[caiu] Petrobras.com.br fora do ar sob DDoS da operação AntiSec
MARLON BORBA
MBORBA em trf3.jus.br
Quarta Junho 22 17:21:20 BRT 2011
Sugiro que notifique o CSIRT da Petrobras e o CTIR.GOV.
>>>Em 22/6/2011 às 17:06, Patrick Tracanelli
<eksffa at freebsdbrasil.com.br>
gravou:
> Ola,
>
> Não sei se esse assunto cabe mais aqui ou na GTS em todo caso....
>
> Durante o evento pegamos uma tentativa de submeter mais de 400Mbit/s
contra
> o site da Petrobras, em um cliente, a taxonomia do ataque foi
simples, um
> arquivo php enviado pro servidor web através de uma conta autêntica
usando
> protocolo FTP (aparente bruteforce), esse arquivo php loopou
fsockopen
> abrindo milhares de requisições tcp e udp contra o alvo.
>
> DoS puro e simples, que claro o alvo não tem muito como evitar se for
DDoS,
> e certamente foi.
>
> O IP de origem que upou o .php via FTP é de origem .lv e o IP que deu
inicio
> ao a sessão de flood foi um IP de origem .de especificamente uma
empresa de
> hospedagem que pelo que da pra ver pelos logs fez a requisição
através de uma
> exploração no roundcube. Ou seja inútil rastrear, certamente explorou
uma
> falha básica.
>
> Se alguém diretamente afetado (e adequadamente identificado) tiver
interesse
> na taxonomia do ataque posso enviar os logs e o próprio .php em
questão pra
> análise, sem idenficar o cliente onde os dados estavam (contato em
pvt).
>
> Enfim, o FW apitou e deu pra evitar ser parte do ataque, passou
alguns
> milhares de pps mas por poucos segundos até a reação.
>
> Fico a disposição pra colaborar com etapa complementar de tratamento
de
> incidente.
>
> []s
>
>
>
> Em 22/06/2011, às 16:50, André Luis Pereira dos Santos escreveu:
>
>> Site da Petrobras (www.petrobras.com.br) caiu sob pesado DDoS na
operação
>> AntiSec.
>>
>> Alguém tem mais dados?
>>
>> A empresa aqui passou a cobrir os fatos da AntiSec no interesse de
nossos
>> clientes e da rede em geral.
>>
>> http://bsrsoft.com.br/?p=1276
>>
>>
>>
>>
>> -----------------------------------------------------------
>> André Luis Pereira
>>
>>
>> Grupo BSR Participações LTDA
>> BSRSoft LTDA
>> andre at bsrsoft.com.br
>> +55 (16) 3515 04050
>>
>> Site: http://www.bsrsoft.com.br
>>
>> Suporte ao Cliente: http://suporte.bsrsoft.com.br
>> TV BSRSoft: http://tv.bsrsoft.com.br
>>
>>
>> "Vai imprimir este email? Pense antes em sua responsabilidade com a
>> preservação do meio-ambiente e com a redução de seus custos."
>>
>> --------------------------------------------------------------
>> "Uma corrente é tão segura quanto seu elo mais fraco"
>> ---------------------------------------------------------------
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
--
Abraços,
Marlon Borba
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · Moreq-Jus Evangelist
Comissão Local de Resposta a Incidentes - CLRI
TRF 3 Região
(11) 3012-2030 (VoIP)
--
Governing for enterprise security
means viewing adequate security as
a non-negotiable requirement of
being in business.
Carnegie-Mellon CERT
--
Mais detalhes sobre a lista de discussão caiu