[caiu] Petrobras.com.br fora do ar sob DDoS da operação AntiSec

André Luis Pereira dos Santos andre em bsrsoft.com.br
Quarta Junho 22 18:21:21 BRT 2011


Utilizamos insiders dentro de operadoras (não é possível divulgar quais são)
e também possuimos sensores espalhados em diversos DCs e roteadores. (também
não podem ser divulgados por motivos óbvios)

Mas muitas informações provem de fontes humanas. Os insiders são a melhor
fonte.

Alguns canais IRCs também ficam sob monitoramento.


-----------------------------------------------------------
   André Luis Pereira


Grupo BSR Participações LTDA
BSRSoft LTDA
andre em bsrsoft.com.br
+55 (16) 3515 04050

Site: http://www.bsrsoft.com.br

Suporte ao Cliente: http://suporte.bsrsoft.com.br
TV BSRSoft: http://tv.bsrsoft.com.br


"Vai imprimir este email? Pense antes em sua responsabilidade com a
preservação do meio-ambiente e com a redução de seus custos."

--------------------------------------------------------------
"Uma corrente é tão segura quanto seu elo mais fraco"
---------------------------------------------------------------





Em 22 de junho de 2011 17:39, Lista <lista.gter em gmail.com> escreveu:

> Qual a forma de rastreamento utilizada para identificar esse ataque e o
> tipo?
>
> Em 22 de junho de 2011 17:21, André Luis Pereira dos Santos
> <andre em bsrsoft.com.br> escreveu:
> > Pelo o que levantamos aqui, parte dos ataques usa C&C via IRC e parte
> > utiliza controles mais manuais (exploração de falhas de servidores
> > espalhados pelo mundo)
> >
> > Incrivelmente estamos vendo também muito uso do famoso LOIC
> >
> >
> > -----------------------------------------------------------
> >   André Luis Pereira
> >
> >
> > Grupo BSR Participações LTDA
> > BSRSoft LTDA
> > andre em bsrsoft.com.br
> > +55 (16) 3515 04050
> >
> > Site: http://www.bsrsoft.com.br
> >
> > Suporte ao Cliente: http://suporte.bsrsoft.com.br
> > TV BSRSoft: http://tv.bsrsoft.com.br
> >
> >
> > "Vai imprimir este email? Pense antes em sua responsabilidade com a
> > preservação do meio-ambiente e com a redução de seus custos."
> >
> > --------------------------------------------------------------
> > "Uma corrente é tão segura quanto seu elo mais fraco"
> > ---------------------------------------------------------------
> >
> >
> >
> >
> >
> > Em 22 de junho de 2011 17:18, Rober Hoelscher <rober em tcheturbo.com.br
> >escreveu:
> >
> >> O gerenciamento dos bots foi realizado via IRC ? qual rede ?
> >>
> >> Att.
> >> -
> >> Rober Hoelscher
> >>
> >> Em Quarta, 22/06/2011 no 17:06 Patrick Tracanelli escreveu:
> >>
> >> Ola,
> >>
> >> Não sei se esse assunto cabe mais aqui ou na GTS em todo caso....
> >>
> >> Durante o evento pegamos uma tentativa de submeter mais de 400Mbit/s
> >> contra o site da Petrobras, em um cliente, a taxonomia do ataque foi
> >> simples, um arquivo php enviado pro servidor web através de uma conta
> >> autêntica usando protocolo FTP (aparente bruteforce), esse arquivo
> >> php loopou fsockopen abrindo milhares de requisições tcp e udp
> >> contra o alvo.
> >>
> >> DoS puro e simples, que claro o alvo não tem muito como evitar se
> >> for DDoS, e certamente foi.
> >>
> >> O IP de origem que upou o .php via FTP é de origem .lv e o IP que
> >> deu inicio ao a sessão de flood foi um IP de origem .de
> >> especificamente uma empresa de hospedagem que pelo que da pra ver
> >> pelos logs fez a requisição através de uma exploração no
> >> roundcube. Ou seja inútil rastrear, certamente explorou uma falha
> >> básica.
> >>
> >> Se alguém diretamente afetado (e adequadamente identificado) tiver
> >> interesse na taxonomia do ataque posso enviar os logs e o próprio
> >> .php em questão pra análise, sem idenficar o cliente onde os dados
> >> estavam (contato em pvt).
> >>
> >> Enfim, o FW apitou e deu pra evitar ser parte do ataque, passou
> >> alguns milhares de pps mas por poucos segundos até a reação.
> >>
> >> Fico a disposição pra colaborar com etapa complementar de
> >> tratamento de incidente.
> >>
> >> []s
> >>
> >> Em 22/06/2011, às 16:50, André Luis Pereira dos Santos escreveu:
> >>
> >> >  Site da Petrobras (www.petrobras.com.br) caiu sob pesado DDoS na
> >> operação
> >> > AntiSec.
> >> >
> >> >    Alguém tem mais dados?
> >> >
> >> >  A empresa aqui passou a cobrir os fatos da AntiSec no interesse
> >> de nossos
> >> > clientes e da rede em geral.
> >> >
> >> > http://bsrsoft.com.br/?p=1276
> >> >
> >> >
> >> >
> >> >
> >> > -----------------------------------------------------------
> >> >   André Luis Pereira
> >> >
> >> >
> >> > Grupo BSR Participações LTDA
> >> > BSRSoft LTDA
> >> > andre em bsrsoft.com.br
> >> > +55 (16) 3515 04050
> >> >
> >> > Site: http://www.bsrsoft.com.br
> >> >
> >> > Suporte ao Cliente: http://suporte.bsrsoft.com.br
> >> > TV BSRSoft: http://tv.bsrsoft.com.br
> >> >
> >> >
> >> > "Vai imprimir este email? Pense antes em sua responsabilidade com a
> >> > preservação do meio-ambiente e com a redução de seus custos."
> >> >
> >> > --------------------------------------------------------------
> >> > "Uma corrente é tão segura quanto seu elo mais fraco"
> >> > ---------------------------------------------------------------
> >> > _______________________________________________
> >> > caiu mailing list
> >> > caiu em eng.registro.br
> >> > https://eng.registro.br/mailman/listinfo/caiu
> >> >
> >> >
> >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> >
> >> > https://eng.registro.br/mailman/options/caiu
> >>
> >> --
> >> Patrick Tracanelli
> >>
> >> FreeBSD Brasil LTDA.
> >> Tel.: (31) 3516-0800
> >> 316601 em sip.freebsdbrasil.com.br
> >> http://www.freebsdbrasil.com.br
> >> "Long live Hanin Elias, Kim Deal!"
> >>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu