elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Sugerencias y dudas sobre el Foro (Moderador: el-brujo)
| | |-+  Respuesta: Nuevo Ataque DDoS Get's Mayo 07 - SOLUCIONADO
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: Respuesta: Nuevo Ataque DDoS Get's Mayo 07 - SOLUCIONADO  (Leído 16,232 veces)
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.002


La libertad no se suplica, se conquista


Ver Perfil WWW
Respuesta: Nuevo Ataque DDoS Get's Mayo 07 - SOLUCIONADO
« en: 7 Mayo 2007, 11:37 am »

Explicación del ataque DDoS

El ataque en imágenes (Gráficos del tráfico)



Duración del ataque: Viernes 4 , sábado 5 y domingo 6 Mayo 2007.

Método del ataque

Petición GET /index.php con 2.000 zombies cada 20 minutos aproximadamente.

Simplemente un "GET", es una llamada del navegador al index del foro. Es decir, muchos zombies visitando la página principal del foro.

Impacto

¿Qué ocurre?

Tantas peticiones seguidas y de diferentes ip's al index del foro hacen que el MySQL del foro se colapse y el foro no funcione.

Solución

Primero se deshabilitó que los Visitantes (usuarios no registrados) pudieran navegar por el foro. Por eso salían 2.000-3.000 usuarios visitantes on-line en el foro.

Este método es efectivo, pero sigue consumiendo muchos recursos (hace consultas al MySQL para contar los invitados).

El acceso al foro para invitados está siempre activado (sólo se activa automáticamente en caso de ataque).

Buscando otra solución....

¿Cómo distinguir si la persona que entra al foro es usuario normal o es un zombie?

Busquemos un patrón:

- HTTP_Referer --> Nulo, entran directamente. Y un visitante normal también es posible que entre directamente (desde favoritos, etc).

- Sistema Operativo --> la mayoría de los bots usan Windows XP, pero no podemos decirle al foro que no deje entrar usuarios con Windows XP jeje

- Navegador --> los zombies usan Internet Explorer con diferentes versiones, pero de nuevo no podemos denegar el acceso a TODOS los que usen el IE.

¿Cómo lo hacemos?

javascript "alert" (ventanita que requiere confirmación por parte del usuario) que se carga al principio del foro y "verifica" si la petición es "humana" o no. Si es un bot (no humana) no sabe hacer click en aceptar y se queda a la espera (no se carga el index del foro y por lo tanto no consume recursos).



Si aceptas se guarda una cookie que verifica "tu humanidad". Si no eres bot, puedes ver el foro.

Esta ventana solo aparece una vez, la primera vez que entras al foro (a no ser que borres las cookies), aunque ayer saliera repetidamente, ya que se estaban realizando pruebas.

¿Porqué hay tantos infectados?

El método de infección es vía Messenger.

Si alguien cree que está infectado o tiene muestras del posible virus que envie la muestra a staff@elhacker.net para su posterior análisis. Gracias.

Estado actual

Solucionado con JS.

¿Hasta cuándo?

Hasta que el atacante se canse.

¿Quién ha sido?

No se sabe, ¿hay miedo a decirlo por posibles represalias? xD


« Última modificación: 16 Mayo 2007, 18:11 pm por el-brujo » En línea

Since 2001
Ignor

Desconectado Desconectado

Mensajes: 272



Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #1 en: 7 Mayo 2007, 15:28 pm »

e descubierto que en mi ordenador habia un zombie que controlaba  un programa llamado doshttp(o eso creo) y este programa estaba orientado a este foro...
tenia la firma de un tal moskito o algo asi
ya le he borrado.....


En línea

ReViJa

Desconectado Desconectado

Mensajes: 149


Ver Perfil WWW
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #2 en: 7 Mayo 2007, 15:43 pm »

Excelente vuestro trabajo ya que seguro que es una de las web mas atacadas y siempre esta on-line.


Un saludo.
« Última modificación: 7 Mayo 2007, 15:45 pm por Tesis » En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #3 en: 7 Mayo 2007, 20:42 pm »

e descubierto que en mi ordenador habia un zombie que controlaba  un programa llamado doshttp(o eso creo) y este programa estaba orientado a este foro...
tenia la firma de un tal moskito o algo asi
ya le he borrado.....

AVISO

Bueno, aprovecho para avisar a los demas usuarios del foro que si encontrais en vuestro PC algun programa parecido a "DoS-HTTP" "HackTool" o similares que nos envíen una copia del archivo a cualquier Moderador/Colaborador/Administrador del foro.

Teniendo en nuestras manos el propio programa que realiza los ataques será más facil detenerlo.

Gracias a todos!! :)
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
T.R.U.A

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #4 en: 7 Mayo 2007, 20:47 pm »

Y que haran cuando tengan esos programas???  :P


 :xD
En línea

:)
Thor


Desconectado Desconectado

Mensajes: 1.177


Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #5 en: 7 Mayo 2007, 20:52 pm »

Saber como atacan, desde donde se controlan, enviarselos a los antivirus, cosas de esas.
En línea

T.R.U.A

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #6 en: 7 Mayo 2007, 21:21 pm »

enviarselos a los antivirus

 :xD
En línea

:)
Ignor

Desconectado Desconectado

Mensajes: 272



Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #7 en: 7 Mayo 2007, 22:12 pm »

he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?
En línea

T.R.U.A

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #8 en: 7 Mayo 2007, 22:17 pm »

he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?

enviamelo a mi tmb ;)
En línea

:)
ghastlyX
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.900



Ver Perfil
Re: Respuestas: Nuevo Ataque DDoS Get's masivos 4-5-6 Mayo 07
« Respuesta #9 en: 7 Mayo 2007, 23:09 pm »

Y que haran cuando tengan esos programas???  :P


 :xD
Si tenemos el programa podemos saber qué hacen exactamente.

he encontrado un archivo relacionado con el zombie que encontre
aquien se lo envio para que lo examine?
Mándalo a cualquiera del staff, como te dijo ||MadAntrax||

Un saludo de ghastlyX ;)
En línea

Páginas: [1] 2 3 4 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines