Ataque DDoS - IPS SEQUESTRADOS

[juniorph]

Boa tarde Galera, nos últimos tempos conforme meus clientes iam recebendo ataques DDOS, eu usei um programa no VPS do cliente para capturar IPS que estavam sendo usados nos ataques e fiz uma extensa lista de 137.243 ips que estavam sendo usados nos ataques para realizar o bloqueio.

Ontem durante um ataque ddos que um cliente estava sofrendo, em meio a 50 mil ips bloqueados acabei reconhecendo um IP DE UM CLIENTE MEU

Na hora fiquei em dúvida então copiei esse IP e fui verificar, fiquei grilado ao ver que realmente era o IP do meu cliente que tem serviço ativo comigo a um bom tempo.

então fiz uma lista de todos meus ips alugados na OVH e comparei com a lista que obtive pelo programa de antiddos usando um script que criei pelo chatgpt, e pasmem, havia 6 ips de clientes meus na lista..

Eu sou o sysadmin de parte desses ips obtidos e sei exatamente o que está rodando no vps, também averiguei o vps dos clientes que não sou o sysadmin e não tem absolutamente nada suspeito, nenhum programa especifico para ddos instalado/baixado ou pesquisado.

Então fica o questionamento, como isso é possível? Como o VPS dos meus clientes estão sendo usados para ataques ddos?

Alguém sabe uma forma de verificar isso mais afundo e achar o vírus que está permitindo isso? Alguém já passou por isso?

Se quiser eu hospedo o script para que possam verificar se tem algum dos seus ips na minha lista de bloqueio.

[JuniorG]

- Possibilidade de script malicioso: O VPS pode estar comprometido com algum malware ou script malicioso que está sendo usado para realizar os ataques. 

- Amplificação ou spoofing de IP: Verifique se o VPS do cliente está sendo usado como um vetor de amplificação de ataques ou está permitindo tráfego com spoofing de IPs. Serviços como DNS, NTP ou Memcached mal configurados podem ser utilizados para amplificação.

- Problema no hypervisor ou outra VM: Pode haver um problema no hypervisor onde outra VM, acidentalmente ou maliciosamente, está utilizando o mesmo IP do VPS. Verifique a configuração das interfaces de rede e o isolamento entre as VMs.

- Domínio de broadcast ou conflito de IPs: Apesar de improvável na infraestrutura da OVH, vale investigar a possibilidade de colisões no domínio de broadcast, onde outro servidor esteja utilizando o IP do VPS. Essa possibilidade é menos comum, mas não impossível.

Acho que seria válido fazer uma captura de pacotes na interface de rede do VPS e analisar os pacotes capturados no Wireshark.

[rubensk]

Os ataques são TCP com 3-way handshake ? Pq senão, não dá para ter certeza dos IPs. 

[chuvadenovembro]

Eu recebo um ataque especifico em servidores que tenho no Brasil, onde centenas de ip´s de um mesmo bloco ficam pendurados no meu servidor, esse comportamento acaba saturando a porta 80 e 443 e preciso bloquear blocos de ip´s, tentei encontrar mais informações sobre esse tipo de ataque e não encontrei nada (mesmo porque não tenho conhecimento suficiente para tal), mas nas pesquisas que fiz, falava-se de sequestro de ip, e no meu caso, também desenvolvi um script via IA que fizesse o bloqueio desses ataques, tem sido bem efetivo, mas acaba bloqueando ip´s de clientes, para tentar contornar esse transtorno, o flush é feito a cada hora em alguns servidores que acaba ficando nesse circulo vicioso.