Re: RES: [GTER] Ataques de DDoS, será que existe uma solução ?
Victor
victor_volpe at bol.com.br
Sat Apr 15 14:41:26 -03 2006
Ola,
Pelo que me parece o "forjamento" é de a pessoa estar por tras destes IPs
mas elas tem acesso a estas maquinas exatamente por esse tipo de
vulnerabilidade PHP Command Line. Tentam rodar o r0nin para pegar shell e
possivelmente rodar um w00t para escalar root, mas mesmo não conseguindo a
pasta temp é 777 e qualquer usuario pode escrever na pasta sendo assim, pode
fazer download e rodar tipo o UDP Flood Odix, e se a maquina não tem suporte
ao wget o script em PHP permite fazer download por socks.
Abraços.
----- Original Message -----
From: "Pousada Virtual - André Marcelo" <atendimento at pousadavirtual.com.br>
To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
<gter at eng.registro.br>
Sent: Saturday, April 15, 2006 11:50 AM
Subject: RES: RES: [GTER] Ataques de DDoS, será que existe uma solução ?
Com certeza, mas depois de 3 anos recebendo vários ataques DDOS contra meus
servidores, notei uma coisa: todos os ataques foram através de botnets
rodando em serviços como phpnuke, phpbb, e outros scripts em php onde os
packet kiddies em questão de minutos acham centenas de máquinas bugadas pelo
google e através de um processo automatizado, pegam acesso nobody ao
servidor e rodam scripts em perl para ataques por udp.
Minha pergunta: mesmo como nobody é possível forjar a origem do ip, ou é
necessário root para isso? Pq sinceramente todos os ataques que recebi
através de botnets os ips eram verdadeiros.
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Lao DanTong
Enviada em: sábado, 15 de abril de 2006 10:01
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: RES: [GTER] Ataques de DDoS, será que existe uma solução ?
On Sat, 15 Apr 2006, Pousada Virtual - André Marcelo wrote:
> Se o ataque está vindo de apenas uma única máquina, ele é apenas um DOS.
> veja qual o ip dela, dê um whois no ip e descubra qual e-mail para entrar
em
> contato, geralmente abuse at datacenter.com. Envie um e-mail com os logs do
> seup iptraf ou /var/log/messages para o e-mail que em no máximo algumas
> horas a máquina será desligada.
não mesmo. ataques de DDOS por UDP ou ICMP podem vir de diversas origens,
mas con endereço de origem forjado. ainda hoje há muitas redes que não
fazer "egress filtering" e servem de plataforma para esses ataques.
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
__________ NOD32 1.1490 (20060415) Information __________
This message was checked by NOD32 antivirus system.
http://www.eset.com
More information about the gter
mailing list