lammers.

Si es alguien poderoso te quita el foro, y no te lo va a mandar a youtube, que se ocupe de su autoestima que esta por el suelo.


EDITO: no tengo problemas con entrar(estoy desde temprano del trabajo que es una internet de $%&%$$%&&%&) tal vez hace un rato pero yo no lo note.

Saludos.

Buena!, en el video aparece la hora exacta del servidor (10 Septiembre 2014, 18:17) asi que con ese dato podremos revisar los logs mas minuciosamente en busqueda de la ip del tipo que hizo el ataque para ver que tan viable es hacer una demanda hasta llegar a su proveedor de isp.

Otro dato curioso es que cuando escribe elhacker.net (0:48) en su barra de navegación se despliega por menos de un segundo el historial de navegación y tiene este post agregado, asi que claramente también ha vistado este post y porqué no, si la fecha del foro en el video coincide con la fecha del post creado talves el atacante pueda estar entre los que han estado posteando, talves el que atacó fue el que hizo el post o puede que simplemente haya entrado a ver el post creado. Otro dato curioso es que el que hizo el post no ha vuelto a comentar asi que no se si realmente le haya interesado la caida del foro o solo armar el post para ver que estaba pasando entre tantas.

Cronologicamente primero se hizo este post, aproximadamente 45 minutos después se hizo el video, según el video el tipo no usaba proxies para entrar asi que podría buscarse si la ip de los que han posteado en este post podría coincidir con la hora y el minuto exacto en que se estaba realizando ese video y que no esté logueado (se supone que un usuario es un usuario y dificilmente entraría sin loguearse... usuario logueado hoy, usuario no logueado ayer a la hora del video .... raro no?), talves puedan aparecer sorpresas, quien sabe, también se podría hablar con el dueño del sitio donde hace el ping online y preguntarle quien hizo ping al foro justo ese dia a esa hora en ese minuto... en fin, con una orden judicial todo es posible y mas aun si partimos por la base que el ataque se hizo desde el control de un escritorio remoto del cual probablemente sea un servidor que controle alguna botnet importante (y claramente del interés de la policia de delitos informáticos).

Sería interesante averiguar quien se esconde detras de ese nick (AK-47) porque dudo mucho que alguien que juegue con una botnet haciendo videos de youtube use su nick principal, entre foros, chats, redes sociales debe haber algo que me lleve a el y quien sabe, talves hayan mas sorpresas, talves foros amigos, usuarios antiguos, quien sabe.

yo sigo bloqueado :P habian quitado el bloqueo, pero prefiero que lo dejen un rato más y entrar por proxy a que no poder entrar D:

si por fin el ataque es desde aquí, se puede hacer una denuncia al respecto contra el atacante, aunque normalmente las denuncias tardan un buen tiempo, este tipo si procede rapido porque son poco los casos de ataques informaticos y el Ministerio del Poder Popular para Ciencia, Tecnología e Información colabora con la resolucion de estos casos y al ser CANTV una compañía del estado, es parte de ese ministerio y del de comunicaciones, entregarán los logs fácilmente...

y se que bastante la he posteado por aquí, pero esta es nuestra Ley Especial Contra los Delitos Informáticos (http://www.tsj.gov.ve/legislacion/ledi.htm)

Cita de: WHK en 10 Septiembre 2014, 22:27 PMSería interesante averiguar quien se esconde detras de ese nick (AK-47) porque dudo mucho que alguien que juegue con una botnet haciendo videos de youtube use su nick principal

pero, en serio, ¿creen que este tipo es inteligente?, yo no echaría por la borda la idea de que este tipo use ese mismo nick en "X" lugar y que "AK-47" sea su main-name, porque está claro que este tio quiere tener un nombre y que se le conozca por sus actos (delictivos).

Más tarde o más temprano caerá... contra ustedes no hay quien pueda, y sinó que se lo digan al Dj no se que (¿alguien le recuerda? xD)

De momento ya ha cometido un fallo, compartir un video por youtube, y le podrían pedir a youtube que le den datos de esa persona, con o sin orden y/o autorización policial, por intentarlo no pierden nada.

Cita de: WHK en 10 Septiembre 2014, 22:27 PM
se podría hablar con el dueño del sitio donde hace el ping online y preguntarle quien hizo ping al foro justo ese dia a esa hora en ese minuto... en fin, con una orden judicial todo es posible

probablemente sea un servidor que controle alguna botnet importante (y claramente del interés de la policia de delitos informáticos).

Así se habla, a darle caña.

EDITO: y sinceramente yo a cualquier usuario que tuviera conocimiento del tipo en cuestión como PARECE ser (no afirmo) @EFEX le habría baneado ya por incubrir al autor de los actos delictivos, pero bueno, ustedes son los jefes y harán lo que crean conveniente.

Un saludo!

CitarEDITO: y sinceramente yo a cualquier usuario que tuviera conocimiento del tipo en cuestión como PARECE ser (no afirmo) @EFEX le habría baneado ya por incubrir al autor de los actos delictivos, pero bueno, ustedes son los jefes y harán lo que crean conveniente.

Entonces baneemos todo el foro...

Saludos

Cita de: Eleкtro en 10 Septiembre 2014, 23:17 PM
EDITO: y sinceramente yo a cualquier usuario que tuviera conocimiento del tipo en cuestión como PARECE ser (no afirmo) @EFEX le habría baneado ya por incubrir al autor de los actos delictivos, pero bueno, ustedes son los jefes y harán lo que crean conveniente.

Un saludo!

Encima el es de argetina! No cabe duda que el es la mente maestra detras de todo esto.

/troll

Por cierto, lo único que ha hecho el es una busqueda de foro.elhacker.net en las ultimas 24 horas.

