Foro de elhacker.net

Buenas, bueno tengo un problema un hijo de p**a esta que esta jodiendo a medio SAMP y ahora va por mi servidor, el tipo junta las ip de los usuarios de el nose como y con esas ip ataca y asi pasa todo el dia el tipo es conocido como NetZeek una vez tipo este foro junto a su amigo Neptuno, y mi duda es como podria parar este flodeo que impide a los usuarios reales logear, las ips son todas diferentes, en 1m me flodea el log a 1gb igual que recomendais hacer es al puerto 7777 udp, actualmente cuento con un dedicado game de ovh pero ni eso aguanta..


(http://img.fenixzone.net/i/K4eLhRx.png)

---

· Los titulos deben ser descriptivos
>aquí las reglas del foro (http://foro.elhacker.net/reglas.htm)
-Engel Lex

Hola, también soy del mundo del "SA-MP" y también conozco a netzeek, o Osvaldo pingote, como se llama en su servidor, primero que nada, samp está lleno de vulnerabilidades, ya deben ser reparadas desde el cliente... Lo que hace el es aprovecharse unas de ellas, query flood, es un flood que hace que el servidor deje de responder en cuanto a los jugadores, como ddos, no sabría bien decirte como defenderte de esto, ese envía ataques muy potentes, y además, recién estoy empezando en el tema de seguridad, pero como te dije, son vulnerables del cliente

Sigue existiendo SAMP jajajaj  que recuerdos.... bloquea  por donde te están viniendo los ataques.

y como sabes que es ese "netzeek" el que te esta atacando?


por otra parte, SA-MP es una porqueria... basta con mandar una query haciendo IP spoofing con la IP del mismo servidor, y el servidor se respondera solo, y entrara en un bucle infinito que aumentara el uso del CPU al 100%.

consegui un host con proteccion DDoS que te proporcione un buen firewall que pueda frenar esos ataques.

lo mas probable es que sea algun pelotudito con esos booters gratuitos que andan por ahi, con eso basta para tirar cualquier servidor hosteado en un vps pedorro.

EDIT: no vi que tenias dedicado Game en OVH. ese ataque parece un SYN Flood. tenes que configurar el firewall desde el panel de control de OVH, ellos te proporcionan un firewall especializado para juegos si tenes ese plan. ahi es donde tenes que configurar las reglas. en el apartado "IP", en el menu desplegable hay una opcion que dice "configurar firewall".

tambien te puede servir de algo activar la mitigacion permanente, en el mismo menu.

Si dices que  te ataca con las Ip's de sus usuarios tal vez te está atacando con un iframe no tienes cloudflare? activa el i'm under attack. El servidor es windows por lo que veo no?

confirmado XD es un ataque por iframe
https://www.youtube.com/watch?v=jPQfpCLGaDQ

Activa el im under attack y a volar wey

ese video es del 2008...
es un servidor SA-MP, no un servidor web.

Da lo mismo que sea de 2008 según la explicación todo apunta a un iframe

no es un servidor web, por lo tanto no puede protegerlo con cloudflare ni activar el modo under attack. no lo pueden atacar por iframes porque no es un servidor web.

se trata de un servidor sa-mp, un juego multijugador.
podria juntar las ips de sus usuarios y hacer ip spoofing. pero no creo que sea el caso.

dice que lo ataca con la ip de sus usuarios, pero como sabe que esas ip son de sus usuarios?
ni siquiera creo que lo este atacando ese tal "netzeek". lo que sucede es que en la comunidad que maneja este tal "osvaldo pingote" hay muchos nenes de entre 12 y 16 a;os que se dedican a hacer videos en youtube acusando y hablando pabadas, al tipo lo tienen como una "leyenda", el dios del hacking, que puede romper toda medida de seguridad porque el es "netzeek" y nada mas.
eso es lo que sucede, esta gente ve esos videos y repite lo que escucha. ni siquiera se sabe a ciencia cierta si ese usuario "osvaldo pingote" es el mismo "netzeek".

