Tophost

[Tophost]

il D0s era sul server apache o sul server email?

Fin'ora gli attacchi sono sempre stati diretti verso il web server.

Tra parentesi, l'ultimo attacco da 100 Mbps era un 'icmp flood'  una specie di enorme flusso di 'ping'; e' della categoria di quelli volti solo a 'bloccare' il server
e null'altro.

[Sandrino]

Profano delle reti, mi limito a metterli on line siti e basta, chiede:

a) se ci sono degli attacchi, questi avranno un mittente, perchè non è possibile risalire alla fonte? usano dei sistemi simili ai proxy?

b) questi attacchi avete detto che sono mirati, come fanno a sapere "dove" mirare, basta sapere il nome del server MySQL?

c) siccome utilizzate i sistemi SEEWEB, anche loro ne risentono di questi attacchi??

d) perchè non fate attacchi anche voi? una sorta di risposta al fuoco? [come ultima spiaggia, ovvio]

ciao

[Tophost]

Profano delle reti, mi limito a metterli on line siti e basta, chiede:

a) se ci sono degli attacchi, questi avranno un mittente, perchè non è possibile risalire alla fonte? usano dei sistemi simili ai proxy?

b) questi attacchi avete detto che sono mirati, come fanno a sapere "dove" mirare, basta sapere il nome del server MySQL?

c) siccome utilizzate i sistemi SEEWEB, anche loro ne risentono di questi attacchi??

d) perchè non fate attacchi anche voi? una sorta di risposta al fuoco? [come ultima spiaggia, ovvio]

ciao

Per la domanda 'a' puo' vedere uno degli aggiornamenti sulle specifiche degli attacchi. Alcuni attacchi come i 'dDos' provengono da molteplici fonti.

b, c) Gli attacchi sono rivolti verso specifici IP/server, il fornitore di connettività ne risente a livello di traffico.

d) Non e' nostro costume spegnere il fuoco con la benzina. ;)

[CorryL]

vedo che la discussione si sta facendo interessante
quindi mi permetto di spiegare agli utenti meno esperti il concetto di DOS.

Allora la parola DOS viene dal termine Denial Of Services cioe' (Negazione Di Servizio).

Pultroppo non e' possibile fermare al 100% questo tipo di attacco essendo causato da alcuni bug del protocollo TCP/IP (Il protocollo Internet).

Ci sono diversi tipi di attacchi dos:

Attacco di tipo Smurf, che viene causato inviando delle richieste icmp a delle broadcast, come avviene tutto cio'?
Pensate alle broadcast come degli amplificatori di potenza Es. il finale del vostro inpianto wifi ecc ecc.
Si invia una richiesta icmp spoofata ad una determinata broadcast, quest'ultima invia la risposta all'ip inserito nella richiesta, mi spiego meglio.

Il sistema A invia una richiesta icmp al sistema B, ma nella richiesta che fa' il sistema A viene inserito l'ip del sistema C, quindi la broadcast non risponde al sistema A ma al sistema C.
Spero di essere stato chiaro.

Attacchi di tipo Ping Of Death:

Questo tipo di attacco viene causato generando un loop di richieste ping, naturalmente se il sistema A ha piu' banda del sistema B, causa un bel po' di problemi al sistema B.

Attacchi di tipo Syn Flood:

Forse il piu' diffuso fra gli attacchi Dos, questo tipo di attacco crea moltissime connessioni fra il sistema vittima e un sistema inesistente saturando le risorse del sistema.

Sono tanti i tipi di attacchi DOS, io ho descritto i piu' usati, cmq a tutto ce' un rimedio o quasi, ci sono dei firewall che ben configurati riescono a identificare questi tipi di flood e a bloccare gli effetti.

Di seguito inserisco 2 linee che possono permettere di mantenere questi tipi di attacchi:

Questo blocca i ping of death

iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j DROP

Questo Blocca i Syn Flood

iptables -A INPUT -p tcp -i ppp0 --syn -m limit --limit 1/s -j ACCEPT

naturalmente cambiate l'interfaccia in base a cosa usate, questi sono solo 3 righe di iptables, ma se configurato discretamente riesce a mantenere diversi tipi di attacchi perche' droppa i pacchetti definiti maligni prima che riescano ad arrivare al kernel e quindi saturare le risposte

 

[oineg]

Grazie CorryL per la lucida spiegazione del concetto di Dos

[AND1Games]

Mi capita quando vado a modificare i css di invision dall'admincp!
Un'altra informazione per eliminare questo maledetto worm!

[kral]

Scrivo per segnalare che da stamattina al mio sito viene aggiunto quello script in testa alla pagina, che punta a trustbid.ws (e successivamente a stats4all.ws).
Uso solo wordpress sul sito e per le statistiche uso phpstats.
L'unica cosa che ho notato di strano, è che ultimamente mi hanno fatto visita degli ip da tw, senza proveniere da siti esterni o da motori di ricerca, ma puntando direttamente all'homepage del sito.

Spero questo aiuti.

[kral]

Grandioso!
Appena segnalato e già risolto.

Grazie ragazzi,

[mpec82]

uhm stats4all.ws uhm, mi è familiare. tempo fa ho visto che firefox, in attesa di collegarsi al mio sito, era in attesa anche per stats4all.ws

ora ho reinstallato di nuovo il cms, come faccio a sapere se è tutto ok?

[kral]

ora ho reinstallato di nuovo il cms, come faccio a sapere se è tutto ok?

Lo vedi subito. Apri la tua pagina iniziale (o qualunque pagina del sito) e se in testa, prima del tag <html> trovi un tag <script> etc... vuol dire che il "worm" è attivo sul tuo sito. Cmq non credo dipenda dal cms che si usa.

[antonio]

ciao a tutti,
volevo solo segnalare che stranamente da qualche giorno ho ricevuto delle proposte da parte di un server che si chiamo tipo ip4o a ricevere da loro fornitura di hosting con ben "6 mesi gratis" (arrivano un po in ritardo e con offerta poco allettante) e loro affermano che cosi in modo random vedono gli ultimi siti registrati (io li ho entrambi su tophost).
Boh magari e' vero, e dopo l'attacco di questi giorni siamo diffidenti verso ogni cosa, ma magari no... e' comunque giusto una segnalazione per sapere se e' successo anche ad altri.
Ciao, e grazie a tutta la squadra di tophost per il loro lavoro.

[eraser]

a distanza di tempo oramai da questo attacco vorrei ritornare sull'argomento worm, se possibile, visto che non ho ricevuto risposte

É stata salvata una copia del codice del worm? se veniva eseguito direttamente in memoria è stato fatto un dump della memoria?

Sarebbe importante isolare il worm

Ciao

Eraser

[ErEiSeR]

we mio cugino eraser ma nessuno è come ErEiSeR