Comunidad de diseño web y desarrollo en internet online

Así atacaron Cristalab.com, así los detuvimos

En ocasiones, el servidor de Cristalab sufría "sobrecargos". No les daba mucha importancia hasta que este martes, transmitiendo Mejorando la Web, fuimos atacados exactamente al mismo tiempo que arrancó el show. Era obvio que era un ataque premeditado.

Hay muchas formas de atacar un servidor web. Normalmente los que manejamos servidores nos enfocamos en las más obvias. Pero olvidamos cosas tan tontas como un "buffer overflow" a Apache.

Durante la tarde sufrimos una serie de ataques que nos pusieron a trabajar. El tráfico de Cristalab y sus sitios anexos es bastante voluminoso, por lo que analizar logs en real-time es una tarea que consume tiempo. Al final, fue un sencillo script de detección de peticiones abiertas que dio con la clave:

Código :

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Cosas obvias que olvidamos en el medio del ataque.

200.91.255.5


Esto nos dio el número mágico. De todas las IPs que estaban generando un volumen absurdo de tráfico, había una con 2500 conexiones por minuto al servidor enviando paquetes sospechosos. Esta era 200.91.255.5.

El resto es minar un poco en los logs de Cristalab para darnos cuenta que ya había entrado antes desde la misma IP. Según The Honeypot Project, la IP ya ha sido usada para lanzar ataques y disparar spam. Es de Barranquilla, Colombia.

Facebook, ¿En serio?


No checo mucho facebook en el día, por lo que me di cuenta muy tarde de una serie de mensajes sospechosos enviados a mi cuenta. El primero de ellos:


Seguido de:


Por lo que quizás podría no ser él. Excepto que no se aguantó y continuó con estos:





Con él ya había tenido contacto antes. Conoce y ha hecho negocios con el Claber neohunter (Manolet). Le hablé a él y me dijo:

Manolet :

en la tarde me entere que había sido el.
Hoy me entere, el me lo dijo, pero no le crei.


Según su facebook, el email de Hanlle Nicolas Mendoza es han.nicolas@gmail.com. También listaba su número de teléfono. En el momento que anuncié que la IP había sido encontrada, protegió su cuenta de Facebook. Me contacté con él, dijo que lo negaba todo. Hay otra serie de pruebas, como accesos a Cristalab con http referrer a su cuenta de twitter. Avisé a la policía de este incidente. Algunas personas me han dicho que es "sólo un DoS" y que no debería enviar a la cárcel a alguien "solo porque no te quiere, fue como un niño jodiendo y ya".

Podría retirar el proceso si se disculpa públicamente.

Mientras, las pruebas, los logs de Clab, la grabación de la conversación, los registro de IP, los mensajes por facebook y las declaraciones de las personas allegadas (junto con logs de chats) quedan para el proceso.

¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.

Publica tu comentario

o puedes...

¿Estás registrado en Cristalab y quieres
publicar tu URL y avatar?

¿No estás registrado aún pero quieres hacerlo antes de publicar tu comentario?

Registrate