Ataque a Servidor Dedicado

oficinas19 · 28 Abr 2018

Recibi de mi empresa de hosting este aviso:

Estimado(a) Cliente,

Se ha detectado una actividad irregular en su servidor ns539309.ip-14-27-10.net.

No dude en contactar con nuestro soporte técnico para que esta situación
no se vuelva crítica.

Podrá encontrar más abajo los logs indicados por nuestro sistema que han
dado lugar a esta alerta.

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

Attack detail : 22Kpps/247Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:29299 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:29299 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:29299 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:1953 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:27310 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:18249 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:48011 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:48011 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:48011 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:48011 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:29299 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:33594 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:8492 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:33594 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:1953 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:26727 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:8650 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:57242 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:57242 UDP --- 16384 23691264 ATTACK:UDP
2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:8650 UDP --- 16384 23691264 ATTACK:UDP

Este tipo de ataque es de denegacion de servicio segun leo aca:
Ataque de denegación de servicio - Wikipedia, la enciclopedia libre

Algo asi para intenterar dejarme fuera de linea el servidor?

Es correcto?
Tiene alguna solucion este tipo de ataque?

Gracias

Hypnotick · 28 Abr 2018

Iptables -I INPUT -s 47.75.68.249 -j DROP.

:topsy_turvy:

oficinas19 · 28 Abr 2018

Que hace ese comando?

ferranv · 28 Abr 2018

Hola,

¿Y que te ha dicho tu proveedor o sysadmin? xD

¿Has intentado activar el Anti-DDoS de OVH para poder intentar mitigar ese tráfico anómalo que te viene por UDP?

Tienes un ataque por UDP desde varias direcciones IP hacia puertos altos. Seguramente sea del tipo: UDP flood attack, por lo que puedo observar de tu log.

Por lo cual ese comando que te han pasado no sirve para frenar dicho ataque ya que el ataque te viene desde varias direcciones IP's y no desde una sola.

Corre este comando para detectar el tipo de ataque en tu servidor:

Insertar CODE, HTML o PHP:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Saludos.

klamardo · 28 Abr 2018

que tienes escuchando por UDP que esta mas o menos abierto o poco actualizado ... Memcached nada por ahis ?

ferranv · 28 Abr 2018

klamardo dijo:
que tienes escuchando por UDP que esta mas o menos abierto o poco actualizado ... Memcached nada por ahis ?

O lo mismo UDP flood attack o SYN flood fijo por la tesitura del ataque.

Memcached no es ya que es el port 11211 UDP y ese tipo de ataque es mucho más heavy en tráfico.

una-al-día | Hispasec: Hablemos de DrDOS

Esto tiene más pinta de server mal segurizado o troyanizado y de un ataque tipo: UDP flood attack o de un SYN flood. Pues los logs están bastante claros...

Saludos.

plex · 28 Abr 2018

Si tu server tiene firewall agrega las IP extrañas al deny.
Si no, también puedes activar Cloudflare, es gratuito y puedes agregar las IP que te atacan al blocklist :encouragement:

seprion · 28 Abr 2018

Como dice el compañero de arriba utiliza cloudflare

ferranv · 28 Abr 2018

decz dijo:
Si tu server tiene firewall agrega las IP extrañas al deny.
Si no, también puedes activar Cloudflare, es gratuito y puedes agregar las IP que te atacan al blocklist :encouragement:

También tiene:

Google | Project Shield | Free DDoS protection o Akamai. xD

Bloqueando las IP's: El problema es que el ataque es desde varias IP's y no desde una misma dirección IP. Es desde una bootnet. Por lo tanto es un UDP flood attack y no un SYN flood attack.

Como digo tiene más pinta de UDP flood attack. Los SYN flood se pueden mitigar fácilmente haciendo un par de modificaciones y aumentando el backlog queque.

klamardo · 28 Abr 2018

de los que he visto en el tiempo en UDP ... ntp memcached bind ... memcached si que lo vi fuerte en una maquina zimbra detras de un fw watchguard con reglas sacadas de una caja de cereal

plex · 28 Abr 2018

ferranv dijo:
También tiene:

Google | Project Shield | Free DDoS protection o Akamai. xD

Bloqueando las IP's: El problema es que el ataque es desde varias IP's y no desde una misma dirección IP.

Yo veo una sola IP atacando: 47.75.68.249
Generalmente los ataques son desde proxy, revisando los logs es fácil detectar cuales son las IP, si son varias se pueden bloquear también por rangos: 47.75.68.0/24 o 47.75.0.0/16 por dar un ejemplo.
Lo otro ya sería bloquear un país completo pero eso solo se puede en Firewall o con Cloudflare de pago.
Generalmente bloqueando las que más se repiten el ataque cesa :encouragement:

ferranv · 28 Abr 2018

klamardo dijo:
de los que he visto en el tiempo en UDP ... ntp memcached bind ... memcached si que lo vi fuerte en una maquina zimbra detras de un fw watchguard con reglas sacadas de una caja de cereal

No tiene pinta de Reflective DoS attack por el log.

- - - Actualizado - - -

decz dijo:
Yo veo una sola IP atacando: 47.75.68.249
Generalmente los ataques son desde proxy, revisando los logs es fácil detectar cuales son las IP, si son varias se pueden bloquear también por rangos: 47.75.68.0/24 o 47.75.0.0/16 por dar un ejemplo.
Lo otro ya sería bloquear un país completo pero eso solo se puede en Firewall o con Cloudflare de pago.
Generalmente bloqueando las que más se repiten el ataque cesa :encouragement:

Cierto. Me he fijado mejor y tienes razón.

Lo de bloquear por países si tiene el CSF es fácil.

Bloquear ataque SYN fllood:

Tiene toda la pinta de SYN flood o de UDP flood attack. Si es un ataque de tipo SYN Flood es fácil de mitigar con lo que he comentado de activar la protección syncookies a 1:

Insertar CODE, HTML o PHP:

sudo sysctl -w net.ipv4.tcp_syncookies="1"

Y aumentando el backlog queque.

Insertar CODE, HTML o PHP:

sudo sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

Prueba con esto primero:

Insertar CODE, HTML o PHP:

sudo iptables -A INPUT 1 -s IPADRESS -j DROP/REJECT

Insertar CODE, HTML o PHP:

sudo service iptables restart

Insertar CODE, HTML o PHP:

sudo service iptables save

O

Insertar CODE, HTML o PHP:

sudo route add ipaddress reject

Insertar CODE, HTML o PHP:

sudo route -n | grep IPaddress

SnAFKe · 28 Abr 2018

Estas haciendo atacado por una vulnerabilidad del Memcached que se soltó el mes pasado.

Si necesitas ayuda mándame un PM y vemos el problema.

ferranv · 28 Abr 2018

SnAFKe dijo:
Estas haciendo atacado por una vulnerabilidad del Memcached que se soltó el mes pasado.

Si necesitas ayuda mándame un PM y vemos el problema.

No creo.

Mira esto:

Memcached DDoS Attack | Cloudflare

https://blog.cloudflare.com/memcras...cado/645579-ataque-a-servidor-dedicado-2.html

No veo dicho puerto en los logs. Los ataques de Memcached van por el puerto UDP 11211.

SYN Flood o UDP Flood Attack.

El SYN Flood ya te he dicho como pararlo.

Qué le de un:

Insertar CODE, HTML o PHP:

nmap TARGET -p 11211 -sU -sS --script memcached-info

Y salimos de dudas todo el foro.

Memcached: NO ES. Los logs no dan el perfil.

Para saber si es un SYN Flood:

Insertar CODE, HTML o PHP:

sudo netstat -n | grep SYN_RECV

Saludos.

SnAFKe · 28 Abr 2018

ferranv dijo:
No creo.

Memcached: NO ES. Los logs no dan el perfil.

