Hora: 11-Dec-2018, 09:50 AM ¡Hola, Invitado! (Iniciar sesiónRegístrate)

Enviar respuesta 
Bots, Spiders y Ataques de fuerza bruta
Autor Mensaje
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #1
Bots, Spiders y Ataques de fuerza bruta
Se dice que un sitio tiene efecto slashdot cuando recibe demasiadas visitas por ser mencionado en ese sitio, tambien le llaman efecto barrapunto.

Ayer uno de los clientes que comparten este sitio fue mencionado en esos sitios, y se chutó 12 GB de ancho de banda en un dia.

Ya se tomaron medidas, pero vi otros puntos que pueden mejorarse, me deico a ellos en cuanto llegue a casa.
26-Apr-2007 06:50 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #2
Bots, Spiders y Ataques de fuerza bruta
Desde la una de la mañana este servidor esta bajo ataques de fuerza bruta, usando su 97% de capacidad para pararlos.

Basicamente son sentencias
/bin/sh /usr/local/sbin/bfd -s

desde varias ip que tratan de entrar , pero por puerto equivocado y en los minutos que tiene el CRON no pueden acceder al server, necesitarian unos 3 años para adivinar la contraseña.

Server lento, eso si.
29-May-2008 09:20 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
TATANKA Sin conexión
Posting Freak
*****

Mensajes: 2,868
Registro en: Feb 2007
Mensaje: #3
Bots, Spiders y Ataques de fuerza bruta
Si, hoy ha estado un poco lento...

"Ni los muertos estarán seguros si el enemigo gana"

W. Benjamin
29-May-2008 10:16 AM
Visita su sitio web Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #4
Bots, Spiders y Ataques de fuerza bruta
Se hace l oque se puede. Hace rato di un mantenimiento para subir un poco el rendimiento asi que debe mejorar un poco.

Ese tipo de ataques duran en promedio seis horas.
29-May-2008 10:27 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Lux Sin conexión
Posting Freak
*****

Mensajes: 3,996
Registro en: Feb 2007
Mensaje: #5
Bots, Spiders y Ataques de fuerza bruta
seis horas! entonces debe ser un programa dedicado a intentar entrar 0_0 la ventaja es que esta detectado y controlado.

si el servidor está usando el 97% de su capacidad para controlarlo desde la 1 de la mañana... si que ha sido un esfuerzo extremo... imagina tener esa capacidad personal para enfrentar un ataque!

lux
29-May-2008 11:03 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
TATANKA Sin conexión
Posting Freak
*****

Mensajes: 2,868
Registro en: Feb 2007
Mensaje: #6
Bots, Spiders y Ataques de fuerza bruta
Ya esta mejor...

"Ni los muertos estarán seguros si el enemigo gana"

W. Benjamin
29-May-2008 11:03 AM
Visita su sitio web Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #7
Bots, Spiders y Ataques de fuerza bruta
Lux :

Los agresores que tienen esa capacidad pueden detectarse de donde lo estas usando. Alguien controla una red de maquinas, llamadas red de bots, que tratan de entrar a tomar control del servidor por algo llamado SSH. El sistema cada x numero de minutos, bloquea los que estan haciendo llamadas de ese tipo de intento de acceso, y en ese momento otra maquina trata de hacerlo.

El spyware y virus, por lo general son para instalar estas redes de bots.

Es muy facil de detectar y de parar, porque las redes de Bots suelen ser estupidas ( no pueden verificar algunas cosas basicas ), y tratan de adivinar tu contraseña dentro de un catalogo. Si tu contraseña es buena no pueden hacer nada.

Este es uno de los tres mensajes basicos :

Cita:The remote system 88.191.60.248 was found to have exceeded acceptable login failures on removido; there was 768 events to the service sshd. As such the attacking host has been banned from further accessing this system. For the integrity of your host you should investigate this event as soon as possible.

Executed ban command:
/etc/apf/apf -d 88.191.60.248 {bfd.sshd}

El segundo tipo de mensaje es este (resumido):

