[caiu] Petrobras.com.br fora do ar sob DDoS da operação AntiSec

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quarta Junho 22 17:06:54 BRT 2011 

Ola,

Não sei se esse assunto cabe mais aqui ou na GTS em todo caso....

Durante o evento pegamos uma tentativa de submeter mais de 400Mbit/s contra o site da Petrobras, em um cliente, a taxonomia do ataque foi simples, um arquivo php enviado pro servidor web através de uma conta autêntica usando protocolo FTP (aparente bruteforce), esse arquivo php loopou fsockopen abrindo milhares de requisições tcp e udp contra o alvo.

DoS puro e simples, que claro o alvo não tem muito como evitar se for DDoS, e certamente foi.

O IP de origem que upou o .php via FTP é de origem .lv e o IP que deu inicio ao a sessão de flood foi um IP de origem .de especificamente uma empresa de hospedagem que pelo que da pra ver pelos logs fez a requisição através de uma exploração no roundcube. Ou seja inútil rastrear, certamente explorou uma falha básica.

Se alguém diretamente afetado (e adequadamente identificado) tiver interesse na taxonomia do ataque posso enviar os logs e o próprio .php em questão pra análise, sem idenficar o cliente onde os dados estavam (contato em pvt).

Enfim, o FW apitou e deu pra evitar ser parte do ataque, passou alguns milhares de pps mas por poucos segundos até a reação.

Fico a disposição pra colaborar com etapa complementar de tratamento de incidente.

[]s



Em 22/06/2011, às 16:50, André Luis Pereira dos Santos escreveu:

>  Site da Petrobras (www.petrobras.com.br) caiu sob pesado DDoS na operação
> AntiSec.
> 
>    Alguém tem mais dados?
> 
>  A empresa aqui passou a cobrir os fatos da AntiSec no interesse de nossos
> clientes e da rede em geral.
> 
> http://bsrsoft.com.br/?p=1276
> 
> 
> 
> 
> -----------------------------------------------------------
>   André Luis Pereira
> 
> 
> Grupo BSR Participações LTDA
> BSRSoft LTDA
> andre at bsrsoft.com.br
> +55 (16) 3515 04050
> 
> Site: http://www.bsrsoft.com.br
> 
> Suporte ao Cliente: http://suporte.bsrsoft.com.br
> TV BSRSoft: http://tv.bsrsoft.com.br
> 
> 
> "Vai imprimir este email? Pense antes em sua responsabilidade com a
> preservação do meio-ambiente e com a redução de seus custos."
> 
> --------------------------------------------------------------
> "Uma corrente é tão segura quanto seu elo mais fraco"
> ---------------------------------------------------------------
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão caiu