Citar¿Y tu como conoces la existencia de esa video?, porque fue subido hace 60 minutos, asi que una de dos, o sabes quien es el atacante, o has sido tú.

Saludos!

si pones en la barrra de youtube foro.elhacker.net es el tercer resultado y elhacker.net es como 6 xD

no se va a banear ni a EFEX, ni a nadie. Será muy triste banear a un usuario del foro por aportar un vídeo, eso no es suficiente prueba, me da igual de dónde lo haya sacado o dónde lo haya visto, o si se lo ha pasado alguien. No tiene que dar ningún tipo de explicación.

Sinceramente me da igual que ha sido el o haya sido otra pesrona, que entre al foro no no entre, que sea miembro no no, para mi es totalmente irrelevante.

Tendría que estar muy seguro para banearlo del foro y aún así, ¿qué sentido tendría? si quiere entrar puede hacerlo.

Si la persona que ataca prefiere seguir en el anonimato, adelante, por mi no hay problema. Sea quién sea sólo le quiero decir que no lo conseguirá tirar por más de unos minutos máximo. Da igual el número de infectados que haya, si son servidores o usuarios normales si son de Venezuela, de Tailandia, de China o de España, si tienen el User Agent aleatorio con Google Chrome, si hacen peticiones GET o POST, cualquier ataque se puede filtrar o mitigar por grande que sea con un buen hardware y una buena red.

Ahora mismo el ataque sigue en marcha y hay unas 2.000 conexiones en el Apache (cuando lo normal son 150-200 aprox) pero el foro sigue funcionando. Si quiere enviar más peticiones puede hacerlo, el servidor ha llegado a manejar 9.000 conexiones y todavía le sobra memoria ram, procesador ni la red a llegado a su tope. Eso si, que me avise con tiempo para poder aumentar el número de procesos xD

Hola de nuevo, traigo un poco de info, no se si ustedes ya habrán investigado esto pero me gustaría ayudar en lo que pudiese...

¡Analizemos el video!.

1)
He descargado el video de youtube, por si el tipo se acojona y decidiese eliminarlo, aquí lo tienen subido a mi cuenta:

[youtube=640,360]https://www.youtube.com/watch?v=M2HCMeJrmRI[/youtube]

2)
En el minuto 0:48 del video aparecen las urls a las que se refirió el compañero WHK en el historial de navegación, son estas:

(http://i.imgur.com/WMY1nvD.jpg)

3)
En el minuto 2:38 del video aparecen más urls:

(http://i.imgur.com/nDU5DqB.jpg)

4)
Fijaros en la última url, la del servicio de hospedaje de imágenes, Imgur:

http://i.imgur.com/ypHOsB2.png (http://i.imgur.com/ypHOsB2.png)

Sin una mayor profundización (hablar con imgur) no podemos determinar si la imagen es del atacante de elhacker.net, o de otra persona, pero la imagen a la que hace referencia esa url es la siguiente (la he subido yo mismo a una cuenta, por si el tipo borra la original):

(http://i.imgur.com/UQZ3xaE.png)

5)
Esa persona utiliza Windows 7, y aparentemente está utilizando una máquian virtual (ej: VirtualBox) ya que no ha echo ninguna modificación a la barra de tareas de una post-instalación de Windows 7:
(http://i.imgur.com/qxEtTty.jpg)

6)
El día en el que se subió hizo la imagen es el mismo dia en el que se subió el video del supuesto "AK-47":
(http://i.imgur.com/GD1GW8H.jpg)

Esto nos indica que quizás haya sido otra "obra" del mismo personaje que está atacando elhacker.net.

y examinando la hora local de su PC, muy posiblemente este personaje viva en España.

7)
Fijaros en la url que aparece en el título del navegador de la imagen de Imgur:

http://payasako.esy.es/ (http://payasako.esy.es/)

8)
¿Y que nos aparece al entrar en esa url?, lo siguiente:

(http://i.imgur.com/1BIoOJy.jpg)

9)
El nombre del team usado en http://payasako.esy.es/ (http://payasako.esy.es/) es: PskSecurity

Los pseudónimos usados en http://payasako.esy.es/ (http://payasako.esy.es/) son:

Infiernako
AdJ
DarkNess
REMIIX
AR3S
Tiburon
InDem0N

10)
La pregunta es: ¿Habrá algun usuario registrado con alguno de esos psudónimo en el foro.elhacker.net, o en otras webs amigas?

Yo lo único que he podido encontrar como humilde usuario que soy, es un tal AR3SW0RMED, no parece tener relación por su niactividad en el foro, pero ahi lo dejo caer:

-> perfil de AR3SW0RMED (http://foro.elhacker.net/profiles/ar3sw0rmed-u394265.html)

-> VIDEO ATAQUE NEMESIS CON AR3S (http://foro.elhacker.net/hacking_basico/video_ataque_nemesis_con_ar3s-t297292.0.html)

11)
Otra pregunta que se me viene a la mente es, ¿sabrá el admin de la página http://payasako.esy.es/ (http://payasako.esy.es/) quien le hackeó la web?, ¿tendrá relación con el atacante de elhacker.net?.

Saludos!

12)
La otra url que aparece en la imagen de imgur, es un chat, este:

http://xat.com/habbolibre

ak-47 en el chat de la imagen xD
http://xat.com/HabboLibre?p=0
y cuando doy click a su nick sale  BLACKBERRYM5 (359887551)
http://xat.com/HabboLibre?p=0

si necesitan las capturas de pantalla las paso pero no creo que haga falta en todo caso xD

13)

Posiblemente el pseudónimo "AK-47" sea el mismo nick que usa en el chat de habboolibre:

(http://i.imgur.com/YoIxoWq.jpg)

(snuggypook soy yo)


(http://i.imgur.com/lwlbxh3.jpg)

(calamar soy yo)

Nota: creo que en el chat hay más de un enterado sobre el tema este de elhacker.net, y quizás mientan, no hacer mucho caso de lo que pone en la imagen de arriba...

