[caiu] Petrobras.com.br fora do ar sob DDoS da operação AntiSec
André Luis Pereira dos Santos
andre em bsrsoft.com.br
Quarta Junho 22 17:21:24 BRT 2011
Pelo o que levantamos aqui, parte dos ataques usa C&C via IRC e parte
utiliza controles mais manuais (exploração de falhas de servidores
espalhados pelo mundo)
Incrivelmente estamos vendo também muito uso do famoso LOIC
-----------------------------------------------------------
André Luis Pereira
Grupo BSR Participações LTDA
BSRSoft LTDA
andre em bsrsoft.com.br
+55 (16) 3515 04050
Site: http://www.bsrsoft.com.br
Suporte ao Cliente: http://suporte.bsrsoft.com.br
TV BSRSoft: http://tv.bsrsoft.com.br
"Vai imprimir este email? Pense antes em sua responsabilidade com a
preservação do meio-ambiente e com a redução de seus custos."
--------------------------------------------------------------
"Uma corrente é tão segura quanto seu elo mais fraco"
---------------------------------------------------------------
Em 22 de junho de 2011 17:18, Rober Hoelscher <rober em tcheturbo.com.br>escreveu:
> O gerenciamento dos bots foi realizado via IRC ? qual rede ?
>
> Att.
> -
> Rober Hoelscher
>
> Em Quarta, 22/06/2011 no 17:06 Patrick Tracanelli escreveu:
>
> Ola,
>
> Não sei se esse assunto cabe mais aqui ou na GTS em todo caso....
>
> Durante o evento pegamos uma tentativa de submeter mais de 400Mbit/s
> contra o site da Petrobras, em um cliente, a taxonomia do ataque foi
> simples, um arquivo php enviado pro servidor web através de uma conta
> autêntica usando protocolo FTP (aparente bruteforce), esse arquivo
> php loopou fsockopen abrindo milhares de requisições tcp e udp
> contra o alvo.
>
> DoS puro e simples, que claro o alvo não tem muito como evitar se
> for DDoS, e certamente foi.
>
> O IP de origem que upou o .php via FTP é de origem .lv e o IP que
> deu inicio ao a sessão de flood foi um IP de origem .de
> especificamente uma empresa de hospedagem que pelo que da pra ver
> pelos logs fez a requisição através de uma exploração no
> roundcube. Ou seja inútil rastrear, certamente explorou uma falha
> básica.
>
> Se alguém diretamente afetado (e adequadamente identificado) tiver
> interesse na taxonomia do ataque posso enviar os logs e o próprio
> .php em questão pra análise, sem idenficar o cliente onde os dados
> estavam (contato em pvt).
>
> Enfim, o FW apitou e deu pra evitar ser parte do ataque, passou
> alguns milhares de pps mas por poucos segundos até a reação.
>
> Fico a disposição pra colaborar com etapa complementar de
> tratamento de incidente.
>
> []s
>
> Em 22/06/2011, às 16:50, André Luis Pereira dos Santos escreveu:
>
> > Site da Petrobras (www.petrobras.com.br) caiu sob pesado DDoS na
> operação
> > AntiSec.
> >
> > Alguém tem mais dados?
> >
> > A empresa aqui passou a cobrir os fatos da AntiSec no interesse
> de nossos
> > clientes e da rede em geral.
> >
> > http://bsrsoft.com.br/?p=1276
> >
> >
> >
> >
> > -----------------------------------------------------------
> > André Luis Pereira
> >
> >
> > Grupo BSR Participações LTDA
> > BSRSoft LTDA
> > andre em bsrsoft.com.br
> > +55 (16) 3515 04050
> >
> > Site: http://www.bsrsoft.com.br
> >
> > Suporte ao Cliente: http://suporte.bsrsoft.com.br
> > TV BSRSoft: http://tv.bsrsoft.com.br
> >
> >
> > "Vai imprimir este email? Pense antes em sua responsabilidade com a
> > preservação do meio-ambiente e com a redução de seus custos."
> >
> > --------------------------------------------------------------
> > "Uma corrente é tão segura quanto seu elo mais fraco"
> > ---------------------------------------------------------------
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu