26 de septiembre de 2008
ForoSpyware bajo ataques DDoS (Ataque de denegación de servicio)
Desde este lunes 23 de Septiembre venimos sufriendo nuevamente una oleada de fuertes ataques DDoS (Distributed Denial Of Service) contra nuestro foro oficial ForoSpyware.com . Cómo abran notado el foro está trabajando mucho más lento de lo normal y teniendo periodos continuados de no disponibilidad (servidor no encontrado).
En este caso los ataques los estamos detectando como preveniente de redes Botnets de Argentina creadas con cientos de PCs zombis, por lo que en ocasiones cuando sobrepasa nuestras otras medidas de protección, nuestros filtros bloquean los rangos de IPs 190.xxx.xx.xx imposibilitando la entrada al foro a todos los usuarios que utilicen este numero de IPs en países como Argentina, Venezuela, Colombia y mi natal Uruguay para que se pueda seguir ofreciendo el servicio al resto de usuarios.
Es importante aclarar que un ataque DDoS no modifican los sitios webs ni obtiene información de estos, su cometido es entorpecer el acceso de los usuarios al servidor.
Que son los ataques DDoS ?
Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP está expuesto a un ataque.
Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y es análogo a un ataque del DDoS.
Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de responder.
Existen 3 tipos de ataques bajo la definición genérica de DDoS:
- Net Flood: Este ataque simplemente aspira a degradar la conectividad Internet de una red mediante la saturación de sus enlaces de comunicación. Se organizan ataques masivos desde diferentes puntos de la red con las denominadas computadoras zombies.
- Syn Flood: Se basa en la regla de conexión entre 2 máquinas llamada “conexión en tres pasos” precisamente porque requiere la realización de tres pasos iniciales antes de que la conexión se pueda considerar establecida. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado “semi-abierto”. Este ataque satura las conexiones semi-abiertas de una pc.
- Connection Flood: Todo servicio de Internet orientado a conexión tiene un límite máximo en el número de conexiones simultaneas que puede tolerar, cuando este limite es alcanzado no se admitirán nuevas conexiones. Pero en este caso se completa la negociación “en tres pasos” que comentábamos en el ataque Syn Flood. Debido a ello la máquina atacada tiene constancia de la identidad real del atacante.
Desde InfoSpyware estamos trabajando intensamente en conjunto con los administradores de nuestros servidores y la gente del Data Center para poder bloquear estos ataques de forma definitiva sin perjudicar el acceso a los usuarios normales del foro, pero al no se una tarea nada fácil, puede que los problemas se prolonguen unos días más…
Por lo que les sugerimos a nuestros usuarios que estén atentos tanto al Blog como a nuestro Twitter donde estaremos informando.
Surf Safely
Malware/IT Threats Researcher - Founder / CEO to InfoSpyware & ForoSpyware
Posts relacionados:
- Ataques DDoS contra Twitter, Facebook, Google y otros importantes sitios webs.
- Nuevos servidores webs para ForoSpyware 2010
- Comodo Firewall Pro
- Storm Worm & Blogger.com
- 3 días sin Internet !!!
- Nueva Guía para eliminar virus Napster con “NKill”
- Sunbelt Kerio Personal Firewall
- ForoSpyware.com cerrado !!!
- Storm Worm! no esta muerto….
- Panda Security y su error con wininet.dll
Comentarios
-
Arturo Servin // 30 de septiembre de 2008
Hola, estoy haciendo mi investigacion de doctorado en DoS y DDoS. Por lo pronto es en simulacion pero me gustaria ver si puedo ayudarte en tu pelea contro los atacantes ya que me gustaria recolectar algo de informacion sobre patrones que esten usando. Si te interesa podemos platicar. Mi correo esta en el comentario, mi blog y ya estoy siguiendote en twitter (the_real_r2d2).
-
Marcelo R. // 2 de octubre de 2008
Hola Arturo,
Gracias por el ofrecimiento y cualquier cosa estamos hablando vía twitter… por el momento lo llevamos bastante bien controlado y no puedo dar mucha mas información por este medio hasta que podamos filtrar mejor a los culpables.
—————
Desde este dia Lunes el Foro se encuentra trabajando en optimas condiciones y esperamos que siga así.
Salu2
El Piedra. -
Distriker // 3 de octubre de 2008
Joer, esto es ilegal verdad, si es asi, los podeis coger y detener noo??
Bueno, espero que se solucione.
Saludos
-
Marcelo R. // 4 de octubre de 2008
Hola Distriker,
Si es ilegal pero es una de las practicas no solo mas difíciles de detener, sino también de detectar a los verdaderos culpables ya que se esconden detrás de las PCs zombies de los usuarios.
Salu2
El Piedra. -
ganium // 5 de octubre de 2008
Hola tengo problemas con mi pc, yo tenia un contacto de msn y lo borre hace tiempo y haora me envia mensajes para que descargue algo (link) y ella no esta en mis contactos como ago para que no me envie correos
ah y tambien se esta expandiendo por todos mis contactos
se agradese su ayuda inmediata…
-
c4x30x // 6 de octubre de 2008
espero k ya hayan podido solucionar este problema si no es asi avisais y os puedo ayudar :)
un saludo
-
pachomora // 16 de octubre de 2008
Hola amigos del foro:
Desearía saber la razón de porque esta semana ha sido casi imposible entrar al foro. Comprendo que los últimos días han sufrido muchos ataques DDos,pero ¿no habrá otra solución menos drástica para tratar de controlarlo?
Espero su pronta respuesta y suerte
-
Marcelo R. // 17 de octubre de 2008
Hola a todos,
Lamentamos enormemente que a ciertas horas o a algunas IPs que comienzan con 190.xxx se les bloque el acceso al foro, pero es nuestro sistema de filtrado de IPs el cual para prevenir los ataques que siguen ocurriendo de estas las bloquea impidiendo así que se tenga que cerrar todo el sitio.
Seguimos trabajando en un filtrado mas meticuloso como en algunas otras modificaciones para que no paguen nuestros usuarios por la culpa de estos ciberdelincuentes.
Salu2
El Piedra. -
Floid // 19 de octubre de 2008
No consigo que conecte el ares- Alguien me puede ayudar por favor?
Gracias
-
paloma // 20 de octubre de 2008
hola nececito una ayuda urgente mi computador esta lleno de virus y no me puedo meter en la pagina de hotmail por que me dice error en http 400 porfavor si alguen tiene una solucion que me diga porfavo se los pido se lo agradeceria realmente
-
alvaro adrian lopez barrios // 20 de octubre de 2008
la protección de AMON se me ha desactivado que hago
-
Ruben // 24 de octubre de 2008
En este preciso momento quise entrar al foro pero no pude
efectivamente hay problema, que raro con todos los experto que hay aquí todavia siga este problema -
romae // 27 de octubre de 2008
Comodo Memory firewall sera la solucion?
-
Ben-ber // 27 de octubre de 2008
Hola Marcelo…
Ayer en la tarde, entre al foro para dejar una consulta y despues de algunas horas, trate de volver a entrar, para ver si había alguna respuesta y hasta este momento, aún no lo logro… ¿he de imaginar entonces, que eso es producto del bloqueo, ya que, mi IP empieza con 190.21….(corresponde a Chile) ?
Que lastima que ocurran estos ataques, pido a Dios se pueda solucionar pronto.
Un abrazo y muchas gracias.
Atentamente
Ben-ber
-
Ben-ber // 27 de octubre de 2008
Para Paloma…
Por si no has recibido respuesta, sigue las siguientes instrucciones:
Si tu equipo esta infectado empieza siguiendo los “11 Pasos para eliminar Malwares”.
http://www.forospyware.com/t8.html
Bendiciones
Ben-ber
-
Lhegolas // 28 de octubre de 2008
Qué mierda de gente, la verdad. A mí me han ayudado mucho ustedes y no se vale que estos hi… estén jorobando así nada más.
Que se pudran en el infierno.
Los apoyo incondicionalmente.
Un abrazo desde México.
PD: yo tampoco he podido entrar. -
ivan // 28 de octubre de 2008
Antes que nada un saludo y eslamentable saber lo de los ataques al foro
pero como dicen si los perros ladran es señal de que avanzamos
(lo malo es que los perros no namas estan ladrando y ya estan mordiendo)
pero suerte y cuentan con todo mi apoyo -
Kuru-chan // 28 de octubre de 2008
Buenas noches.
Simplemente dejaba un comentario para que supieran lo que ahora en Argentina (o al menos mi pc, pero supongo que es lo mismo para todas owo)
Son las 23:24 hs (hora Bs. As.) y salta la pantalla de servidor no encontrado cuando se intenta acceder al foro (el resto parece mostrarce correctamente)
No tengo idea de si les sirva de algo o no el dato, pero nunca se sabe ^^
Suerte con solucionar el problema (desde ya soy una de tantas usuarias que quiere poder volver a circular por su magnifico foro…)
-
Kuru-chan // 28 de octubre de 2008
Despues de dejar el comentario ingreso normalmente owo
-
discolo // 31 de octubre de 2008
Si hay personas a las que estoy agradecida de corazon es a ustedes los del foro, por eso les envio mi mejor onda para solucionar los problemas y espero que no bajen los brazos, sino todo lo contrario, que los ataques de esa maldita basura de malvivientes los anime a continuar…
Un fuerte abrazo !!!! -
kapo01 // 16 de diciembre de 2008
eso de IP 190.xxx.xxxx es verdad yo tenia esa ip que empezaba con 190 ahora se me cambio a otra jaja y no pude entrar mas alcima ahora me anda muy lento algunas herramientas me detectan cualkier cosa en el sitio no se jjeje avisen cuando eso termine xd
-
akils24 // 26 de febrero de 2009
Buenas tardes amigos del Foro, mil disculpas por comunicarme con uds por esta via, pero no tengo otra forma como contactarlos. Desde hace 3 dias no puedo accesar la pagina http://www.forospyware.com/. Como les comunique el dia lunes, 23 de febrero de 2009 06:46:36 p.m en el tema creado por mi “Vaya!!! parece que el enlace esta roto…”, en el foro Problemas con el foro, no he podido acceder a la pagina de ninguna manera, ni por medio de enlaces, ni siquiera cambiando la dirección IP. No se si el problema es desde mi zona (Venezuela) ya que lei en este el Blog que han estado presentando ataques DDoS. Agradezco enormemente a el amigo El Piedra o a cualquiera de los moderadores, colaboradores, etc., indicarme por correo electronico cualquier acción recomendada, ya que uds son una herramienta indispensable en mi pc. Gracias de antemano, saludos y un gran abrazo.
-
uiyaca // 29 de mayo de 2009
eso lo explica…Es realmente triste… yo habro el foro por medio del cache de google, pero no puedo acceder a mi cuenta… soy de Venezuela
-
Marcelo Rivero // 29 de mayo de 2009
Hola uiyaca, y para el resto que no pueda acceder a nuestro
Foro de Spyware correctamente.
Lo primero que pueden probar es descargar desde esta misma pagina, nuestra herramienta IniRem y restaurar su archivo HOST el cual le agregara las IPs del foro.
Si de esta manera aun continúan sin podes acceder, la otra alternativa ya es utilizando "OpenDNS"
Y si por ultimo siguen sin poder entrar al foro, puede que su equipo este infectado por algún malware que este bloqueando el acceso a este y tendrías que probar desde otro PC para solicitar ayuda.
Salu2
Marcelo.
Trackbacks
-
4º Aniversario de ForoSpyware | InfoSpyware Blog // 15 de enero de 2009
