¡Ataques DDoS, zombies, haters y diversión sin igual!

ataques ddos

¡Eeeeeeh tranquilitos, eh! ¿Chuiso ha muerto? ¿Desaparecido en cerveza? No hombre no, ¡estaba de parranda! Muy buenas a todos, en pleno Agostazo, en plenas vacaciones (bien merecidas) y en plena playa de Nerja, os traigo un post para todos los que estáis en casa en vez de estar gozando de una cerveza fresquita en la playa.

Presentaciones aparte, os cuento con detalle. Hoy vengo a hablaros de ataques DDoS, o lo que viene siendo «esos ataques juancker que te joden el blog por mandar miles de visitas de golpe». Yo he sufrido todo tipo de ataques: ataques personales, ataques automatizados más profesionales, intentos de ataques fallidos… Al final todos (menos los profesionales que buscan vulnerabilidades) suelen ser como cuando te pica el culo: te rascas un poco y se te acaba quitando, jejeje.

 

Cosillas que deberías saber sobre un DDoS

Antes de contaros el último ataque que tuve (tengo uno por semana aproximadamente, es lo que tiene estar en el foco de atención) hablaremos del objetivo que puede tener un ataque DDoS:

  • ¿Te joden el SEO, puedes perder posicionamiento? Sí, pero tendrían que tumbarte el servidor durante, por lo menos, un par de días, así que suele ser una novatada eso de dosear para intentar hundir en las SERPs a un rival. Hay prácticas como dosear y luego pingear o «avisar» a Google para que el robot pase por la web y la vea caída, pero en serio, no funciona así de fácil jeje. He visto webs caídas durante 3 o 4 días y seguían rankeando igual en Google. En base a mi experiencia no tiene mucho sentido esto de dosear para des-rankear.
  • ¿Te joden el negocio? Pues un poco, porque si tu web es un negocio, una tienda online o algo de lo cuál vivas, durante el tiempo que dure el ataque no conseguirás clientes, no tendrás ventas y no generarás dinero. Aparte necesitarás probablemente un experto para que pare el ataque, y si no tienes la suerte de tener un buen amigo que te ayude gratis (como lo tengo yo, aunque sea un poco troll) eso te costará más dinero. Dinero que dejas de ganar + dinero que necesitas para parar el ataque = putadón. En mi caso no vendo servicios directos en mi blog, así que son meros ataques personales que me paso por el beicon.
  • ¿Te joden el hosting? Como he dicho arriba es algo temporal, y no tiene efectos crónicos sobre tu servidor. A menudo sufro ataques y ni siquiera me doy cuenta, jeje. Sí es posible que tu proveedor de hosting pueda cabrearse si ve que recibes muchos ataques y te pida amablemente que elijas otro servidor en las próximas 48 horas porque van a darte la patada.
  • Entonces, ¿qué sentido tiene un ataque DDoS? En mi opinión le veo mucho sentido cuando tiene carácter reivindicativo y cuando se hace en pro de los derechos de las personas, o para luchar contra la opresión. Ejemplo: algunos de los doseos que suelen hacer el colectivo de Anonymous. Ole sus cojones. Por otro lado veo ataques DDoS sin mucho sentido, como algunos que recibo yo de gente que parece tener fijación conmigo porque el ataque en sí no tiene repercusión alguna más que intentar llamar mi atención 😎 Por último los ataques DDoS automatizados son como spider que van navegando por la inconmensurable red en busca de servidores que puedan atacar y luego vulnerar, y esos ataques lógicamente tienen claros objetivos ilegales: apropiarse de datos ajenos, infectar, chantajear, inyectar códigos, etc. Estos si que tienen repercusiones peligrosas.

 

¿Cómo te das cuenta?