EDITO: Conozco un usuario de Murcia fustigado  por elhacker.net, @Randomize, pero no creo que haya sido él, ¿verdad?.

EDITO2: Creo que estaría bien examinar cuales de los usuarios que han visitado este post tienen puesto que son de murcia/málaga en su perfil, quizás eso ayude a cerrar el cerco.

CitarPosiblemente el pseudónimo "AK-47" sea el mismo nick que usa en el chat de habboolibre:

si de hecho
AK-47    BLACKBERRYM5 (359887551)    Usuario VIP de HabboLibre
http://habbolibre.com.mx/tabla/

estaba cuando entre al chat

El Nick Infiernakoaparece aquí:

http://underc0de.org/foro/index.php?action=profile;u=36625


Saludos.

https://www.youtube.com/watch?v=ftf3CoZFF4k

Citar
El usuario ha suprimido este vídeo.
Disculpa las molestias.

Ha borrado el vídeo xD demasiado tarde, ya hay varias copias del vídeo y se pueden ver más cosas interesantes del vídeo, WHK ha sacado la ip dónde se conecta al escritorio remoto :P

Copia del Video:
[youtube=640,360]https://www.youtube.com/watch?v=2Xv9dtnWTUM[/youtube]

Seamos sinceros, si alguien piensa que puede hacer un ataque a un foro de informatica y no esperar forencia está mal, hay que pensar poco para no creerlo... y lo que puede salir caro es una denuncia por botnet D:

Citary no esperar forencia está mal

lo que pasa cuando tienen ganas de fama y llamar la atencio

[offtopic]investigando me encontre con el nombre de elektro xD[/offtopic]

Cita de: daryo en 11 Septiembre 2014, 00:38 AM[offtopic]investigando me encontre con el nombre de elektro xD[/offtopic]

yo encontré uno que inició sesión en el chat con el nick "Elektro", coincidencia o descarada suplantación de identidad, en fin xD

segun dicen las malas lenguas (en el chat en cuestion) me acaban de dar su direccion el nombre de su novia edad no lo pongo aca por si es mentira pero bueno si quieren lo paso por pv si estan interesados para confirmarlo con su ip

me llamaron policia en el chat lo que es algo sospechoso xD

Cita de: daryo en 11 Septiembre 2014, 00:55 AM
segun dicen las malas lenguas (en el chat en cuestion) me acaban de dar su direccion el nombre de su novia edad no lo pongo aca por si es mentira pero bueno si quieren lo paso por pv si estan interesados para confirmarlo con su ip

me llamaron policia en el chat lo que es algo sospechoso xD

Tiene que ser demasiado ingenuo o tiene una desesperacion por llamar la atencion si esto se comprueba = True, debe ser tan empatico en el foro/chat (ese que dicen) que lo venden por frijoles... jaja

A esos tipos creo que los tengo FB si quieren puedo echar un ojo siempre lo que sea por el foro! Payasako un usuario de mi foro se llamaba así voy a investigar un poco.

Muy buena Elektro

http://i.imgur.com/vYjyGWV.png

Cita de: WIитX en 11 Septiembre 2014, 01:01 AM
http://i.imgur.com/vYjyGWV.png

PD: WIитX re-escribe bien mi nick porfavor :P, y yo no hice gran cosa, no me imagino lo que habrá conseguido alguien como WHK y los otros expertos del Staff

( Sin dar prioridad a que esta información pueda ser la correcta, creo que debemos analizarla un poquito, así que ahí lo dejo... )

Este es el tal Sergio Aroca:

https://twitter.com/DjSergioAroca

(http://i.imgur.com/21bWdXm.jpg)

El tipo es de Sevilla, he encontrado ese dato indirectamente, porque lleva este avatar puesto:

(https://pbs.twimg.com/profile_images/378800000630445106/e813f3b060518cddd8a0bc7d931fbc12_400x400.png)

Y ese evento se da lugar en Sevilla:
https://twitter.com/ZonaFly

CitarDomingo 14 a las 19h !! Sortearemos una entrada mas para @sevillaland ESTAR MUY ATENT@S Y PARTICIPAR

¿Recuerdan que me dijeron por el chat que AK-47 era murciano?, y no soy al único al que le dijeron lo mismo, pero este tipo de 25 años no tiene nada, obvio xD.

Quiero resaltar esto que comenté en otro post, por si sirve de ayuda:

Cita de: Eleкtro en 11 Septiembre 2014, 00:20 AM

EDITO: Conozco un usuario de Murcia fustigado  por elhacker.net, @Randomize, pero no creo que haya sido él, ¿verdad?.

EDITO2: Creo que estaría bien examinar cuales de los usuarios que han visitado este post tienen puesto que son de murcia/málaga en su perfil, quizás eso ayude a cerrar el cerco.

Saludos!

Yo no creo que deba darse prioridad a la pista de payasako, puede que la persona no sea/pertenezca y que lo tenga es por otras razones... se debe analizar más no priorizar

https://www.facebook.com/alex98code -> Facebook de Ares

Sorry Elektro fue el corrector :3

Hola

Sobre payasaco hay miles de perfiles en google y todos coinciden mas o menos , varía la edad .  Me pareció curioso que en algún sitio se presenta como bruj0x dice ser de Barcelona y en algunos foros dice llamarse alex.   

Estos post en foros varios son de 2013 principios del 14 .  Jejejejej. ¿Persecución enfermiza????

Saludos

Buenas en un foro de "Decode" un usuario de Under encontré este post por el cual parece que se conocen todos...
http://revolutions-net.com/foro/showthread.php?tid=37

Viendo el perfil de Ares que deje arriba también es de under demasiadas coincidencias.

Será que el-brujo tiene un enamorado y solo quiere llamar su atencion <3 xD

Cita de: WIитX en 11 Septiembre 2014, 01:34 AM
Buenas en un foro de "Decode" un usuario de Under encontré este post por el cual parece que se conocen todos...

Código [Seleccionar] Expandir

http://revolutions-net.com/foro/showthread.php?tid=37

Viendo el perfil de Ares que deje arriba también es de under demasiadas coincidencias.

En ese post escribe otra de las personas que hackeó la web de Payasako, Remiix: http://revolutions-net.com/foro/member.php?action=profile&uid=1

El cual es administrador de la página http://revolutions-net.com

Cita de: Eleкtro en 11 Septiembre 2014, 01:39 AM
En ese post escribe otra de las personas que hackeó la web de Payasako, Remiix: http://revolutions-net.com/foro/member.php?action=profile&uid=1

El cual es administrador de la página http://revolutions-net.com

Exactamente los cuales los conocí buscando a "calco" hace un tiempo y llegue hasta hay deberán de ser amigos de él o algo así..

Y aquí está el perfil de "Decode" en under: http://underc0de.org/foro/index.php?action=profile;u=33482

Alguien me pasa el #IRC por el que me dicen que estais?

Cita de: WIитX en 11 Septiembre 2014, 01:42 AMdeberán de ser amigos de él o algo así..

Si, es más que obvio

pero por si caben dudas, diré que el tal Remiix solo tiene 3 posts en su web, y en dos de ellos se muestra el chat de haboolibre, ¿coincidencia?, jaja.

¿Recuerdan que salia en el video de youtube que copié yo y el-brujo?, una pestaña con el chat de haboolibre.

Relacionen a los sujetos.

---

perdonarme si me equivoco, pero en este o en el otro post de la caida dle foro creo que alguien escribió algo sobre que podría haber sido un tal "richi" no se que?, no encuentro el comentario, no se si se habrá borrado o simplemente no lo encuentro, pero esto podría interesarles:

Me da la espina de que el atacante podría hacerse llamar pr0xXx0r, o ricky2000 (ricky > richi) o quizás sean el mismo individuo.

Al parecer el tal pr0xXx0r no le tiene mucho aprecio a Álex (el-brujo) por lo que se especula en este post, del año 2012: http://foro.elhacker.net/buscador-t359317.0.html

El tal pr0xXx0r está relacionado con la web undercode.org, aquí hay un video: https://www.youtube.com/watch?v=wJDi0uRIeL8

Y aquí hay un post de ricky2000: http://leakforums.sx/showthread.php?tid=295

No hacer ni caso sobre lo de richi, confusión tremenda: http://foro.elhacker.net/foro_libre/me_voy_del_foro_fueron_8_grandiosos_anos-t420797.0.html;msg1964090#msg1964090
Gracias <WINTX> xD

Más nombres distintos de individuos que podrían estar relacionados:

http://emege.com.uy/

4R3S
Tiburon
InDemonHS
Inyetrol
Asparux
Decode

Fuente: https://twitter.com/Infiernako

PD: no la encontré yo.

Cita de: Eleкtro en 11 Septiembre 2014, 02:26 AM
Más nombres distintos de individuos que podrían estar relacionados:

http://emege.com.uy/

4R3S
Tiburon
InDemonHS
Inyetrol
Asparux
Decode

Fuente: https://twitter.com/Infiernako


PD: no la encontré yo.

Dame créditos chica mala :C

de momento han parado el ataque....

Esto por momento parecia Equipo de Investigación o Comando Actualidad, un equipo de investigadores al servicio del bien xD

Se está hablando con los responsables del hosting del vps llamado webfusion

En el siguiente vídeo (una copia del video original borrado por su autor)
[youtube=640,360]https://www.youtube.com/watch?v=2Xv9dtnWTUM[/youtube]

WHK dixit:

CitarEn el vídeo se puede ver como se conecta a un escritorio remoto a un servidor con Windows Server cuya ip ha sido parcialmente ofuscada (se ve borrosa)
medio oculta porque se pueden ver algunos rastros de la ip cortada (la parte superior, asi que la recorté, la pasé al gimp (photoshop de ubuntu) y lo agrandé y le escribí algunos posibles números que correspondieran a la silueta de la ip que no se alcanza a ver... casi casi obtuve la ip excepto porque algunos números aparecen con una vuelta en la parte superior... o sea, pueden ser un cero, un ocho o un nueve, as que... hice un script en php para recorrer todas las ips bajo esas posibilidades y luego les hace un ping a cada una y me entrega un resultado al final de cuentas obtuve muchas ips pero solo 3 respondieron al ping... ahora, de esas 3 ips solo dos responden a una conexión de escritorio remoto.

Dos de sus servidores:

Citar217.199.167.38 -> whv217-8-245-38.whv.webfusion.com -> webfusion.com
217.199.167.39 -> whv217-8-245-39.whv.webfusion.com -> webfusion.com

Desde luego hay que ser muy tonto para lanzar un ataque de Denegación de Servicios usando como intermediarios un servidor, sabiendo que último que lo hizo también era menor de edad, y ahora tiene antecedentes penales para el resto de su vida. A parte de pagar una multa e ir a un centro de menores. Y el enfado de sus padres, ni te cuento. Si, él pensaba que era muy listo, que nunca lo cogerian, se conectaba con la wifi de varios vecinos... pero mira al final la Guardia Civil viajó desde Barcelona hasta Tenerife para hacerle una visita a su casa y de ahí al juzgado de menores.