(no quiero desprestigiar al se;or netzeek, no lo conozco pero por lo que se el tipo tiene conocimientos de verdad)

lo mas probable es que este usuario no haya configurado su firewall y lo esten atacando con algun stresser gratuito. para mi es un ataque SYN flood. basta con configurar algunas reglas en el firewall de OVH y seria suficiente para no verse afectado por el ataque.

Pajarito434,

al principio te crei. Pero creo que estas haciendo propagando para ese "netzke", joder como se llame ese pendejo. No ese el que "supuestamente" hizo un ataque "de la gran 7" a este foro?

A ver admins.. este foro sufrio una vez un ataque de un mes? Veras que todos los administradores lo negaran.

Deja de hacer propaganda de ese estupido. Ningun ser humano que este bien de la redonda te creera. Esa imagen parece que vos mismo escribiste todas esas ip y esa caca.

Recien te creere si pones un video.

(http://sp6.fotolog.com/photo/54/35/76/netzeek/1237924796675_f.jpg)

ese tipo "netzeek" fue conocido por programar un virus que se esparcia en la epoca de msn messenger, una vez infectado te hacia parte de una botnet y enviaba un mensaje con el ejecutable adjunto a todos los contactos del infectado para poder esparcir el virus.
creo utilizo esos bots para atacar este foro.

eso es lo que tengo entendido.

en cuanto a lo que propone este usuario, esta claro que es basura. si te pones a investigar sobre la comunidad que maneja este tal "osvaldo pingote" que segun dicen ahi es "netzeek", esta lleno de nenes hablando pabadas y haciendo videos sobre "el hacker mas peligroso del mundo" y blabla.

como sabe que esas ips son de usuarios de su comunidad? acaso tiene una puerta trasera para acceder a sus servidores, mirar los logs y comprobarlo?
como sabe que lo esta atacando "netzeek"? tiene un troyano en la computadora personal de este tipo y monitorea los ataques que lanza con su "super botnet"?

facil. ve videos en youtube de usuarios de esa comunidad que hablan toda esa *****, hasta andan diciendo que el tipo esta siendo buscado por el fbi o la cia, pura estupidez...

lo del ataque debe ser cierto, pero el usuario se nota que es un consumidor de ese tipo de videos y esta confundido.

si no configuras bien tu firewall, cualquier salame sin un gramo de conocimiento va a poder tirar tu servidor. si no, mete la ip de tu servidor en freebooter.co, beststresser.com, freestresser.com, etc y vas a ver como tu servidor se cae. por que? porque no configuraste tu firewall para que bloquee este tipo de ataques.

si necesitas ayuda para configurar el firewall responde aca y con gusto te ayudaremos.

Hola, este post es viejo, pero, que más da contestarlo ;D.

(https://i.imgur.com/yYcFQEj.png)

Lo que estabas recibiendo es un query cookies y primero vamos a fixear el problema que tienes en el server log, que es muy importante, ya que, tu servidor se podría caer por esto mismo, aunque el ataque ya lo tuvieras parcheado.

Lo único que debes hacer es poner en el server.cfg la siguiente linea.
cookielogging 0

Bien, ya no se debería de loguear en el server log.

Ahora veamos como se ve el ataque con un pcap.

(https://i.imgur.com/fQsRue4.png)

Subraye lo más importante.

Bien, ahora, ¿cómo pararlo? Podemos utilizar dos técnicas, la primera, implemetar reglas por iptables, como está;

iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 7777 -m string --algo bm --hex-string '|081e77da|' -j DROP

Con esta regla, no creo que puedas llegar tan lejos, por culpa de la botnet  :-\. Entonces, la única solución es una whitelist. Estas whitelist ya se han estado probando y por ahora estos ataques, que, por años han sido muy dificiles de solucionar, ya están fixeados  ;-).