Optimizando la MySQL No se asusten!

z3nth10n · 9 Mayo 2013, 21:20 PM

Ya eso he pensado yo, pero las peticiones se hacen desde la pc no desde el iframe, es decir que la ip que queda registrada es la del atacante no la de la web desde donde se realiza el ataque.

Flamer · 9 Mayo 2013, 22:02 PM

el brujo dio con la web de esas personas por que en esa web se alojan los iframes el codigo encargado de hacer el ddos que es la que quedo guardada en el server del brujo, la pagina la publico el brujo pero ya fue borrada por que si tu abrias esa pagina asias varias petisiones al foro lo cual no era bueno.
Para que entiendas los zombies se conectaban a esa pagina de los iframes y la pagina asia lo suyo.
Un iframe solo abre una ventana a sierta url y con munchas hay te lo dejo de tarea

saludos flamer y diganme si estoy mal

z3nth10n · 9 Mayo 2013, 22:21 PM

Lo de los zombies si lo entiendo, pues menos mal que ha neptuno no se le ocurrió hacer eso, si lo llega a hacer desde sus 75k de computadoras se carga el server al instante xD

Brujo, que crees que hubiese pasado así?

WHK · 9 Mayo 2013, 22:47 PM

Vaya, recién entro a este post xD son los mismos tipos que me atacaron a mi hace como dos o tres semanas atrás, y también atacaron a cl-security.net, causaron que nos llegaran correos de hostgator diciendo que nos iban a hechar xD y tubimos que mover de lado nuestras paginas personales para que eso no pasara.

el-brujo · 9 Mayo 2013, 22:57 PM

Citary ahora que sabes quienes son, que pasara ahora una denuncia a la policia o que es lo que sigue ?

Siendo de la República Dominicana es bastante complicado porque hay que pedir una comisión rogatoria.

Ya les han borrado el vídeo que reporté a youtube

https://www.youtube.com/watch?v=khXXU67CC2Y

CitarEste vídeo se ha retirado debido a una infracción de la política de YouTube relacionada con el spam, con las estafas y con el contenido comercial engañoso.

el de hackear facebook que tenía 30.000 visitas

y links borrados de los programas con los que infectaban:
http://www.mediafire.com/?17f58jpaashjt2c
http://www.mediafire.com/?r77qllfs70d73df

¿A que no saben quién los reporte a mediafire?

Esta tarde sobre las 18:00 han mandado otro ataque, pero sin usar la página de los iframes. Era simplemente un ataque directo haciendo peticiones al index.php sin user agent ni referer.

Netzeek y n3pun0 también usaban iframes para amplificar el ataque, es algo muy común. Pero las 75k infectados no atacan de golpe, no todos están conectados a la vez.

De hecho en 2006 escribí sobre ello en el foro:

Bloqueando un ataque Iframe
http://foro.elhacker.net/seguridad/bloqueando_un_ataque_iframe-t127481.0.html

Citar
también atacaron a cl-security.net

hicieron un vídeo y todo jaja

http://www.youtube.com/watch?v=k61QmcVMpGg

WHK · 9 Mayo 2013, 23:03 PM

Yo pude detener los iframes con un htaccess en la raiz principal del servidor WEB:

Código [Seleccionar]

Header always append X-Frame-Options SAMEORIGIN

RewriteEngine On
RewriteCond %{HTTP_HOST} !^botnet.drawcoders.com [NC]
RewriteCond %{HTTP_REFERER} ^http://flowflash.webs.com/ [NC]
RewriteRule ^(.*)$ http://botnet.drawcoders.com/flowflash.webs.com/ [R=301,L]

Stakewinner00 · 9 Mayo 2013, 23:04 PM

Yo también reporte diferentes webs y vídeos de esos tipos. Haber si cierran alguna. Por mucho que sería mas interesante troyanizarles la PC y asustarlos un poco.

PD: Es vergonzoso que solo se dediquen a atacar webs sin ningún motivo. Hay, que penoso ...

PPD: por que no lo llamamos al celular XD

el-brujo · 9 Mayo 2013, 23:10 PM

bueno flowflash.webs.com ya no existe xDD

aquí estamos usando mod_security, estaban usando mundovirtualxat de webs.com

los redireccionamos a una iso:

Código [Seleccionar]

SecFilterSelective HTTP_Referer|ARGS "mundovirtualxat\.webs\.com""nolog,redirect:ftp://ftp.rediris.es/mirror/CentOS/6/isos/x86_64/CentOS-6.4-x86_64-bin-DVD1.iso"

WHK · 9 Mayo 2013, 23:15 PM

eeehhm ese iso no existe xD
porque no los redireccionas hacia un enlace un poco mas entretenido? por ejemplo a algún exploit de internet explorer 8 y 9, no creo que usen sockets, lo mas normal es que esten utilizando ieframe.dll para que pueda interpretar los iframes y redirecciones.

Y si los redireccionas hacia una de esas paginas que te pagan por ver publicidad? xD

OmarHack · 9 Mayo 2013, 23:17 PM

Estes para la semana ya tienen un nuevo vídeo para hacer una botnet más grande. Y para el mes ya vuelven a atacar. Lo peor es lo que dice WHK, qué por culpa de dos mongolos tengáis problemas con vuestro proveedor de hosting.