Un menor de edad imputado en un ataque masivo contra el sitio 'ElHacker.net'
http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

Que paguen con los hechos, no se puede ir por la vida tirando webs cuando uno hace una cosa debe de saber lo que acarrea, y más que nada dudo que haya tenido motivos para hacerlo simplemente lo hacen para joder.

Que pena que haya cambiado el sistema de pagos de la publi ,  si no tendrías para un mesecito grqtos de servers como aquella vez


Saludos

Aunque intente borrar rastros o cambiarse la ip no sacará nada porque el mismo proveedor del servidor tiene logs propios de conexión fuera del windows que contrató asi que es cuestión de que la policia pida esas ips y compruebe quien es el operador y llegar con una orden judicial al operador para que ellos digan quien fue el cliente que utilizó esa ip ese dia a esa hora y en ese minuto.

Si yo fuera el que hizo el ataque no podría dormir sabiendo que en unos dias voy a tener a la poli en mi casa todo un juicio encima y a mis papas con cara de felicidad.

Al ver el video me dije... chale, la ip esá oculta, pero no tan tan oculta... asi que lo agrandé y le saqué captura de pantalla y lo pasé al gimp:

(http://i.elhacker.net/i?i=kVuzlGDtLboPS0pTEOZ-PmVo)

(http://i.elhacker.net/i?i=hNDXT5voDLkuTmWDQ5kY72Vo)

Asi que tenia algunos números que no coincidian y que podian ser 0, 9 u 8 por la vuelta que trae en la parte de arriba en el número, asi que hice un script que recorriera todas las posibilidades y le hiciera ping uno por uno:

<?php

// 217.1**.167.3*
// *=890

function ping($host) {
$package = "\x08\x00\x7d\x4b\x00\x00\x00\x00PingHost";
if(!$socket  = socket_create(AF_INET, SOCK_RAW, 1))
return 0;

socket_set_option($socket, SOL_SOCKET, SO_RCVTIMEO, array('sec' => 1, 'usec' => 0));
if(!socket_connect($socket, $host, null))
return 0;

$ts = microtime(true);
socket_send($socket, $package, strLen($package), 0);
if (socket_read($socket, 255))
$result = microtime(true) - $ts;
else
$result = 0;

socket_close($socket);
return $result;
}

/* Crea un rango de ips a buscar */
$rango = range(ip2long('217.100.1.1'), ip2long('217.199.255.255'));
$posibles = array();
$revisados = 0;
foreach($rango as $ip){
$ip = long2ip($ip);
if(preg_match('/^217\.1(8|9|0)(8|9|0)\.167\.3(8|9|0)$/', $ip, $coincidencias)){
$revisados++;
$ping = ping($ip);

if($ping !== 0){
$posibles[] = $ip;
echo '+ '.$revisados.': '.$ip.' (ping '.ping($ip).'s)'."\n";

}else{
echo '- '.$revisados.': '.$ip.' (ping '.ping($ip).'s)'."\n";
}
}
}
unset($rango);

echo "Guardando resultados...\n";
file_put_contents('posibles.txt', implode("\n", $posibles));
echo "Mostrando resultados...\n";
print_r($posibles);

Eran miles de ips pero solo unos cuantos correspondian a los numeros faltantes y solo 3 respondieron al ping:

(http://i.elhacker.net/i?i=0d8XDEWzgZY9isW4Hg0m-mVo)

De esas 3 ips solo la ip del servidor de la botnet es la que responde a un escritorio remoto con windows :P

Luego de eso el resto es fácil, le haces un reverse dns a la ip y obtienes el dominio real junto a su proveedor de hosting: http://webfusion.com/

Y listo, esto sumado al video con el minuto exacto del ataque será facil saber quien lo hizo ya que todos los proveedores de hostings tienen logs propios fuera del sistema operativo donde se aloja el servidor virtual o dedicado, ademas de los respaldos que constantemente se hacen a los discos duros en caos de perdida de datos... algunos guardan imagenes de discos hasta por un año, la mayoría durante 6 o 3 meses.

Nota: el foro ya no anda lento, que pasó? banearon todas las ips o detuvo el ataque? :P talves está ocupado haciendo un oyo debajo de su cama antes de que lo vayan a buscar xD

Pero no le expliqueis la sorpresa  :silbar:

WHK que asco das  :-(

Creo que lo más bonito de todo esto, es que va a caer por su deseo de vanagloriarse (léase video).

Como se dice por algunos lados: Por la boca muere el pez  :xD

quedaria muy bien un articulo en el blog sobre todo este proceso de investigacion :)

Podriamos tener una pagina en el foro al estilo elhacker.net/pwns donde aparezcan los casos de ataques que ha ganado judicialmente elhacker.net con capturas, resoluciones, etc para que la proxima ves que alguien venga a hacer lo mismo lo piense por lo menos dos veces.

Cita de: WIитX en 11 Septiembre 2014, 15:14 PM
WHK que asco das  :-(

Lo se  :xD

Parecen los CSI xD. Aunque realmente es bueno que se hagan estas cosas y se castigue a esta gente para que los que vengan detras se lo piensen un par de veces antes de hacer nada. Una pena que haya gente así.

Un saludo

De todas formas a mi me dan pena y aunque de verdad se merecen la multa y todo lo que les pongan y aprendan que no puede ir tirando webs por ahí,los padres no tienen la culpa de tener hijos gilipollas.

Saludos

Oigan, el-brujo usted ahora que hace va a un cuartel a denunciarlo o los denuncia por internet?

Ese tipo de cosas se hacen en persona y todo de manera formal y legal.

Ya encontramos cual de las dos ips es la que se está usando para controlar el ataque, es el 217.199.167.39 el cual aloja archivos para infectar a la gente:

https://www.robtex.com/en/advisory/ip/217/199/167/39/

Tiene 4 puntos negativos en spamhaus.org y en base a una alerta XBL el cual reconoce que el día 13 de Mayo el servidor alojaba troyanos o virus o algún tipo de malware de terceros, hoy no está en esa lista negra porque fue removido (talves para salvar al servidor) ( http://www.spamhaus.org/lookup/ ) pero en esa fecha ya habia sido denunciado por alguien mas.

Aparte de eso esa ip fue encontrada en varios host de tipo "cual es mi ip" de seguro para validar su ip vs conexiones de proxies como http://proxyjudge.info/ el cual lo encontré en el log de estadisticas de un sitio que visitó desde ese mismo servidor:
http://64.159.92.44/stats/usage_201405.html

Pero bueno, en todo caso ya no será necesario encontrar los binarios ni el el control (ya sea un txt o un control via socket) porque ya tenemos los datos mas que suficientes para hacer la denuncia.

Buenas como comente Payasako es un usuario de mi foro el tipo me agrego a skype y me explico está colaborando al parecer el hace la index simplemente está arrepentido y os deja un comunicado, hablaré con el-brujo personalmente para hablar del caso de ese usuario.

http://payasako.esy.es

Saludos!

Cita de: WIитX en 11 Septiembre 2014, 16:43 PM
Buenas como comente Payasako es un usuario de mi foro el tipo me agrego a skype y me explico está colaborando al parecer el hace la index simplemente está arrepentido y os deja un comunicado, hablaré con el-brujo personalmente para hablar del caso de ese usuario.

http://payasako.esy.es

Saludos!

Genial, se agradecería bastante. Igual hago copy paste de lo que hay en el sitio http://payasako.esy.es/ para que no hayan confusiones cuando ese mensaje ya no esté:

Creo que es como todo "chiquilin" (aca se le dice asi a los niños) no toma precauciones por lo que venga despues ni piensa en las consecuencias, a ninguno  le paso al hacer alguna lammereada en internet a corta edad?

Por que ese hombre pide disculpas sino realizo el ataque?(en teoria)

;-) ;-) ;-)

Buenas, mirar me ha comentado el atacante es Ak-47.

La web de pasado aparece por que el crea index, de #Defaces está arrepentido por hacer eso pero en verdad no tiene nada de ilegal crearla, el entro al xat de habbolibre y paso la index para que la gente la vea por si alguien la quería usar o que se la compraran o algo entonces por eso aparece la web de él en la barra de direcciones de AK-47 el entraría a la web conozco a Payasako desde hace muchos años no es mal tipo y me creo lo que me a contado el me dijo que el atacante fue AK-47 que es de Murcia valla lo que sabemos el me dijo que intentará conseguir todo lo que pueda y que pueden comprobar su ip y que siente mucho estar metido en este follón, pero sinceramente es como si alguno de nosotros entramos a ese chat y pasamos el link con la mala suerte de que justamente el atacante abre nuestra dirección y se le queda guardada el dice que contribuirá en todo lo que pueda.

Saludos y pido que le perdonen.

Cita de: XresH en 11 Septiembre 2014, 16:48 PM
Creo que es como todo "chiquilin" (aca se le dice asi a los niños) no toma precauciones por lo que venga despues ni piensa en las consecuencias, a ninguno  le paso al hacer alguna lammereada en internet a corta edad?

Por que ese hombre pide disculpas sino realizo el ataque?(en teoria)

;-) ;-) ;-)

Pide disculpas por que el está metido en un follón sin comérselo ni bebérselo imaginate si tu eres un chaval por el simple echo de que llamen a tus padres ya te das un susto y que si juzgados y tal

CITA DE PAYASAKO:

Citar[11/09/14 16:58:57] ULTIMATE ~ PSK.: Pido disculpas hacia el dueño por el altercado que ha avido con mi mención en el post xd

mis respetos para sus investigaciones... aquí en México no encuentran un coche robado aunque tenga alarma con gps... xD

(http://i.gyazo.com/b83bab08f6583312137718087fc2615b.png)

http://habbolibre.com.mx/ es la comunidad donde pertenece el que nos atacó :) parece que encontré juguete nuevo xD
Coincidencia? windows server?

http://habbolibre.com.mx/foro/ un SMF sin instalar arroja error con windows server... otro vps? 104.28.15.83

Cita de: WHK en 11 Septiembre 2014, 17:11 PM
http://habbolibre.com.mx/ es la comunidad donde pertenece el que nos atacó :) parece que encontré juguete nuevo xD
Coincidencia? windows server?

http://habbolibre.com.mx/foro/ un SMF sin instalar arroja error con windows server... otro vps? 104.28.15.83

Muy buena WHK pero 104.28.15.83 es la de Cloudflare?

verdad, creo haber visto tools para scaar las ips reales de cloudfare.

Edito: la encontré:

CitarData for habbolibre.com.mx

chuck.ns.cloudflare.com
adi.ns.cloudflare.com

A direct-connect IP address was found: habbolibre.com.mx 37.187.62.46 FRANCE

37.187.62.46 es la ip de ese foro de habbo.

