Duda ¿Forobeta con problemas de sobrecarga?

toledano · 29 Jul 2011

El sitio que mandaba el ataque principal ya está suspendido. Yo digo que todavía hay algunos iframes por ahi...

beatqueen · 29 Jul 2011

Estaba viendo los sitios y estoy muy seguro que en el de canciones de facebook le hice una reseña y era un usuario nuevo del foro en ese momento :S

Juan Quiñónez · 29 Jul 2011

Denunciated.

Angel Ortega · 29 Jul 2011

Yo creo que esto seriviria para bloquear el ataque

Bloqueando un ataque Iframe

Googleriano · 29 Jul 2011

¿Y como uno se da cuenta desde que sitio proviene el ataque? , Es por la procedencia del alto trafico extraño?

antares · 29 Jul 2011

A mi me funciona bastante bien, felicidades a todo el equipo de ForoBeta por su pronta respuesta

Esperemos que esté arreglado de forma definitiva

verocp15 · 29 Jul 2011

Angel Ortega dijo:
Yo creo que esto seriviria para bloquear el ataque

Bloqueando un ataque Iframe

Carlos ya habia dicho que no era tan simple ya que se cargabaen un flash etc etc etc, me imagino que por eso fue complicado y duro variops dias.!

Plaga · 29 Jul 2011

Que hdp esos, bueno por el momento puse mi granito de arena y reporte ambos sitios, esperemos que se los cargue la chin...
Aunque también lo positivo de este tipo de problemas es que dejan mucha experiencia y para el futuro ya se sabe cual puede ser el problema n_n

Salu2

Gabo · 29 Jul 2011

Bueno desde hace ya varias horas que los había denunciado.
Ya va muy bien Forobeta mis respeto para Carlos 🙂

kaizerbacter · 29 Jul 2011

Hola, no tengo mucha noción de lo que este pasando, pero veo involucrado mi sitio, hace 4 o 5 dias recibi una propuesta para poner un iframe en mi web, la propuesta era jugosa asi que acepte sin lugar a pensarlo, total era un iframe que ni se notaba, en fin el mundo es chiquitito y no pense que esto fuera hacia forobeta, el usuario que me contacto se hacia llamar Dedor y el correo con el que me contacto es este Jspain11@hotmail.com.

PD saque el iframe.

Lo vuelvo a poner porque al parecer no leyeron mi mensaje.
Estaba leyendo las respuestas y bueno vaya confusion:
http://forobeta.com/dudas/58670-forobeta-problemas-de-sobrecarga-19.html

Solo quisiera aclarar algo, el usuario juanjuan de comuvir no tiene un pelo que ver en esto, si a alguien quieren echarle el guante sera a mi por haber permitido poner ese "iframe" en mi sitio sin revisarlo antes, ya que si de dinero hablamos, era una propuesta muy buena. Es cierto comparto enlaces con una web de juan y en eso no hay delito, al igual que comparto enlaces con muchas otras webs alojadas en mi dedicado.

He puesto a disposición el nombre del usuario con el que hacia llamar y su correo haber si indagan algo en los usuarios de forobeta con los datos que he puesto.

Tomemos esto como algo serio, pienso que hablar de denuncias y DMCA no vienen al caso, aquellos que hablan de eso y todo tipo de acciones relacionado a Copyright pienso que primero deberían estar informados del asunto, y si son bloggers dudo que sepan mucho del tema.

En espera de la respuesta de Carlos, ya que el incidente va directo entre el y yo.

lucioruiz · 29 Jul 2011

No me entere acerca de los ataques, webs denunciadas !! :hmpf:

happyguy2420 · 29 Jul 2011

a mi tambien me ha pasado de hecho en una intente entrar y estuvo completamente caido

Caymans · 30 Jul 2011

reportados carlos... Ojala pare eso...

Por cierto, segun vi, zonadictos o algo asi tiene como 800 personas online, con razon en el foro habia 2000 online por momentos :/

aBsTrAcTo · 30 Jul 2011

xD ninguna solucion tecnica. lol

ahora va a hacerte caso google... los casos fraudalentos. maligsiosos son diferentes.

Te regalare 10min de mi vida para solucionar tu problema

Bueno es un iframe.. podias detenerlo de varias formas
1.- despues de body del foro pon

Insertar CODE, HTML o PHP:

<script type="text/javascript">
if(top.location!=this.location) top.location=this.location;
</script>

con eso el que te haga iframe desde su web.. le cargara forobeta y no desde donde te hacen el iframe, ya lo hiciste y estaba facil
2.- instala CSF firewall.
3.- htaccess

Insertar CODE, HTML o PHP:

<Directory "/www/var/public_html/">
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://()?nombredominioatacante.*$ [OR]
# and so on
RewriteCond %{HTTP_REFERER} ^http://www.dominioatacante.com/
RewriteRule .* - [F,L]
</Directory>

espero que les sirva a los demas

la web que ataca y comuvir no son del mismo dueño

Carlos Arreola · 30 Jul 2011

Hola Abstracto

Todo eso ya lo hicimos y no funcionó, el código del iframe está hace mucho tiempo, al igual que se prohiben los hotlinks desde .htaccess.

CSF firewall también está instalado en whm.

Ahora cambiando de tema pasamos a dejar las conclusiones que por tiempo había prolongado.

Se banea a los dos usuarios que están relacionados en el ataque y en sus sitios, me refiero a:

c0k3 y kaizerbacter. Los dos han realizado negocios con dos sitios que estuvieron involucrados en el ataque al foro por lo tanto son baneados. Alguien que perjudica de esta forma al foro y a sus integrantes se ve que no tiene respeto por la comunidad ni por lo que aquí realizamos.

No me interesa realmente si ellos son los intelectuales del ataque o si realmente aceptaron un iframe por una cantidad de dinero (lo cual me parece ridículo), el problema es que tal grado de ignorancia o de indiferencia nos ha causado muchos problemas. Baneados los dos junto con sus sitios.

Llego otro usuario que no tiene vela en el entierro y que no se ni quien sea pero también va a ser baneado por sus comentarios hacia mi persona:

ignacio147 dijo:
Hola
EXIJO YA MISMO !!! que como uno de los socios que soy de comuvir.com SE BORRE AHORA NE EL ACTO CUALQUIER COMENTARIO DEL QUE SE ESTA HACIENDO que INCLUYE EN ESE ATAQUE a cualquiera de los responsables del equipo de comuvir.com . Carlos EXIJO YA MISMO QUE MODERES ESO !!!

nosotros nos limitamos a trabajar en internet desde hace 12 años !! no nos dedicamos a tonterias de niños !!!!

ignacio147 dijo:
Dado que usted no hace ningùn caso de mis educadas advertencias.Me siento con derecho de informarle,que voy abrir una denuncia ante la policia Española,por ser usted propietario de forobeta.com,foro en el cual usted esta dando soporte para en el se hagan difamaciones que afectan a mi persona,y a webs de mi empresa.

Cosas como estas les pueden dar una idea de lo que he soportado a lo ya más de dos años en el foro. Mientras esta persona me mandaba esos mensajes yo salía después de 3 días de encierro buscando solución a los problemas del foro.

No me interesa saber quien es este tipo ni su sitio, pero ahora mismo los baneo, pues si no acepta ser nombrado ni su sitio no tiene caso que se encuentre aquí. Además de que obvio, esa no es forma de dirigirse a mi persona.

Espero las decisiones estén a la altura de sus expectativas, saludos.

Joseph · 30 Jul 2011

Esta muy bien lo que has hecho, personas como estas no deben de estar en foro tan grande como este que solo se encuentra en crecimiento, muy acertada

Carlos Arreola dijo:
Hola Abstracto

Todo eso ya lo hicimos y no funcionó, el código del iframe está hace mucho tiempo, al igual que se prohiben los hotlinks desde .htaccess.

CSF firewall también está instalado en whm.

Ahora cambiando de tema pasamos a dejar las conclusiones que por tiempo había prolongado.

Se banea a los dos usuarios que están relacionados en el ataque y en sus sitios, me refiero a:

c0k3 y kaizerbacter. Los dos han realizado negocios con dos sitios que estuvieron involucrados en el ataque al foro por lo tanto son baneados. Alguien que perjudica de esta forma al foro y a sus integrantes se ve que no tiene respeto por la comunidad ni por lo que aquí realizamos.

No me interesa realmente si ellos son los intelectuales del ataque o si realmente aceptaron un iframe por una cantidad de dinero (lo cual me parece ridículo), el problema es que tal grado de ignorancia o de indiferencia nos ha causado muchos problemas. Baneados los dos junto con sus sitios.

Llego otro usuario que no tiene vela en el entierro y que no se ni quien sea pero también va a ser baneado por sus comentarios hacia mi persona:

Cosas como estas les pueden dar una idea de lo que he soportado a lo ya más de dos años en el foro. Mientras esta persona me mandaba esos mensajes yo salía después de 3 días de encierro buscando solución a los problemas del foro.

