Galera, acabei de receber um email da KingHost se pronunciando quanto ao ataque “DDoS” que o site www.websecforum.com.br sofreu.

Como deve saber, o site do WEBSECFORUM esta fora do ar. Hoje por volta das 11h, começamos a receber um DDOS SPOOFADO extremamente agressivo, vindo de 2 peers nossos. Não sei se isso estaria relacionado com alguma palestra de hoje ou mesmo de ontem. Em virtude disso, 1 dos nossos roteadores de borda começou a alarmar em virtude do alto numero de pacotes.

Começamos a defesa, efetuando bloqueio internacional do acesso, uma vez que 90% dos ataques tem origem fora do Brasil. Não adiantou. Efetuamos bloqueio para os peers nacionais. O ataque persistiu. Como as origens são incongruentes com a realidade dos bloqueios, definimos que o ataque veio spoofado, com origem alterada. Possivelmente alguém com acesso a uma botnet nacional bem estruturada, quis se mostrar durante o evento.

O IP do site esta agora com bloqueio nacional em 3 operadoras, por ter causado dificuldades no CORE de outras operadoras inclusive. Caralho.. em.. o_O

Tentamos, às 14h, liberar o bloqueio nacional, mas ele persiste até o momento. De hora em hora fazemos testes para avaliar a persistência do ataque.

Estou analisando os logs e irei disponibilizá-los para analisem de terceiros. O Web Security Forum não está mais hospedado na KingHost

Como deve saber, o site do WEBSECFORUM esta fora do ar. Hoje por volta
das 11h, começamos a receber um DDOS SPOOFADO extremamente agressivo,
vindo de 2 peers nossos. Não sei se isso estaria relacionado com alguma
palestra de hoje ou mesmo de ontem. Em virtude disso, 1 dos nossos
roteadores de borda começou a alarmar em virtude do alto numero de pacotes. 

Começamos a defesa, efetuando bloqueio internacional do acesso, uma vez
que 90% dos ataques tem origem fora do Brasil. Nao adiantou. Efetuamos
bloqueio para os peers nacionais. O ataque persistiu. Como as origens
são incongruentes com a realidade dos bloqueios, definimos que o ataque
veio spoofado, com origem alterada. Possivelmente alguem com acesso à
uma botnet nacional bem estruturada, quis se mostrar durante o evento.

O IP do site esta agora com bloqueio nacional em 3 operadoras, por ter
causado dificuldades no CORE de outras operadoras inclusive.

Tentamos, às 14h, liberar o bloqueio nacional, mas ele persiste até o
momento. De hora em hora fazemos testes para avaliar a persistência do
ataque.

Compartilhar:

Este post tem 2 comentários

  1. Bem que eu queria ver esses logs…

  2. e mta faltra do que fazer esses caras ne

Deixe uma resposta

Fechar Menu