[caiu] Petrobras.com.br fora do ar sob DDoS da operação AntiSec

Lista lista.gter em gmail.com
Quarta Junho 22 17:39:55 BRT 2011


Qual a forma de rastreamento utilizada para identificar esse ataque e o tipo?

Em 22 de junho de 2011 17:21, André Luis Pereira dos Santos
<andre at bsrsoft.com.br> escreveu:
> Pelo o que levantamos aqui, parte dos ataques usa C&C via IRC e parte
> utiliza controles mais manuais (exploração de falhas de servidores
> espalhados pelo mundo)
>
> Incrivelmente estamos vendo também muito uso do famoso LOIC
>
>
> -----------------------------------------------------------
>   André Luis Pereira
>
>
> Grupo BSR Participações LTDA
> BSRSoft LTDA
> andre at bsrsoft.com.br
> +55 (16) 3515 04050
>
> Site: http://www.bsrsoft.com.br
>
> Suporte ao Cliente: http://suporte.bsrsoft.com.br
> TV BSRSoft: http://tv.bsrsoft.com.br
>
>
> "Vai imprimir este email? Pense antes em sua responsabilidade com a
> preservação do meio-ambiente e com a redução de seus custos."
>
> --------------------------------------------------------------
> "Uma corrente é tão segura quanto seu elo mais fraco"
> ---------------------------------------------------------------
>
>
>
>
>
> Em 22 de junho de 2011 17:18, Rober Hoelscher <rober at tcheturbo.com.br>escreveu:
>
>> O gerenciamento dos bots foi realizado via IRC ? qual rede ?
>>
>> Att.
>> -
>> Rober Hoelscher
>>
>> Em Quarta, 22/06/2011 no 17:06 Patrick Tracanelli escreveu:
>>
>> Ola,
>>
>> Não sei se esse assunto cabe mais aqui ou na GTS em todo caso....
>>
>> Durante o evento pegamos uma tentativa de submeter mais de 400Mbit/s
>> contra o site da Petrobras, em um cliente, a taxonomia do ataque foi
>> simples, um arquivo php enviado pro servidor web através de uma conta
>> autêntica usando protocolo FTP (aparente bruteforce), esse arquivo
>> php loopou fsockopen abrindo milhares de requisições tcp e udp
>> contra o alvo.
>>
>> DoS puro e simples, que claro o alvo não tem muito como evitar se
>> for DDoS, e certamente foi.
>>
>> O IP de origem que upou o .php via FTP é de origem .lv e o IP que
>> deu inicio ao a sessão de flood foi um IP de origem .de
>> especificamente uma empresa de hospedagem que pelo que da pra ver
>> pelos logs fez a requisição através de uma exploração no
>> roundcube. Ou seja inútil rastrear, certamente explorou uma falha
>> básica.
>>
>> Se alguém diretamente afetado (e adequadamente identificado) tiver
>> interesse na taxonomia do ataque posso enviar os logs e o próprio
>> .php em questão pra análise, sem idenficar o cliente onde os dados
>> estavam (contato em pvt).
>>
>> Enfim, o FW apitou e deu pra evitar ser parte do ataque, passou
>> alguns milhares de pps mas por poucos segundos até a reação.
>>
>> Fico a disposição pra colaborar com etapa complementar de
>> tratamento de incidente.
>>
>> []s
>>
>> Em 22/06/2011, às 16:50, André Luis Pereira dos Santos escreveu:
>>
>> >  Site da Petrobras (www.petrobras.com.br) caiu sob pesado DDoS na
>> operação
>> > AntiSec.
>> >
>> >    Alguém tem mais dados?
>> >
>> >  A empresa aqui passou a cobrir os fatos da AntiSec no interesse
>> de nossos
>> > clientes e da rede em geral.
>> >
>> > http://bsrsoft.com.br/?p=1276
>> >
>> >
>> >
>> >
>> > -----------------------------------------------------------
>> >   André Luis Pereira
>> >
>> >
>> > Grupo BSR Participações LTDA
>> > BSRSoft LTDA
>> > andre at bsrsoft.com.br
>> > +55 (16) 3515 04050
>> >
>> > Site: http://www.bsrsoft.com.br
>> >
>> > Suporte ao Cliente: http://suporte.bsrsoft.com.br
>> > TV BSRSoft: http://tv.bsrsoft.com.br
>> >
>> >
>> > "Vai imprimir este email? Pense antes em sua responsabilidade com a
>> > preservação do meio-ambiente e com a redução de seus custos."
>> >
>> > --------------------------------------------------------------
>> > "Uma corrente é tão segura quanto seu elo mais fraco"
>> > ---------------------------------------------------------------
>> > _______________________________________________
>> > caiu mailing list
>> > caiu at eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>>
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 at sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>>
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu