En TodoJuegos.com estamos sufriendo un ataque de denagación de servicio. Hemos abierto este blog en Blogspot para hacer un seguimiento (a lo mejor algún día le sirve a alguien) y para aceptar sugerencias y ayuda. Iremos actualizando con la evolución del ataque, contramedidas, etc.
no puedo editar, perdon, me referia a acortar el tiempo de SYN+ACK y recortar el tiempo que mantiene activa una conexion. (Como ya dije, no estoy muy metido en esto)
Si, cierto, pero hay un límite de cosas a atacar y al final, si el botnet que tiene el tio es ENORME, va a dar igual lo que hagamos, nos va a dejar tirados el tiempo que quiera, así que mejor compartirlo con todos a ver si la mente colectiva funciona mejor que la del "amigo" que ataca.
#15, por lo que he leido, iptables, no usa mucho procesador para dropear las peticiones, y puede leerlas desde la ram, lo que no deberia cargarte el disco duro.
pd: No es que me importe, pero la idea (aunque fallida) del timeout y el keep alive ha sido mia
#13, depende de la CPU supongo, pero no creo que sea mas problematico que estar devolviendo peticiones
Seria interesante saber si lo que ha infectado es el navegador del zombie, o las peticiones las hace un programa residente. Si el el navegador lo que esta infectado, devolver un javascript con carga de procesador (for, while, ...) podria funcionar.
#10, ¿Las peticiones se repiten desde la misma IP? si es así y no lo has hecho ya, podrias banear todas las que se han repetido tres veces o mas en la ultima media hora. Con el log, un script ( o pipes ) y iptables, no deberia ser complicado.
Un parche temporal para relentizar el ataque, seria negar en servicio a todas las maquinas windows y banear directamente esa ip hasta que pase el ataque, ahora si, no se si aguantara el procesador ni la red para identificar la maquina.
(edit) #22 no se si alguien con 50k o 60k de zombies lo considerari yo tonto (no quisiese que atacases mi maquina) :$
He observado tambien que no envia SYN+ACK simplemente SYN, podrias usar ese patron para identificar las conexiones, o bajar el tiempo de respuesta del servidor.
Google, aunque tenga un ancho de banda brutal, es una pagina muy ligera, si solo hace las conexiones, pero no descarga nada, una ip inexistente puede ser una buena opcion.
No se si será etico, pero la página podria devolver una redireccion a alguna página con bastante contenido multimedia (ancho de banda), tu gasto de ancho de banda seria pequeño, y podria relentizar el ataque. (No se mucho de esto, se me ha ocurrido a bote pronto).
No creo que puedas postearlo, pero seria interesante saber las caracteristicas del servidor (Unix, Windows, Mac, ...) así como si lo administras tu o una empresa de hosting.
#23, solo un tonto inicia un ataque así, si tuviera dos dedos de frente u otras intenciones seria algo mas discreto. ¿No crees?
Lanzar un bot y que se lo coman miles de maquinas windows no es dificil ni complicado desgraciadamente, mandar esas maquinas ha lanzar un ataque es tambien tan simple como mandar un correo electrónico, hacerle pensar y reconfigurarlo todo es otro cantar.
Piensa otra cosa, los zombies no aceptan ordenes de personas si no de bits. Busca cualquiera de esos zombies e intenta capturarlo tu, así podrás conocer el origen.
#21, si pero tu puedes tambien añadir una regla sobre el agent, y con eso y lo otro, tendria que comerse el coco.
Te aconsejo que crees 2 o mas reglas relativas al ataque, con eso tendrás tiempo tú para armar mejor la maquina y él tendrá que saber por qué no le funciona el ataque. Con una regla nada mas, podria averiguarlo, con dos ya es un prueba y acierta a ciegas, y eso a la gran mayoria de los tontos los hace desistir.
Otro detalle que se puede valer y mucho.
