Respuesta: Nuevo Ataque DDoS Get's Mayo 07 - SOLUCIONADO

Iniciado por el-brujo, 7 Mayo 2007, 11:37 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2 3 4 5 6 7
Acciones del Usuario

el-brujo

7 Mayo 2007, 11:37 AM Ultima modificación: 16 Mayo 2007, 18:11 PM por el-brujo
Explicación del ataque DDoS

El ataque en imágenes (Gráficos del tráfico)



Duración del ataque: Viernes 4 , sábado 5 y domingo 6 Mayo 2007.

Método del ataque

Petición GET /index.php con 2.000 zombies cada 20 minutos aproximadamente.

Simplemente un "GET", es una llamada del navegador al index del foro. Es decir, muchos zombies visitando la página principal del foro.

Impacto

¿Qué ocurre?

Tantas peticiones seguidas y de diferentes ip's al index del foro hacen que el MySQL del foro se colapse y el foro no funcione.

Solución

Primero se deshabilitó que los Visitantes (usuarios no registrados) pudieran navegar por el foro. Por eso salían 2.000-3.000 usuarios visitantes on-line en el foro.

Este método es efectivo, pero sigue consumiendo muchos recursos (hace consultas al MySQL para contar los invitados).

El acceso al foro para invitados está siempre activado (sólo se activa automáticamente en caso de ataque).

Buscando otra solución....

¿Cómo distinguir si la persona que entra al foro es usuario normal o es un zombie?

Busquemos un patrón:

- HTTP_Referer --> Nulo, entran directamente. Y un visitante normal también es posible que entre directamente (desde favoritos, etc).

- Sistema Operativo --> la mayoría de los bots usan Windows XP, pero no podemos decirle al foro que no deje entrar usuarios con Windows XP jeje

- Navegador --> los zombies usan Internet Explorer con diferentes versiones, pero de nuevo no podemos denegar el acceso a TODOS los que usen el IE.

¿Cómo lo hacemos?

javascript "alert" (ventanita que requiere confirmación por parte del usuario) que se carga al principio del foro y "verifica" si la petición es "humana" o no. Si es un bot (no humana) no sabe hacer click en aceptar y se queda a la espera (no se carga el index del foro y por lo tanto no consume recursos).



Si aceptas se guarda una cookie que verifica "tu humanidad". Si no eres bot, puedes ver el foro.

Esta ventana solo aparece una vez, la primera vez que entras al foro (a no ser que borres las cookies), aunque ayer saliera repetidamente, ya que se estaban realizando pruebas.

¿Porqué hay tantos infectados?

El método de infección es vía Messenger.

Si alguien cree que está infectado o tiene muestras del posible virus que envie la muestra a staff@elhacker.net para su posterior análisis. Gracias.

Estado actual

Solucionado con JS.

¿Hasta cuándo?

Hasta que el atacante se canse.

¿Quién ha sido?

No se sabe, ¿hay miedo a decirlo por posibles represalias? xD

Ignor

#1
7 Mayo 2007, 15:28 PM
e descubierto que en mi ordenador habia un zombie que controlaba  un programa llamado doshttp(o eso creo) y este programa estaba orientado a este foro...
tenia la firma de un tal moskito o algo asi
ya le he borrado.....

ReViJa

#2
7 Mayo 2007, 15:43 PM Ultima modificación: 7 Mayo 2007, 15:45 PM por Tesis
Excelente vuestro trabajo ya que seguro que es una de las web mas atacadas y siempre esta on-line.


Un saludo.

Mad Antrax

#3
7 Mayo 2007, 20:42 PM
Cita de: Eldor en  7 Mayo 2007, 15:28 PM
e descubierto que en mi ordenador habia un zombie que controlaba  un programa llamado doshttp(o eso creo) y este programa estaba orientado a este foro...
tenia la firma de un tal moskito o algo asi
ya le he borrado.....

AVISO

Bueno, aprovecho para avisar a los demas usuarios del foro que si encontrais en vuestro PC algun programa parecido a "DoS-HTTP" "HackTool" o similares que nos envíen una copia del archivo a cualquier Moderador/Colaborador/Administrador del foro.

Teniendo en nuestras manos el propio programa que realiza los ataques será más facil detenerlo.

Gracias a todos!! :)
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

T.R.U.A

#4
7 Mayo 2007, 20:47 PM
Y que haran cuando tengan esos programas???  :P


:xD
:)

Thor

#5
7 Mayo 2007, 20:52 PM
Saber como atacan, desde donde se controlan, enviarselos a los antivirus, cosas de esas.

Ignor

#7
7 Mayo 2007, 22:12 PM
he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?

T.R.U.A

#8
7 Mayo 2007, 22:17 PM
Cita de: Eldor en  7 Mayo 2007, 22:12 PM
he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?

enviamelo a mi tmb ;)
:)

ghastlyX

#9
7 Mayo 2007, 23:09 PM
Cita de: T.R.U.A en  7 Mayo 2007, 20:47 PM
Y que haran cuando tengan esos programas???  :P


:xD
Si tenemos el programa podemos saber qué hacen exactamente.

Cita de: Eldor en  7 Mayo 2007, 22:12 PM
he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?
Mándalo a cualquiera del staff, como te dijo ||MadAntrax||

Un saludo de ghastlyX ;)
Imprimir
Ir Arriba Páginas1 2 3 4 5 6 7
Acciones del Usuario