DIOS ajajaaj según me comentan ese tipo dentro del juego es VIP los dueños tienen que saber algo

WHK - Que continue el reto de Dimitrix jajaj

ahora mismo estamos recibiendo otro ataque:

CitarOn 11-09-2014 at 17:30:41
*** Possible SYN flood attack ***

- number of SYN_RECV            : 1113
- number of IP blocks           : 341
- IP blocks nullrouted          : 5
        - block 95.229.0.0.0.0/16 (22 connections)
        - block 115.228.0.0.0.0/16 (30 connections)
        - block 183.140.0.0.0.0/16 (23 connections)
        - block 120.115.0.0.0.0/16 (22 connections)
        - block 125.123.0.0.0.0/16 (24 connections)
- number of individual IPs      : 536
- current alert level           : 2/4

Please connect to your server and check the logfile :
/var/log/floodmon.log

Attachment : pcap dump of the last 99 SYN packets received

CitarBanned the following ip addresses on Thu Sep 11 17:26:01 CEST 2014
BANNED: 110.77.248.171 with 44 connections ()
BANNED: 64.19.28.6 with 35 connections (64.19.28.6.nw.nuvox.net.)
BANNED: 117.211.83.18 with 35 connections (static.mp.bb.117.211.83.18/24.bsnl.in.)
BANNED: 111.161.0.76 with 33 connections (dns76.online.tj.cn.)
BANNED: 201.20.7.13 with 32 connections (static.201.20.7.13.datacenter1.com.br.)
BANNED: 180.150.178.24 with 32 connections ()
BANNED: 186.5.80.100 with 31 connections (host-186-5-80-100.uio.telconet.net.)
BANNED: 106.3.12.191 with 31 connections ()
BANNED: 86.96.201.66 with 30 connections ()
BANNED: 111.93.30.66 with 30 connections (static-66.30.93.111-tataidc.co.in.)

Banned the following ip addresses on Thu Sep 11 17:27:02 CEST 2014
BANNED: 111.13.2.132 with 37 connections ()
BANNED: 203.195.195.215 with 36 connections ()
BANNED: 200.241.69.35 with 32 connections ()
BANNED: 177.130.51.63 with 32 connections (63.51.130.177.redewsp.com.br.)
BANNED: 12.177.232.178 with 32 connections ()
BANNED: 210.75.14.146 with 30 connections (user.nova.net.cn.)

Banned the following ip addresses on Thu Sep 11 17:28:02 CEST 2014
BANNED: 175.41.133.29 with 37 connections (ec2-175-41-133-29.ap-southeast-1.compute.amazonaws.com.)
BANNED: 123.155.242.20 with 37 connections ()
BANNED: 121.14.138.50 with 35 connections ()
BANNED: 190.107.68.18 with 32 connections (fonceju.com.ec.
ns.fonceju.com.ec.)
BANNED: 191.103.51.23 with 31 connections (191-103-51-23.iparatodos.com.ar.)
BANNED: 183.89.74.28 with 31 connections (mx-ll-183.89.74-28.dynamic.3bb.co.th.)
BANNED: 180.183.53.146 with 31 connections (mx-ll-180.183.53-146.dynamic.3bb.co.th.)

Banned the following ip addresses on Thu Sep 11 17:29:02 CEST 2014
BANNED: 200.167.24.3 with 37 connections ()
BANNED: 200.62.19.36 with 31 connections (ccscliente036.ifxnetworks.net.ve.)

Banned the following ip addresses on Thu Sep 11 17:30:02 CEST 2014
BANNED: 120.115.8.7 with 65 connections (norn.tn.edu.tw.)
BANNED: 95.229.194.153 with 32 connections (host153-194-static.229-95-b.business.telecomitalia.it.)
BANNED: 115.228.104.161 with 31 connections ()

Banned the following ip addresses on Thu Sep 11 17:31:01 CEST 2014
BANNED: 123.155.242.110 with 32 connections ()
BANNED: 63.234.204.13 with 31 connections (63-234-204-13.dia.static.qwest.net.)

Banned the following ip addresses on Thu Sep 11 17:32:01 CEST 2014
BANNED: 111.13.2.133 with 34 connections ()
BANNED: 113.57.230.49 with 30 connections (113.57.arpa.hb.cnc.cn.)

Banned the following ip addresses on Thu Sep 11 17:33:02 CEST 2014
BANNED: 187.150.114.209 with 34 connections (dsl-187-150-114-209-dyn.prod-infinitum.com.mx.)

Banned the following ip addresses on Thu Sep 11 17:34:01 CEST 2014
BANNED: 103.245.88.248 with 39 connections ()
BANNED: 88.208.208.116 with 34 connections (server88-208-208-116.live-servers.net.)
BANNED: 180.150.178.22 with 32 connections ()
BANNED: 190.63.157.229 with 31 connections (customer-190-63-157-229.claro.com.ec.)
BANNED: 221.174.16.8 with 30 connections ()
BANNED: 115.29.247.115 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:35:02 CEST 2014
BANNED: 222.184.9.242 with 30 connections ()
BANNED: 217.33.193.179 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:36:01 CEST 2014
BANNED: 120.193.47.34 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:37:01 CEST 2014
BANNED: 5.30.22.148 with 34 connections ()

Banned the following ip addresses on Thu Sep 11 17:38:01 CEST 2014
BANNED: 187.102.169.210 with 38 connections (mvx-187-102-169-210.mundivox.com.)
BANNED: 217.122.237.144 with 35 connections (D97AED90.cm-3-3d.dynamic.ziggo.nl.)
BANNED: 210.101.131.232 with 31 connections ()
BANNED: 122.225.103.107 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:39:02 CEST 2014
BANNED: 173.185.175.102 with 95 connections (h102.175.185.173.static.ip.windstream.net.)
BANNED: 177.234.14.150 with 61 connections ()
BANNED: 186.4.186.3 with 53 connections (host-186-4-186-3.uio.telconet.net.)
BANNED: 133.242.119.119 with 50 connections ()
BANNED: 187.63.226.181 with 48 connections (AS28168-187-63-226-181.minasmaistelecom.com.br.)
BANNED: 104.143.14.183 with 45 connections (;; connection timed out; no servers could be reached)
BANNED: 187.63.226.185 with 40 connections (AS28168-187-63-226-185.minasmaistelecom.com.br.)
BANNED: 169.199.19.136 with 36 connections (lightspeed.martinez.k12.ca.us.)
BANNED: 190.63.139.75 with 35 connections (mail.corlasosa.com.)
BANNED: 181.143.142.218 with 35 connections (hfc-181-143-142-218.une.net.co.)
BANNED: 146.185.187.180 with 34 connections ()
BANNED: 190.214.28.178 with 31 connections (178.pichincha.andinanet.net.)