He revisado varias de las ips que estan pilladas y TODAS estan listadas en PBL de spamhaus. Ya tienes tu regla mágica. jeje
tenemos un paso hecho, ahora el segundo. Instala el mod bandwith o similar y creale una regla de limitación de ancho de banda si se cumple la regla ( la de mod security claro), con eso deberia limitarte sus entradas y por ende las peticiones aceptadas del servidor.
a ver si me entero, ¿Han registrado un dominio y las dns las han puesto apuntando a tu server?, .
es otr amanera de atacar eso no hay duda, jeje, lo que no entiendo es que un dominio nuevo tenga tantas visitas, ¿no será provocada la situación?.
¿Ha registrado un dominio, ha dejado su nombre y teléfono, para atacar una web?
Pero que ganas de liar las cosas y cuanta mala leche, porque le tiene que haber dado muchas vueltas para pensar como hacerlo.
El mod_security no es suficiente...
Le digo que me dropee todas las peticiones que vayan a login.php , lo que hace correctamente, pero eso hace que puedan entrar mas peticiones de los bots, con lo que las conexiones máximas siempre están saturadas...
32: Ni idea chico, es raro de cojones. Para empezar registra dos dominios apuntando a nuestra máquina, y a continuación llega el cojo ataque. Ya tenemos registradas 37748 IPs distintas desde las que dan cera...
Lo de registrar varios dominios y apuntarlos a nuestro servidor suena fatal, demasiadas molestias para un ataque chorras.
He escrito al colega ruso, a ver si da señales de vida. Desde luego no tiene tantas visitas, son demasiados y todos con el mismo user_agent.
25: Eso está muy bien, un paso adelante para identificar de donde viene, el problema es que no puedo poner una regla para cada entrada del spamhaus, se me muere la máquina
#5: He considerado redirigir el tráfico a Google, pero si consideran el tráfico que mando como Spam o similar y nos bajan de los rankings es peor el remedio que la enfermedad ejjejeje
¿Tal vez mandarlo a una IP inexistente?
El servidor es un Linux, con CentOS (siento no dar datos de versión o Kernel), máquina dedicada al web y con lo típico instalado (LAMP + APF de Firewall + etc...)
8: Fantástica idea. Lo acabo de hacer, bajando el timeout del apache al mínimo además de desactivar el KeepAlive, pero me ha servido sólo para darme cuenta de la magnitud del Botnet del fulano. Que bestia, como entran los paquetes...
Vuelvo a subir el timeout para que no me tire la máquina...
9: Me temo que no son servers hackeados, tiene pinta de botnet "Cliente Windows", la cantidad de IPs distintas es bestial. Me estoy haciendo un script para guardar las distintas IPs, a lo mejor a alguien le resulta útil (¿Unidad de delitos informáticos?, ¿Investigadores de Botnets?)
18: Gracias por la sugerencia, es lo próximo a intentar, aunque quería probar antes todo lo demás, al fin y al cabo el tio sólo tiene que cambiar a donde apunta en cuanto se de cuenta...
Me he hecho un script para sacar las IPs diferentes desde las que se conectan y me salen 27710 en menos de media hora.
¿Alguien sabe si APF/Iptables puede con tanta IP sin zamparse la CPU?
Todas las líneas de log "parece" que vienen del mismo navegador:
- - [17/Nov/2008:13:34:20 -0600] "POST /login.php HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
Pero eso no es significativo, el user_agent se puede definir como se quiera. Me temo que devolver algo que "cargue" la máquina no serviría de mucho ya que imagino que descartarán las respuestas del web, sólo les interesa "cargar" nuestro servidor.
Comentarios
no puedo editar, perdon, me referia a acortar el tiempo de SYN+ACK y recortar el tiempo que mantiene activa una conexion. (Como ya dije, no estoy muy metido en esto)
Si, cierto, pero hay un límite de cosas a atacar y al final, si el botnet que tiene el tio es ENORME, va a dar igual lo que hagamos, nos va a dejar tirados el tiempo que quiera, así que mejor compartirlo con todos a ver si la mente colectiva funciona mejor que la del "amigo" que ataca.
