Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Graber en 14 Mayo 2017, 06:25 am



Título: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: Graber en 14 Mayo 2017, 06:25 am
Un amigo me recomendó postear aca por que quiza me puedan ayudar, es sobre servidores SAMP, muevan el tema, borrenlo si quieren, todo lo que busco es ayuda y si no bueno, vine al lugar equivocado jaja.

Bueno, hoy de tarde me di cuenta que me han violado el query del server sin embargo el servidor estaba funcionando normalmente, al rato voy a ver los logs y me di cuenta que habia subido de tamaño exponencialmente. En una semana usual con 40 playuers llegaba a 50 megas, y hoy de la nada dio el saltó a 600 megas, lo peor fue que deje pasar 10 minutos y aumentó 100 megas mas. Estoy hablando de hace un par de horas que sucedió esto.

Logre descargar el log, y me di cuenta que estaban floodeando conexiones mediante una botnet masiva, floodeaban las cookies, tuve la suerte de darme cuenta a tiempo, sino se hubiese llenado el disco duro, vaya lio hubiera sido ahi jaja.

Como dije estaban floodeando las cookies, es una botnet muy bien estructurada al parecer, el log pesa 600 megas, aca posteare un fragmento que pegue en pastebin.

https://pastebin.com/d3hcnnxS (https://pastebin.com/d3hcnnxS)

El log completo (le intente recortar partes irrelevantes, se supone que está donde recien empieza el ataque):
http://vps128854.vps.ovh.ca/loga.txt (http://vps128854.vps.ovh.ca/loga.txt)

Si lo descargan porfavor haganlo con el fín de ayudarme, igual no hay mucha informacion sensible ahi.

Me sorprende igual que un server de 3,50 euros de OVH este soportando esto jaja. Alguna solucion? Es una botnet demasiado grande al parecer, ni idea como hare contra algo asi jaja.


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: engel lex en 14 Mayo 2017, 06:29 am
que sistema operativo usa el servidor?


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: Graber en 14 Mayo 2017, 06:31 am
que sistema operativo usa el servidor?
OVH Release 3, que hasta donde se es basicamente un CentOS 6.9 con el set LAMP (PHP, Apache, phpmyadmin y MySQL) y Webmin.

Acabo de reiniciar hace 10 minutos y incluso sin el server iniciarse por completo viene el lammer infeliz:

vps128854.vps.ovh.ca/server_log.txt

Ese log es de como 10 minutos antes de publicar esto (La hora es GMT -4 creo)


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: engel lex en 14 Mayo 2017, 07:03 am
te recomiendo implementes while list, es decir que se registren y solo permitas la conexión a las ip registradas

realmente desconozco el protocolo que usa ese programa pero si das un poco más de info te podría ayudar a configurar las iptables


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: Graber en 14 Mayo 2017, 07:18 am
te recomiendo implementes while list, es decir que se registren y solo permitas la conexión a las ip registradas

realmente desconozco el protocolo que usa ese programa pero si das un poco más de info te podría ayudar a configurar las iptables
Bueno veras te explico, es un servidor de juego San Andreas Multiplayer, la gente se supone que se registra dentro del juego como en todo largo ya que un registro web ahuyentaria al usuario. tomalo como un server cs pirata solo que aca no se puede distinguir entre pirata y original jaja, entonces no creo que una whitelist sea la solucion

Es UDP el protocolo.


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: engel lex en 14 Mayo 2017, 07:21 am
busca si hay mods anntiddos para el server... si la conexión no es por ip directa puedes intentar con cloudflare que es gratuito


Título: Re: Ayuda, botnet masiva haciendo un SAMP cookie flood.
Publicado por: Graber en 14 Mayo 2017, 07:28 am
busca si hay mods anntiddos para el server... si la conexión no es por ip directa puedes intentar con cloudflare que es gratuito
si se me ocurrio cloudflare pero no hay manera de pasar samp por ahi, igual ya estoy buscando ayuda en los foros del samp pero un amigo me recomendo postear aca tambien y bueno jaja