Banned the following ip addresses on Thu Sep 11 17:40:02 CEST 2014
BANNED: 183.89.44.120 with 78 connections (mx-ll-183.89.44-120.dynamic.3bb.co.th.)
BANNED: 200.178.118.82 with 65 connections ()
BANNED: 185.53.168.59 with 50 connections ()
BANNED: 97.77.104.22 with 45 connections (rrcs-97-77-104-22.sw.biz.rr.com.)
BANNED: 91.195.14.50 with 43 connections (91-195-14-50.rdsnet.ro.)
BANNED: 41.89.96.42 with 38 connections ()
BANNED: 203.172.170.83 with 38 connections ()
BANNED: 200.128.81.8 with 36 connections (;; connection timed out; no servers could be reached)
BANNED: 115.114.148.68 with 36 connections (115.114.148.68.static-pune.vsnl.net.in.)
BANNED: 23.244.180.90 with 35 connections (90.180-244-23.rdns.scalabledns.com.)
BANNED: 195.154.91.100 with 35 connections (195-154-91-100.rev.poneytelecom.eu.)
BANNED: 195.62.78.253 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:41:01 CEST 2014
BANNED: 216.82.243.83 with 54 connections (proxy20.messagelabs.net.)
BANNED: 182.16.253.232 with 40 connections (;; connection timed out; no servers could be reached)
BANNED: 61.100.226.233 with 39 connections ()
BANNED: 185.13.225.138 with 37 connections ()
BANNED: 220.227.50.164 with 34 connections ()
BANNED: 201.76.11.154 with 32 connections (gw-wllserver2-11.154.tro.contato.net.)
BANNED: 201.199.134.195 with 32 connections ()
BANNED: 91.75.85.235 with 31 connections ()
BANNED: 103.15.62.170 with 31 connections (static-103-15-62-170.ctrls.in.)
BANNED: 200.141.210.155 with 30 connections ()

Banned the following ip addresses on Thu Sep 11 17:42:01 CEST 2014
BANNED: 185.28.22.119 with 53 connections ()
BANNED: 107.182.16.187 with 53 connections ()
BANNED: 104.131.250.241 with 42 connections ()
)

Desde Barcelona no puedo acceder :(
parece que el atacane no se da por vencido...

Hola; vereis, y, si no es molestia, claro esta, quisiera aprovechar este tema concreto para, bueno, comentar una cosa dado el ataque al foro y mi "no-molestia" de ejecutar/actualizar antivirus en mis ordenadores.
Entonces, el caso es que vivo en España, y, al acceder al foro, me aparece un mensaje informandome del bloqueo de IP y haciendo referencia desde donde se realiza el ataque (entre los cuales no esta España).
Por otra parte, y, haciendo mencion a lo que he comentado antes de que no acostumbro a hacer limpieza con aplicaciones tipo antivirus o antimalware (por ejemplo), quisiera pedir disculpas por los problemas causados en caso de que mi ordenador haya podido ser utilizado por otros para realizar el ataque.
No obstante, y, si no es molestia, claro esta, no quiero solicitar el retiro del baneo de mi IP dado el caso, pero, ya que estoy aprovechando un mobil para dar internet a un ordenador con, digamos, "cierta antiguedad y averias", quisiera solicitaros informacion y/o consejo (y a ser posible por privado, si os parece bien) sobre la posibilidad de que este ordenador sea comprometido para ser usado dentro de la botnet.
Bueno, pues, y, dada la situacion, me disculpo por las molestias causadas, y, muchas gracias por vuestra atencion.
Saludos.

En que quedamos? Es ese AK-47? Pidió disculpas pero sigue atacando o que??

Saludos!

Dios, qué hijo de put*...
Ha estado caído toda la mañana y justo ahora funciona lentísimo...

Una duda, ¿el proveedor no tiene algún sistema anti-ddos?... deberías contactar con los departamentos de abuso de webfusion, por ejemplo, para que suspendan sus servidores...

mucho cuidado, hay muchos encubriendolos, aun no se sabe si realmente ese es la persona y esa pagina sea de el, no le hagan nada aun. mientras tanto sería sano cerrar este post, ya le hemos hecho demaciada publicidad. Mientras tanto seguiremos el conducto legal con lo que ya tenemos.

(http://i.imgur.com/21bWdXm.jpg)


El hijo no reconocido de

(http://www.diarioregistrado.com/upload/news/diarioregistrado/535991d38737f.jpg)

Cualquier información extra se agradece, pueden enviarlo a staff@elhacker.net

Hay mucha información falsa y otras reales, intentaremos organizar todo ello.

Mientras tanto podemos seguir utilizando el foro con total normalidad.

Gracias a todos por la ayuda.

crazykenny el error 403 forbidden que has visto, no e sun baneo, es un bloqueo.

CitarHTTP 403 Forbidden Error Sorry, you're from China, Tailandia, Rusia or Brasil and some block ip's from these countries were blocked temporarily due to DDoS attack. Please contact to webmaster@elhacker.net for further information

Y por error he bloqueado un rango que no tocaba, ya está teóricamente solucionado.