#0
Leete http://www.danielclemente.com/ataque/ , el paso por lo mismo, te ayudara
DSoul: ego restituido
#15, por lo que he leido, iptables, no usa mucho procesador para dropear las peticiones, y puede leerlas desde la ram, lo que no deberia cargarte el disco duro.
pd: No es que me importe, pero la idea (aunque fallida) del timeout y el keep alive ha sido mia
Interesante pero... es un poco estúpido porque el presunto hacker tambien puede leer el blog y así saber lo que hacer y lo que no porque será inutil
#13, depende de la CPU supongo, pero no creo que sea mas problematico que estar devolviendo peticiones
Seria interesante saber si lo que ha infectado es el navegador del zombie, o las peticiones las hace un programa residente. Si el el navegador lo que esta infectado, devolver un javascript con carga de procesador (for, while, ...) podria funcionar.
#10, ¿Las peticiones se repiten desde la misma IP? si es así y no lo has hecho ya, podrias banear todas las que se han repetido tres veces o mas en la ultima media hora. Con el log, un script ( o pipes ) y iptables, no deberia ser complicado.
(edit) mira, me has "pisado" la idea
Un parche temporal para relentizar el ataque, seria negar en servicio a todas las maquinas windows y banear directamente esa ip hasta que pase el ataque, ahora si, no se si aguantara el procesador ni la red para identificar la maquina.
(edit) #22 no se si alguien con 50k o 60k de zombies lo considerari yo tonto (no quisiese que atacases mi maquina) :$
He observado tambien que no envia SYN+ACK simplemente SYN, podrias usar ese patron para identificar las conexiones, o bajar el tiempo de respuesta del servidor.
Tambien he encontrado un enlace que podria ayudarte: http://linuxgazette.net/137/takefuji.html
(edit)
Google, aunque tenga un ancho de banda brutal, es una pagina muy ligera, si solo hace las conexiones, pero no descarga nada, una ip inexistente puede ser una buena opcion.
No se si será etico, pero la página podria devolver una redireccion a alguna página con bastante contenido multimedia (ancho de banda), tu gasto de ancho de banda seria pequeño, y podria relentizar el ataque. (No se mucho de esto, se me ha ocurrido a bote pronto).
No creo que puedas postearlo, pero seria interesante saber las caracteristicas del servidor (Unix, Windows, Mac, ...) así como si lo administras tu o una empresa de hosting.
#23, solo un tonto inicia un ataque así, si tuviera dos dedos de frente u otras intenciones seria algo mas discreto. ¿No crees?
Lanzar un bot y que se lo coman miles de maquinas windows no es dificil ni complicado desgraciadamente, mandar esas maquinas ha lanzar un ataque es tambien tan simple como mandar un correo electrónico, hacerle pensar y reconfigurarlo todo es otro cantar.
Piensa otra cosa, los zombies no aceptan ordenes de personas si no de bits. Busca cualquiera de esos zombies e intenta capturarlo tu, así podrás conocer el origen.
#21, si pero tu puedes tambien añadir una regla sobre el agent, y con eso y lo otro, tendria que comerse el coco.
Te aconsejo que crees 2 o mas reglas relativas al ataque, con eso tendrás tiempo tú para armar mejor la maquina y él tendrá que saber por qué no le funciona el ataque. Con una regla nada mas, podria averiguarlo, con dos ya es un prueba y acierta a ciegas, y eso a la gran mayoria de los tontos los hace desistir.
Otro detalle que se puede valer y mucho.
He revisado varias de las ips que estan pilladas y TODAS estan listadas en PBL de spamhaus. Ya tienes tu regla mágica. jeje
tenemos un paso hecho, ahora el segundo. Instala el mod bandwith o similar y creale una regla de limitación de ancho de banda si se cumple la regla ( la de mod security claro), con eso deberia limitarte sus entradas y por ende las peticiones aceptadas del servidor.
a ver si me entero, ¿Han registrado un dominio y las dns las han puesto apuntando a tu server?,
.
es otr amanera de atacar eso no hay duda, jeje, lo que no entiendo es que un dominio nuevo tenga tantas visitas, ¿no será provocada la situación?.
aqui te viene de perlas el mod security de apache, y pon una regla que ignore las peticiones a la pagina login.php.
con eso deberia bastarte.
