want to advertise here $100 / views

May 4, 2013

Pemilu Malaysia dan DDOS

Malaysia memiliki pemilu akhir pekan ini yang telah dikelilingi oleh isu-isu. Kami tidak akan masuk ke politik, tapi salah satu situs klien kami (sumber raasia berita Malaysia populer), mulai menderita DDOS skala yang sangat besar (didistribusikan penolakan serangan layanan). Reuters juga memiliki cerita yang sama tentang situs lain dan kita bisa memastikan apa yang mereka katakan:

Malaysia memiliki pemilu akhir pekan ini yang telah dikelilingi oleh isu-isu. Kami tidak akan masuk ke politik, tapi salah satu situs klien kami (sumber berita Malaysia populer bahwa kami tidak akan nama), mulai menderita DDOS skala yang sangat besar (didistribusikan penolakan serangan layanan). Reuters juga memiliki cerita yang sama tentang situs lain dan kita bisa memastikan apa yang mereka katakan:

Ini situs Malaysia yang spesifik telah ditargetkan selama beberapa minggu, tapi karena 1 Mei, situs mereka dilanda botnet sangat besar.

rincian teknis

DDOS ini httpd-based dan menargetkan web server mereka. Ini dimulai dengan menargetkan handler 404 mereka dengan mencoba untuk mengunjungi halaman yang tidak ada. Yang menarik adalah pilihan URL mereka memutuskan untuk menggunakan "FloodFloodFLOOD":

175.137.68.143 – - [01/May/2013:10:00:38 -0400] “GET /wp-content/uploads/2013/05/FloodFLOODFloodFLOOD.png HTTP/1.1″ 404

w – - [01/May/2013:10:00:38 -0400] “GET /wp-content/uploads/2013/05/FloodFLOODFloodFLOODFloodFLOODFLOOD.png HTTP/1.1″ 404 0

183.171.176.221 – - [01/May/2013:10:00:38 -0400] “GET /wp-content/uploads/2013/05/FloodFLOODFloodFLOODFloodFLOOD.png HTTP/1.1″ 404

Yang dapat dengan mudah diblokir dan disaring, sehingga mereka cepat beralih ke jenis yang lebih kompleks serangan. Karena situs ini WordPress, mereka memutuskan untuk menargetkan fungsi pencarian untuk memotong setiap cache internal dan memastikan bahwa setiap halaman sebenarnya dimuat:

75.136.214.155 – - [02/May/2013:11:57:30 -0400] “GET /?s=1367683016682 HTTP/1.1″ 200 154 “http://www.erapasca.com/2013/05/pecah-berita-tanda-bn-nak-tumbang.html” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.56 Safari/537.36″

175.136.214.155 – - [02/May/2013:11:57:30 -0400] “GET /?s=1367683016683 HTTP/1.1″ 200 154 “http://www.erapasca.com/” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.56 Safari/537.36″

123.136.106.225 – - [02/May/2013:11:57:30 -0400] “GET /?s=1367682722241 HTTP/1.1″ 200 154 “http://www.erapasca.com/2013/05/pecah-berita-tanda-bn-nak-tumbang.html” “Mozilla/5.0 (Linux; Android 4.0.3; GT-P5100 Build/IML74K) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.169 Safari/537.22″

175.140.99.225 – - [02/May/2013:11:57:30 -0400] “GET /?s=1367682708689 HTTP/1.1″ 200 154 “http://siaranradioonline.blogspot.com/search/label/” “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0; BOIE9;ENUS)”
.. thousands more per second .. 

Perhatikan bahwa mereka perujuk dan agen pengguna cenderung palsu dan hanya digunakan untuk mencoba untuk memotong setiap filter keamanan.

Ukuran DDOS dan Botnet mereka
Apa sebenarnya mengesankan tentang serangan ini adalah jumlah alamat IP (bot) yang digunakan. Hanya dalam 24 jam terakhir, 36.367 (ya, 36 ribu alamat IP yang berbeda) yang digunakan untuk menyerang situs ini. Ini berarti bahwa orang-orang di balik itu memiliki kekuatan yang baik. Yang menarik adalah bahwa semua alamat IP juga berasal dari rentang IP Malaysia dan tampaknya datang dari desktop dikompromikan.

Karena itu adalah suatu peristiwa yang sedang berlangsung, kita tidak akan memberikan rincian lebih lanjut dan kami bekerja sama dengan pihak yang berwenang dan CERT Malaysia untuk menghentikan mereka.

sources : Sucuri

Artikel Terkait

0komentar:

Post a Comment