Ataque DDoS a sitio Web, Necesito ayuda !

editado noviembre 2013 en Seguridad Web
Hola !

espero que alguien me pueda ayudar, tengo una pequeña pagina con wordpress pero alojada en un hosting diferente y hace unos días me apareció que había excedido el limite de transferencia, los de mi hosting me dijeron que había excedido el limite de 50 gb de transferencia y que probablemente estuviera siendo atacado con DDoS y que lo mejor era deshabilitar la pagina para que los ataques cesaran.

pues hicimos eso y después cambie todas mis contraseñas y la echaron a andar de nuevo y todo estuvo bien, pero hoy me volvió a pasar lo mismo, y me dicen los de mi hosting que revise las carpetas de imagenes y uploads para ver si no me subieron nada por que esas son carpetas con permisos 777, pero ya revise y no encuentro nada.

que puedo hacer ? donde veo yo que es un ataque DDoS O la clase de el, según tengo entendido hay varios tipos de ataques DDoS pero donde puedo yo ver eso para identificar el ataque ?

puedo hacer algo yo, para no ser atacado con DDoS o mi hosting es el que debe ponerse las pilas y hacer algo para evitar estos ataques ?

no se mucho por eso pregunto todo esto, he visto que muchos dicen que en un registro de apache se puede ver esto, pero no se mucho al respecto.

ESPERO ALGUIEN ME PUEDA ECHAR UNA MANO. GRACIAS !

Comentarios

  • Hola dante23

    Mirando lo que te pasa en tu sitio web te puedo recomendar que le heches una miradita a los siguientes artículos y notes del foro que creo podrán ser de tu ayuda para solucionar este tipo de problemas.


    [HIDE]DDoS Análisis de Ataques Coordinados[/HIDE]

    [HIDE]¿Cómo mitigar un DDoS o una Botnet?[/HIDE]

    [HIDE]Todo sobre ataques DoS [/HIDE]

    [HIDE]Ayuda con ataque DDOS[/HIDE]

    Espero te sirban.
  • editado 2:34
    Hola !

    muchas gracias por los datos, por que lei probablemente se trata de un ataque Slow HTTP DDoS Attacks, por que no afecta al servidor entero sino al servicio web solamente y ahí había unas recomendaciones como de de implementar firewall proxy etc.


    pero en mi caso que soy un cliente, y no tengo yo los servidores a mi alcance para hacer pruebas y todo lo necesario, ¿ puedo solicitar a mi hosting que realicen un escaneo para ver si encuentran algo mal en mi sitio ?


    no se, me siento como con las manos atadas, no se por que realizar un ataque a mi sitio que tiene pocas visitas y solo posteo noticias de videojuegos, tecnología etc.


    no hay nada de importancia para terceras personas en el, por otra parte he lido que los que utilizamos wordpress somos muy vulnerables a este tipo de ataques, ¿es verdad? me convendría mejor cambiarme a Joomla por ejemplo ?
  • Interesante la nota
  • editado 2:34
    De las herramientas automatizadas con mas soporte para flash y flex que conozco esta acunetix, pero aun asi el numero de falsos positivos en estas tecnologias las hacen poco recomendables, siempre sera mejor una revision manual, cuando componentes flash o flex estan involucrados en procesos importantes dentro de la aplicacion web.
  • editado 2:34
    puedes mandar tu raw del access log para ver si es un ataque
  • editado 2:34
    En mi humilde opinion, la empresa encargada del hosting deberia ser responsable o mas bien el actor principal en cuanto a las contramedidas para mitigar este ataque.

    Actualmente trabajo con firewalls y cuando un cliente nos llama por un DoS, nosotros somos los encargadoa de actuar y configurar ciertos parametros en el firewall.

    Adicionalmente, sugerimos ponerse en contacto con el ISP para que ellos comiencen a bloquear traffico de igual manera. Al fin y al cabo las medidas que yo suelo implementar en los firewalls, lo que hacen es mitigar el impacto que el DoS tiene en los servidores, mas sin embargo si este traffico ya esta llegando hasta la interfaz del device...De nuevo...Muy probablemente mitigará mas no solucionara y detendra mucho menos el ataque.

    Ahora dado que tu eres cliente y no administras los devices que dan cara a la Internet, ni supongo mucho menos vas a tener contacto con el ISP de la presa de hosting....Hermamo...Llame el hosting y que actuen.

    No soy gran conocedor de en cuanto que se puede hacer en los servers...No soy un server guy. Supongo que la empresa de hosting podra hacerte alguna que otra recomendacion, correr scans (al me os si fuese Botnet el.problema) pero, de nuevo...No soy un server guy.

    Contacta a tu hosting y exigeles. Eso hiciese yo.

    Espero TE resuelvan el problema pronto.

    Saludos.
  • editado 2:34
    Mira.. muy interesante.. pero como dice Jaraxel..
    El host se hace cargo de estas cosas.. o usas un cloud service para evitar el DDOS
    Que el host limite la solicitudes de un mismo ip... realmente es un tema del servidor, politicas de firewall y demas

    Pegale una revisadita a tu sitio con el ACUNETIX a ver que te dice!

    Un Abrazo!... y si neceitas una mano con eso, me avisas, por ahi me hago un lugarcito y te doy una mano

    @Ferkos
  • editado 2:34
    Un ejercicio que podrias hacer es solicitar los logs del web server para analizar el ataque. De entrada te puedo asegurar que no fue un Slow HTTP porque esta tipo de ataque no es distribuido y tampoco volumetrico. Podria ser mas bien un HTTP flood y eso lo podrias deducir facilmente cargandole los logs del web server a Splunk y analizando las peticiones. Podrias ver cosas como: en que rango de tiempo se registro el ataque, cuantos req/s se generaron, que URLs se consumieron durante el ataque, obviamente las IPs de origen. En fin, todo lo que un log te pueda dar. Esto te podria ayudar a entender mejor que paso y que contramedidas aplicar.

    Saludos,
Accede o Regístrate para comentar.