¿Ha registrado un dominio, ha dejado su nombre y teléfono, para atacar una web?
Pero que ganas de liar las cosas y cuanta mala leche, porque le tiene que haber dado muchas vueltas para pensar como hacerlo.
1# cierto, al final va a parecer una partida de ajedrez, todos saben los movimientos pero a ver quien gana. A ver si al menos tiene una utilidad.
Haz que tu dominio apunte a localhost y redirije a localhost tu apache
PD: Después avisa a los servers que han sido "hackeados" diciendoles que caerán, pero por culpa de un tercero.
#11 da igual, redirije a localhost
El mod_security no es suficiente...
Le digo que me dropee todas las peticiones que vayan a login.php , lo que hace correctamente, pero eso hace que puedan entrar mas peticiones de los bots, con lo que las conexiones máximas siempre están saturadas...
Lo mismo pasaría con el user_agent, entiendo.
Es un poco raro esto ... es como el Gran Hermano Friki
32: Ni idea chico, es raro de cojones. Para empezar registra dos dominios apuntando a nuestra máquina, y a continuación llega el cojo ataque. Ya tenemos registradas 37748 IPs distintas desde las que dan cera...
Lo de registrar varios dominios y apuntarlos a nuestro servidor suena fatal, demasiadas molestias para un ataque chorras.
He escrito al colega ruso, a ver si da señales de vida. Desde luego no tiene tantas visitas, son demasiados y todos con el mismo user_agent.
Alucinad con el tema!!! Mirad a qué dominios atacan:
http://contraelladooscuro.blogspot.com/2008/11/alucina-quien-atacn-es-otros-dominios.html
#2 Pues oye... suerte de parte de un proyecto de ingeniero informático,
25: Eso está muy bien, un paso adelante para identificar de donde viene, el problema es que no puedo poner una regla para cada entrada del spamhaus, se me muere la máquina
#5: He considerado redirigir el tráfico a Google, pero si consideran el tráfico que mando como Spam o similar y nos bajan de los rankings es peor el remedio que la enfermedad ejjejeje
¿Tal vez mandarlo a una IP inexistente?
El servidor es un Linux, con CentOS (siento no dar datos de versión o Kernel), máquina dedicada al web y con lo típico instalado (LAMP + APF de Firewall + etc...)
8: Fantástica idea. Lo acabo de hacer, bajando el timeout del apache al mínimo además de desactivar el KeepAlive, pero me ha servido sólo para darme cuenta de la magnitud del Botnet del fulano. Que bestia, como entran los paquetes...
Vuelvo a subir el timeout para que no me tire la máquina...
9: Me temo que no son servers hackeados, tiene pinta de botnet "Cliente Windows", la cantidad de IPs distintas es bestial. Me estoy haciendo un script para guardar las distintas IPs, a lo mejor a alguien le resulta útil (¿Unidad de delitos informáticos?, ¿Investigadores de Botnets?)
18: Gracias por la sugerencia, es lo próximo a intentar, aunque quería probar antes todo lo demás, al fin y al cabo el tio sólo tiene que cambiar a donde apunta en cuanto se de cuenta...
Me he hecho un script para sacar las IPs diferentes desde las que se conectan y me salen 27710 en menos de media hora.
¿Alguien sabe si APF/Iptables puede con tanta IP sin zamparse la CPU?
Todas las líneas de log "parece" que vienen del mismo navegador:
- - [17/Nov/2008:13:34:20 -0600] "POST /login.php HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
Pero eso no es significativo, el user_agent se puede definir como se quiera. Me temo que devolver algo que "cargue" la máquina no serviría de mucho ya que imagino que descartarán las respuestas del web, sólo les interesa "cargar" nuestro servidor.