Cita:System Log:
May 29 10:40:37 host sshd(pam_unix)[15576]: check pass; user unknown
May 29 10:40:37 host sshd(pam_unix)[15576]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.95.179.149
May 29 10:40:41 host sshd(pam_unix)[16329]: check pass; user unknown
May 29 10:40:41 host sshd(pam_unix)[16329]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=210.95.179.149
May 29 10:40:43 host BFD(15381): {sshd} 210.95.179.149 exceeded login failures; executed ban command '/etc/apf/apf -d 210.95.179.149 {bfd.sshd}'.
May 29 10:40:44 host BFD(11501): {sshd} 202.138.152.42 exceeded login failures; executed ban command '/etc/apf/apf -d 202.138.152.42 {bfd.sshd}'.
May 29 10:40:54 host pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
May 29 10:40:54 host pure-ftpd: (?@127.0.0.1) [INFO] Logout.
May 29 10:42:50 host BFD(11501): {sshd} 125.69.89.123 exceeded login failures; executed ban command '/etc/apf/apf -d 125.69.89.123 {bfd.sshd}'.
May 29 10:44:52 host BFD(11501): {sshd} 222.90.213.110 exceeded login failures; executed ban command '/etc/apf/apf -d 222.90.213.110 {bfd.sshd}'.
May 29 10:48:40 host filelimits: Increasing file system limits succeeded
May 29 10:49:20 host pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1
May 29 10:49:20 host pure-ftpd: (?@127.0.0.1) [INFO] Logout.
May 29 10:51:24 host BFD(11501): {sshd} 92.60.65.116 exceeded login failures; executed ban command '/etc/apf/apf -d 92.60.65.116 {bfd.sshd}'.
May 29 10:53:51 host BFD(11501): {sshd} 116.50.15.44 exceeded login failures; executed ban command '/etc/apf/apf -d 116.50.15.44 {bfd.sshd}'.

Y el tercero no me ha llegado pero consiste en ...

Cita:Welcome xxx.xxx.xxx.001 (ip)
open ssh
User root
password test
rejected
user root
password test2 (prueban de un diccionario)
rejected
....
....
user root
password testx
rejected
IP WAS BANNED

Y empieza otra vez

Asi que el problema se soluciona teniendo una red que no se paralice Por tener MUCHOS accesos, una buena contraseña, y demas ( por ejemplo, mi ssh esta en un puerto diferente, y lo que los bots hacen realmente es enviarse a un log que se envia a un provider de seguridad )

Lo malo, es que estos bots se dirigen a Servidores Grandes, con buen lugar en los backbones ( por ejemplo, nosotros estamos bastante cerca, mientras que sitios de vitaminicos no lo estan ), asi que cada cierto tiempo esperamos estos ataques, que suelen ser de una vez al mes. Ahora coincidio con las pruebas de DT.
29-May-2008 11:19 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Chipola Sin conexión
Banned

Mensajes: 8,963
Registro en: Nov 2005
Mensaje: #8
Bots, Spiders y Ataques de fuerza bruta
Existe conexion alguna entre estos intentos de ataque de fuerza bruta y la publicacion del mensaje de aniversario por el 28 de mayo del 2004?

Marco Antonio Arenas Chipola fue expulsado por insultar a mujeres y reclutador para sectas. Se confirma en el año 2009 que ha sido reclutado por la secta templo de la serpiente emplumada, y que realizó robo de un perro con pedigree hacia nuestra AC, además de despojo a su maestro de artes Marciales, Hoffner Long.
29-May-2008 02:25 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #9
Bots, Spiders y Ataques de fuerza bruta
Muy Poco Probable. Este tipo de ataques me sucede en servidores no relacionados con sitios de nosotros, y este es especialmente bueno y por lo mismo tentador para hackers.

La lentitud de hoy se debe a sumar tres cosas :

(Fuerza Bruta) + (Updates de DT que consumen Memoria) +(No habia limpiado archivos de CLAMAV )

Asi que no, no creo.
29-May-2008 02:28 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Lux Sin conexión
Posting Freak
*****

Mensajes: 3,996
Registro en: Feb 2007
Mensaje: #10
Bots, Spiders y Ataques de fuerza bruta
ya comprendo el porque de la fuerza bruta

lux
29-May-2008 05:03 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #11
Bots, Spiders y Ataques de fuerza bruta
El ataque de bots mas largo que me ha tocado fue de dos dias.

Cita:May 29 22:40:47 host sshd[16348]: Received disconnect from 194.140.194.178: 11: Bye Bye
May 29 22:40:50 host sshd[16372]: Failed password for root from 194.140.194.178 port 39985 ssh2
May 29 22:40:51 host sshd[16374]: Received disconnect from 194.140.194.178: 11: Bye Bye
May 29 22:40:54 host sshd[17417]: Invalid user webadmin from 194.140.194.178
May 29 22:40:57 host sshd[17417]: Failed password for invalid user webadmin from 194.140.194.178 port 40118 ssh2
May 29 22:40:57 host sshd[17418]: Received disconnect from 194.140.194.178: 11: Bye Bye
May 29 22:41:03 host sshd[17445]: Failed password for ftp from 194.140.194.178 port 40297 ssh2
May 29 22:41:03 host sshd[17447]: Received disconnect from 194.140.194.178: 11: Bye Bye
May 29 22:41:07 host sshd[17666]: Invalid user ftpuser from 194.140.194.178
May 29 22:41:10 host sshd[17666]: Failed password for invalid user ftpuser from 194.140.194.178 port 40403 ssh2
May 29 22:41:10 host sshd[17668]: Received disconnect from 194.140.194.178: 11: Bye Bye
29-May-2008 09:55 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #12
Bots, Spiders y Ataques de fuerza bruta
Aviso que estan sucediendo otros ataques de fuerza bruta.
21-Jun-2008 03:01 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #13
Bots, Spiders y Ataques de fuerza bruta
Quiza en este momento notan el sistema mas rapido; encontré una tabla llamada ibf_spider_logs que tenia mas de 699 mil registros inutieles, de visitas de googleBot y otros bots desde el 2005.

Asi que he vaciado la tabla, y por lo menos yo siento que se tardó menos en abrir el tema que de costumbre.
08-Jul-2008 05:36 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Chipola Sin conexión
Banned

Mensajes: 8,963
Registro en: Nov 2005
Mensaje: #14
Bots, Spiders y Ataques de fuerza bruta
Eso explica la rapidez. En conexión por línea telefónica, se nota más el cambio.

Marco Antonio Arenas Chipola fue expulsado por insultar a mujeres y reclutador para sectas. Se confirma en el año 2009 que ha sido reclutado por la secta templo de la serpiente emplumada, y que realizó robo de un perro con pedigree hacia nuestra AC, además de despojo a su maestro de artes Marciales, Hoffner Long.
09-Jul-2008 12:53 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #15
Bots, Spiders y Ataques de fuerza bruta
La base de datos bajó a la mitad, esa tabla usaba mas de 50 MB
09-Jul-2008 06:02 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #16
Bots, Spiders y Ataques de fuerza bruta
Entre los bots que no permiti entrar desde que empezamos a llevar el control del 8 de junio, nos da un total de 346, que son mas o menos 5.5 diarios.

Voy a seguir llevando este control hasta aproximadamente 1000, es decir, unos cuatro meses mas. Como es de suponer tambine hay varios que nunca se validan y se borran solos al no validarse en 10 dias, pero esos no cuentan como bots aunque probablemente lo sean.
10-Aug-2008 07:49 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #17
Bots, Spiders y Ataques de fuerza bruta
Desde hace cerca de una semana hay decenas de bots que tratan de darse de alta al dia. La mayoria son faciles de identificar aunque no estan reportados en foros, debido a un modulo que hice hace meses que se enlaza con SBL para detectar cosas fuera de lo comun, y de por si la mayoria no se validan.

Esto es con fines informativos.
16-Oct-2008 08:43 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Chipola Sin conexión
Banned

Mensajes: 8,963
Registro en: Nov 2005
Mensaje: #18
Bots, Spiders y Ataques de fuerza bruta
No a los bots
No al comercio

Los bots son un intento de comercio automatico?

Marco Antonio Arenas Chipola fue expulsado por insultar a mujeres y reclutador para sectas. Se confirma en el año 2009 que ha sido reclutado por la secta templo de la serpiente emplumada, y que realizó robo de un perro con pedigree hacia nuestra AC, además de despojo a su maestro de artes Marciales, Hoffner Long.
16-Oct-2008 10:35 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #19
Bots, Spiders y Ataques de fuerza bruta
Y de publicidad automartica, principalmente medicamentos sin reseta, porno y mujeres solitrarias de rusia. La razon por la que elegi Invision es porque es el mas fuerte en parar spam.
16-Oct-2008 11:09 AM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
admin Sin conexión
Administrator
*******

Mensajes: 16,278
Registro en: Dec 2005
Mensaje: #20
Bots, Spiders y Ataques de fuerza bruta
Como parte de Un mecanismo para AHORRAR tiempo en mi caso, hice en la tarde de hoy un script que verifica varios foros, (acecho, cridheac, nasdat y rojo intenso) para mostrar solo los usuarios pendientes de aprobar, pero me permite verificar de manera muy rapida siesta boletinado y borra el usuario si existe.

Por el momento los datos no se guardan ,pero mas adelante verificar si yalo borre alguna vez,y lo borrara sin decir agua va. Es MUY rapido este metodo, borre 90 de Rojointenso en menos de 3 minutos.
21-Jun-2009 10:55 PM
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Enviar respuesta 


Posibles temas similares...
Tema: Autor Respuestas: Vistas: Último mensaje
  Estadísticas Mundiales de BOTS admin 1 1,566 07-Jul-2014 03:09 PM
Último mensaje: admin
  Intento de hackeo por fuerza bruta admin 5 8,473 15-Sep-2012 12:47 PM
Último mensaje: Dark Crow
  Ataque de Fuerza Bruta en foro sitio de tradiciones TI de Darkcrow admin 7 4,945 24-Apr-2012 02:54 PM
Último mensaje: admin

Salto de foro:


Usuario(s) navegando en este tema: 1 invitado(s)

Powered By MyBB, © 2002-2018 MyBB Group. | | Theme Created By effone of Equinox Design