Pues así me suelo dar cuenta yo. Imaginadme en la mesa del ordenador, bebé en brazo derecho y biberón en mano izquierda. Con cerveza en mesa (sorbiendo con pajita que sube el doble) y los ojos camaleónicos (uno mirando a la pantalla y el otro al niño, que a veces le meto el biberón por la nariz) de repente suena el móvil… ¡Me citan en un tweet! Allá voy yo con mi habilidad para desbloquear el patrón del móvil con el dedo gordo del pie y encontrarme algo así:

En ese momento es cuando bato varios récords del mundo simultáneamente:

  • Inyectarle a presión un biberón de 12 onzas a un bebé de 9 meses: 3,7 segundos
  • Colocar a un bebé en su cuna a 8,35 metros de distancia: 0,78 segundos
  • Ingerir una cerveza de jarra con pajita: 2,30 segundos

Digital Ocean es muy buen hosting para un VPS, así que el motivo de que mi blog esté caído suele ser por ataques. Normalmente cuando sufro este tipo de ataques reinicio el servidor, transformo el foco del ataque de mi WordPress en una versión HTML o, en última instancia, realizo la llamada de emergencia a mi colega Julio Rodríguez Cruz:

Por cierto, ¿todavía no conoces TeamPlatino? Deberías echarle un vistazo ya. Es mi curso privado de SEO y monetización y la estamos liando parda dentro 😀

JULIO TROLL

Así que dije, venga Julio resuélveme la cuestión que me está bajando la bilirrubina, y en cosa de unos minutos el ataque fue neutralizado. Me picó la curiosidad cuando me dijo que no era el típico ataque que yo suelo sufrir (bastante simplón y para el cuál ya estoy preparado), así que ahí se incubó la idea de escribir este post 😎

Para que entendáis la naturaleza de este ataque que sufrí hace pocos días (el miércoles 13 de Agosto) os dejo la explicación redactada que le pedí a mi compi Julio.

 

Explicación del ataque DDoS por Julio Rodríguez

Cuando recibimos un ataque DDOS (Distributed Denial of Service) podemos diferenciarlos por dos métodos.

El primero y el que se dice que es «imparable» se trata de simular visitas reales para agotar la red, con un navegador por IP y actuando como si fuera un ordenador. Gracias a dios estos ataques poca gente los suele hacer dado que tienen que estar muy bien programados y no sirve bajarse cualquier botnet de Internet. En este caso lo que se tendría que disponer es de un firewall de red e intentar detectar a través de éste las IPs o contratar varios servidores y realizar balanceadores para que soporte las conexiones. Esto es jodío, chungo, chungo que te cagas.

El segundo método y es el que sufrió el bastardo de Chuiso es cuando alguien sin muchos conocimientos coge una botnet y empieza a infectar como si un niño se hurgase la nariz. A la hora de realizar el ataque busca un archivo/url que cargue bastante, en este caso escogió el «xmlrpc.php» de WordPress enviándole un POST. Aparte en este caso no tiene navegador, pero daría igual que lo tenga porque no tiene que solicitar para nada a ese archivo. En el log de accesos vemos algo así:

xxxxxxxxx – – [12/Aug/2014:01:51:11 -0400] «POST /xmlrpc.php HTTP/1.1» 200 405 «-» «-»
xxxxxxxxx – – [12/Aug/2014:01:51:13 -0400] «POST /xmlrpc.php HTTP/1.1» 200 405 «-» «-»
xxxxxxxxx – – [12/Aug/2014:01:51:16 -0400] «POST /xmlrpc.php HTTP/1.1» 200 405 «-» «-»
xxxxxxxxx – – [12/Aug/2014:01:51:17 -0400] «POST /xmlrpc.php HTTP/1.1» 200 405 «-» «-»
xxxxxxxxx – – [12/Aug/2014:01:51:24 -0400] «POST /xmlrpc.php HTTP/1.1» 200 405 «-» «-»

Y como siempre, una imagen vale más que mil palabras (sólo muestro algunas solicitudes, en realidad eran más de 1.500 IP’s atacando a la vez):

ataque zombie

Como podéis comprobar existe un patrón, por lo que simplemente tenemos que identificar el patrón y sacar las IP’s. En este caso el patrón son las peticiones a xmlrpc.php, por lo que con dos simples líneas tendría ya todas las IP’s para meter en el firewall, el cuál podría simplificarse en una misma.

more access_log | grep «xmlrpc» >> block.txt
more block.txt | awk -F ‘ ‘ ‘{ print $1}’ >> ips.txt