No me interesa saber quien es este tipo ni su sitio, pero ahora mismo los baneo, pues si no acepta ser nombrado ni su sitio no tiene caso que se encuentre aquí. Además de que obvio, esa no es forma de dirigirse a mi persona.

Espero las decisiones estén a la altura de sus expectativas, saludos.

aBsTrAcTo · 31 Jul 2011

Por iframe y con esa cantidad de visitas "1000 en linea" no debieron a cargar el foro.
tal vez alguna configuracion fallo.

el CSF suele matar los procesos de las ips que abren varias veces (el efecto iframe) y los bloquea por 5 minutos (no banneo)

Insertar CODE, HTML o PHP:

cat /usr/local/apache/logs/access_log |awk '{print($1)}'|sort |uniq -c |sort

nos va a dar numero de accesos por ip, cuando te atacan es mejor borrar access_log viejo y esperar a que se genere el nuevo para tener ips frescas.

muchas ips son de "bots" q aunque no puedan publicar en el foro. o algun blog.. hacen la peticion/consulta.

las tipicas ordenes para detectar ips q pueden afectarnos

Insertar CODE, HTML o PHP:

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

yo suelo bannear todas las que me aparecen.. si son de usuarios activos de mi foro me tienen que contactar y se las elimino.

Insertar CODE, HTML o PHP:

netstat -atnp -A inet | grep ":80" | awk -F " " '{print $5} ' | awk -F ":" '{print $1}' | sort | uniq -c | sort -nr | head -5

ips que hacen el mayor numero de consultas al momento

y claro. cuando hay ataque, para detectar mas rapido el problema y atacantes. hay que parar el apache. analizar los ultimos logs. saber que ips consultan, q dominio repite mas. que agent.

Insertar CODE, HTML o PHP:

tail -300 /usr/local/apache/domlogs/domain.com

Insertar CODE, HTML o PHP:

tail -1000 /usr/local/apache/domlogs/domain.com | more

con este podemos ver 1. si hay alguna otra url/archivo q nos este afectando

Insertar CODE, HTML o PHP:

tail -1000 /usr/local/apache/domlogs/tudominio.com | grep ipatacante

lo mismo si quieres saber que ips han consultado tal ruta

Insertar CODE, HTML o PHP:

tail -1000 /usr/local/apache/domlogs/tudominio.com | grep register.php
tail -1000 /usr/local/apache/domlogs/tudominio.com | grep login.php

Cuando se recibe ataque hay que ir moviendo valores a httpd.conf y my.cnf por que no estan configurados para resistir el trafico que esta llegando.

Valores al nucleo sysctl.conf

hay muchos metodos para prevenir ataques, pero sabemos que es muy facil saturar cualquier servidor. y esta deteccion previa espero que les sirva a algunos.

net.ipv4.tcp_syncookies = 1
por
net.ipv4.tcp_syncookies = 0

Insertar CODE, HTML o PHP:

vm.swappiness=1
kernel.shmmni = 4096
kernel.shmall = 536870912
kernel.shmmax = 2147483648
kernel.threads-max = 98006
fs.file-max = 307615
fs.aio-max-nr = 1048576
kernel.sched_autogroup_enabled=1
kernel.sched_rt_runtime_us = 960000

cierras ejecutas

sysctl -p
hay mas valores por modificar aun. depende de los recursos del servidor, procesador, ram

CavCristhian · 2011-08-02T09:54:23-0500

Excelente aporte Enlace eliminado, por lo menos de todo lo malo siempre se aprenden cosas buenas, y en este caso aprendimos mucho todos. La verdad yo no tenia idea que existieran ataques de ese tipo.

Puchi · 2011-08-02T09:59:39-0500

a mi hasta ahora me viene andando bien...

charlymaiz · 2011-08-02T10:05:58-0500

Un segundo mas lento, pero anda bien

Duda ¿Forobeta con problemas de sobrecarga?

toledano

beatqueen

Juan Quiñónez

Angel Ortega

Googleriano

antares

verocp15

Plaga

Gabo

kaizerbacter

lucioruiz

happyguy2420

Caymans

aBsTrAcTo

Carlos Arreola

Joseph

aBsTrAcTo

CavCristhian

Puchi

charlymaiz

Temas similares

Privacidad y transparencia

Privacidad y transparencia