Jump to content

Ataque DDoS - IPS SEQUESTRADOS


juniorph

Recommended Posts

Boa tarde Galera, nos últimos tempos conforme meus clientes iam recebendo ataques DDOS, eu usei um programa no VPS do cliente para capturar IPS que estavam sendo usados nos ataques e fiz uma extensa lista de 137.243 ips que estavam sendo usados nos ataques para realizar o bloqueio.

Ontem durante um ataque ddos que um cliente estava sofrendo, em meio a 50 mil ips bloqueados acabei reconhecendo um IP DE UM CLIENTE MEU

Na hora fiquei em dúvida então copiei esse IP e fui verificar, fiquei grilado ao ver que realmente era o IP do meu cliente que tem serviço ativo comigo a um bom tempo.

então fiz uma lista de todos meus ips alugados na OVH e comparei com a lista que obtive pelo programa de antiddos usando um script que criei pelo chatgpt, e pasmem, havia 6 ips de clientes meus na lista..

Eu sou o sysadmin de parte desses ips obtidos e sei exatamente o que está rodando no vps, também averiguei o vps dos clientes que não sou o sysadmin e não tem absolutamente nada suspeito, nenhum programa especifico para ddos instalado/baixado ou pesquisado.

Então fica o questionamento, como isso é possível? Como o VPS dos meus clientes estão sendo usados para ataques ddos?

Alguém sabe uma forma de verificar isso mais afundo e achar o vírus que está permitindo isso? Alguém já passou por isso?

Se quiser eu hospedo o script para que possam verificar se tem algum dos seus ips na minha lista de bloqueio.

Link to comment
Share on other sites

- Possibilidade de script malicioso: O VPS pode estar comprometido com algum malware ou script malicioso que está sendo usado para realizar os ataques. 

- Amplificação ou spoofing de IP: Verifique se o VPS do cliente está sendo usado como um vetor de amplificação de ataques ou está permitindo tráfego com spoofing de IPs. Serviços como DNS, NTP ou Memcached mal configurados podem ser utilizados para amplificação.

- Problema no hypervisor ou outra VM: Pode haver um problema no hypervisor onde outra VM, acidentalmente ou maliciosamente, está utilizando o mesmo IP do VPS. Verifique a configuração das interfaces de rede e o isolamento entre as VMs.

- Domínio de broadcast ou conflito de IPs: Apesar de improvável na infraestrutura da OVH, vale investigar a possibilidade de colisões no domínio de broadcast, onde outro servidor esteja utilizando o IP do VPS. Essa possibilidade é menos comum, mas não impossível.


Acho que seria válido fazer uma captura de pacotes na interface de rede do VPS e analisar os pacotes capturados no Wireshark.

Link to comment
Share on other sites

Eu recebo um ataque especifico em servidores que tenho no Brasil, onde centenas de ip´s de um mesmo bloco ficam pendurados no meu servidor, esse comportamento acaba saturando a porta 80 e 443 e preciso bloquear blocos de ip´s, tentei encontrar mais informações sobre esse tipo de ataque e não encontrei nada (mesmo porque não tenho conhecimento suficiente para tal), mas nas pesquisas que fiz, falava-se de sequestro de ip, e no meu caso, também desenvolvi um script via IA que fizesse o bloqueio desses ataques, tem sido bem efetivo, mas acaba bloqueando ip´s de clientes, para tentar contornar esse transtorno, o flush é feito a cada hora em alguns servidores que acaba ficando nesse circulo vicioso.

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?