Si no sabes nada al respecto mejor no opines nada y des mal información.

ferranv · 28 Abr 2018

SnAFKe dijo:
Si no sabes nada al respecto mejor no opines nada y des mal información.

Primero que nos de la respuesta de y hablamos:

Insertar CODE, HTML o PHP:

nmap TARGET -p 11211 -sU -sS --script memcached-info

memcached-info NSE Script

Pueden ser varias cosas. Pero a primera vista no me parece un ataque hacia memcached. Además sin acceso directo al server es difícil de comprobar/investigar.

Aquí todos estamos haciendo posibles hipótesis. Tú también.

A ver si el que no va a saber vas a ser tú.

klamardo · 28 Abr 2018

que sabemos? que es hacia un proceso escuchando por UDP

que liste sus servicios con UDP y veamos quizas tenga algo corriendo que no deberia estar ahi o no expuesto publicamente si es un servicio tipico es probable que falten actualizaciones

netstat -lntu

y que vea que hay que pueda estar de mas

- - - Actualizado - - -

es memcached

mirar el primer post
hartos ...
144.217.10.18:11211

con esto bastaria y actualizar

iptables -I INPUT -p udp --dport 11211 -j DROP
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT

creo que te falta reglas de firewall por default .. abir al exterior solo lo necesario .. si tienes acceso KVM IP puede ir seteado ufw desde ahi si no sabes pide ayuda

ferranv · 28 Abr 2018

klamardo dijo:
que sabemos? que es hacia un proceso escuchando por UDP

que liste sus servicios con UDP y veamos quizas tenga algo corriendo que no deberia estar ahi o no expuesto publicamente si es un servicio tipico es probable que falten actualizaciones

netstat -lntu

y que vea que hay que pueda estar de mas

Por eso digo que puede ser más de una mala segurización simplemente. A mí eso no me suena a un ataque hacia memcached. Ojo, como soy novato lo mismo me equivoco. Qué podría ser. Pero yo creo saber por donde tiran las cosas en su caso. Aunque si no aporta datos al foro poco más podemos hacer.

- - - Actualizado - - -

Coño estaba cegado! Disculpar las molestias! Efectivamente ahora veo claro que es memcached. Pido disculpas. Soy novato.

2018.04.28 16:33:26 CEST 144.217.10.18:11211 47.75.68.249:29299 UDP --- 16384 23691264 ATTACK:UDP y es desde la misma IP: 144.217.10.18

Sácanos un:

Insertar CODE, HTML o PHP:

sudo iptables -L -n -v

Deberías actualizar a la última versión el memcached que tiene inhabilitado UDP por defecto o usar esta herramienta:
GitHub - 649/Memfixed-Mitigation-Tool: DDoS mitigation tool for sending flush or shutdown commands to vulnerable Memcached servers obtained using Shodan API

Disculpas. La próxima vez ya me fijo mejor en los logs.

Yo andaba haciendo suposiciones.

klamardo · 28 Abr 2018

maldito memcrashed!!!!

ferranv · 28 Abr 2018

Para desactivar UDP en memcached en Debian/Ubuntu:

Insertar CODE, HTML o PHP:

cat <<EOF >> /etc/memcached.conf

# Disable UDP
-U 0
EOF

Insertar CODE, HTML o PHP:

sudo systemctl restart memcached

O si usas SysV:

Insertar CODE, HTML o PHP:

sudo service memcached restart

Aunque mejor lo actualizas a la última versión.

Después:

Insertar CODE, HTML o PHP:

sudo ss -apu

Insertar CODE, HTML o PHP:

sudo netstat -lpu

Insertar CODE, HTML o PHP:

sudo ss -aup

En CentOS:

Insertar CODE, HTML o PHP:

sudo vi /etc/sysconfig/memcached

Insertar CODE, HTML o PHP:

OPTIONS="-l 127.0.0.1 -U 0"

Insertar CODE, HTML o PHP:

sudo service memcached force-reload

Y con el comando route de mi otro post bloqueas la IP.

Con eso se debería de solucionar el ataque.

Saludos.