Una vez tenía el archivo ips.txt fui directamente el CSF y las metí, consiguiendo que el firewall las bloquee y me dé tiempo a buscar una protección. En este caso la mas común es editar nuestro .htaccess y bloquear el acceso a este archivo:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Aunque los patrones no suelen ser tan fáciles, dado que si te atacan a un artículo extenso de tu blog, lo que tendrías que hacer es comprobar si estas IP’s están cargando las Imágenes y JS de tu blog y si no lo hacen seguramente sean un BOT. Por eso lo mejor si eres administrador de sistemas es que aprendas a usar el mod security y sus reglas. Este ataque la verdad es que podría ser potente, dado que eran mas de 1500 IP’s pero al estar mal realizado se paró en cuestión de 1 minuto.

 

Conclusiones

Sí, sé que estás pensando lo mismo que yo: este tipo de cosas son lo puto peor, pero como dicen en mi pueblo «ajo y agua» (a joderse y a aguantarse). Como suelo decir a mis amigos del Interné: «Si te imitan o copian, estás haciendo las cosas bien. Si te atacan, en cambio, las haces tan bien que hasta te envidian» 😎

Por último repetiré algo que he dicho en muchas ocasiones e incluso en directo frente a más de 600 personas en el evento Black Hat Spain: los ataques DDoS me parecen tan moralmente inaceptables como el SEO negativo, y no realizo ninguna de estas dos prácticas. Ahora bien, a veces es cierto que el fin justifica los medios… Darle caña a los opresores cabrones, Anonymous 😉

Con este post remato Agosto y seguramente publique a principios de Septiembre un tremendazo post que os va a encantar: cómo ganar dinero con CPA + Adtual 😎 ¡Un abrazo golf@s!

37 Comentarios
  1. shruken
    agosto 16, 2014 | Responder
  2. gonzalo
    agosto 16, 2014 | Responder
  3. Matias
    agosto 16, 2014 | Responder
  4. gunther
    agosto 16, 2014 | Responder
  5. Rusbell
    agosto 16, 2014 | Responder
  6. Ulrik
    agosto 16, 2014 | Responder
  7. Judithtiral
    agosto 16, 2014 | Responder
  8. Vicen Martínez
    agosto 16, 2014 | Responder
    • Chuiso
      agosto 16, 2014 | Responder
      • Cristian
        agosto 18, 2014 | Responder
        • Julio Rodríguez Cruz
          agosto 19, 2014 | Responder
  9. Noemí
    agosto 16, 2014 | Responder
  10. Dani
    agosto 16, 2014 | Responder
  11. Beatriz
    agosto 16, 2014 | Responder
  12. Gerardo
    agosto 16, 2014 | Responder
  13. Zeokat
    agosto 16, 2014 | Responder
  14. Albert
    agosto 16, 2014 | Responder
    • Julio Rodríguez Cruz
      agosto 18, 2014 | Responder
  15. Barbara
    agosto 16, 2014 | Responder
  16. Juan
    agosto 16, 2014 | Responder
  17. Hugo Ayuso
    agosto 17, 2014 | Responder
  18. Sebastian
    agosto 17, 2014 | Responder
  19. zayko
    agosto 18, 2014 | Responder
    • Chuiso
      agosto 18, 2014 | Responder
  20. Francisco Acuña
    agosto 18, 2014 | Responder
  21. Natan Valencia
    agosto 18, 2014 | Responder
  22. ale
    agosto 18, 2014 | Responder
    • Julio Rodríguez Cruz
      agosto 19, 2014 | Responder
  23. S3L3N1TY
    agosto 23, 2014 | Responder
  24. TheHacker01
    agosto 27, 2014 | Responder
  25. cesar
    octubre 1, 2014 | Responder
  26. Guille
    octubre 17, 2014 | Responder
  27. chub
    noviembre 11, 2014 | Responder
  28. Hillklor
    diciembre 13, 2014 | Responder
  29. oscar
    diciembre 20, 2014 | Responder

Comenta!

Tu dirección de correo electrónico no será publicada.