[RDM]

Olб Amigos do SA:MP Forums , Hoje venho informar que um exploit que estava sendo usado a varios meses ( 3~8 ) se tornou publico.
Um video apresentando o mesmo foi postado no ******* com o titulo: DDoS Attack SA:MP servers Exploit 2017 ( 0.3.7 R2 Version)
o mesmo trбs o Download do suposto exploit, o arquivo nada mais que manda pacotes de requisiзгo de cookies bem como Query mechanism Flood,

[Edit]: Cuidado! encontrei virus nesse script !
fiz um script similar para testes em localhost : https://github.com/Edresson/SA-MP-DOS-Exploit

os Efeitos sгo grandes Floods no arquivo Server_log.txt ,

O Firewall Game da Ovh trбs um proteзгo contra este ataque o truque й limitar o numero de conexхes por ip, entгo logo isso nгo й um Grande problema para as empresas que trabalham com SA:MP e utilizam estes firewalls.

Porйm se houver mudanзa no ip de ataque isso se torna um grande problema (Depende do ponto de vista ah maneiras de bloquear facilmente oque conta й o conhecimento de quem estб a mitigar este ataque),

Neste contexto podemos montar varios cenбrios :

Cenбrio 1: Usando vбrios vps para o attack ( um tanto improvбvel porйm possнvel, usar cerca de 30 ips diferente jб deve ser suficiente para derrubar um grande servidor )

Cenбrio 2 : Botnets como disse a algum tempo atrбs em um topico aqui no SA:MP forums estes ataques se tornam cada vez mais comuns e nenhuma empresa demostra uma contra partida deste ataques sempre chegando a BlastHosting clientes com servidores com media de 20 players quando possuнam superiores a 100 pois nenhuma empresa atй entгo estб a suportar estes ataques .. Os Alvos continuam os mesmos servidores RP .


Cenбrio 3: Uso de uma vps usando uma Range para spoofed o ip utilizando a funзгo bind da biblioteca sockets ( este й altamente usado por empresas para atacarem ex clientes ^ )



O Exploit й totalmente funcional ?

Se considerarmos os 3 cenбrios acima ele funciona perfeitamente se nгo for colocado regras partir da empresa de Hospedagem o servidor ficarб totalmente offline .


DICA: Nгo espere que a OVH irб bloquear este ataque sendo o ip randфmico a longo prazo ..


Aproveitar para dizer que existe um novo exploit layer 4 capaz de derrubar qualquer servidor vps hospedado na OvH ( sendo Firewall Game ou Nгo ), nгo apenas a ovh mais a maioria das empresas estгo vulnerбveis. Estamos a trabalhar para bloquear este ataque o mais rбpido possнvel cerca de 70 % do ataque jб estб sendo mitigado por nosso firewalls !


Dica : Sua empresa de Hospedagem promete proteзгo layer 7 ? teste o script no ip de seu servidor se floods de requisiзгo de cookies forem constatados no arquivo server_log.txt, seu servidor estб totalmente vulnerбvel a este ataque ! Nгo seja Enganado ( esse script estб sendo usado a vбrios meses se a proteзгo ainda n foi adicionada o serviзo й de pйssima qualidade ! ) ( Eu que tenho pouco conhecimento consegui bloquear isto logo uma grande empresa nгo conseguirб ?? )

Abraзos a Todos !

Obrigado Por ler atй o fim

[RazorGuigo]

Me irrito com esses kids sem ter o que fazer derrubar o server dos outros, ai tem que ficar se preocupando com proteзгo, e gastando money a toa.

Da vontade de fazer o server em uma DarkNet, porem os player nгo sгo muito esperto para entrar no sv, e entrariam em um mais facil! .-.

[RDM]

Quote:

Originally Posted by RazorGuigo Me irrito com esses kids sem ter o que fazer derrubar o server dos outros, ai tem que ficar se preocupando com proteзгo, e gastando money a toa. Da vontade de fazer o server em uma DarkNet, porem os player nгo sгo muito esperto para entrar no sv, e entrariam em um mais facil! .-.

Realmente a situaзгo do SA:MP estб dificil acho que deviria lanзar um update para corrigir estas vulnerabilidades pois querendo ou nгo й falha na aplicaзгo ..

[nasser]

Quote:

Originally Posted by RDM Olб Amigos do SA:MP Forums , Hoje venho informar que um exploit que estava sendo usado a varios meses ( 3~8 ) se tornou publico. Um video apresentando o mesmo foi postado no ******* com o titulo: DDoS Attack SA:MP servers Exploit 2017 ( 0.3.7 R2 Version) o mesmo trбs o Download do suposto exploit, o arquivo nada mais que manda pacotes de requisiзгo de cookies bem como Query mechanism Flood, os Efeitos sгo grandes Floods no arquivo Server_log.txt , O Firewall Game da Ovh trбs um proteзгo contra este ataque o truque й limitar o numero de conexхes por ip, entгo logo isso nгo й um Grande problema para as empresas que trabalham com SA:MP e utilizam estes firewalls. Porйm se houver mudanзa no ip de ataque isso se torna um grande problema (Depende do ponto de vista ah maneiras de bloquear facilmente oque conta й o conhecimento de quem estб a mitigar este ataque), Neste contexto podemos montar varios cenбrios : Cenбrio 1: Usando vбrios vps para o attack ( um tanto improvбvel porйm possнvel, usar cerca de 30 ips diferente jб deve ser suficiente para derrubar um grande servidor ) Cenбrio 2 : Botnets como disse a algum tempo atrбs em um topico aqui no SA:MP forums estes ataques se tornam cada vez mais comuns e nenhuma empresa demostra uma contra partida deste ataques sempre chegando a BlastHosting clientes com servidores com media de 20 players quando possuнam superiores a 100 pois nenhuma empresa atй entгo estб a suportar estes ataques .. Os Alvos continuam os mesmos servidores RP . Cenбrio 3: Uso de uma vps usando uma Range para spoofed o ip utilizando a funзгo bind da biblioteca sockets ( este й altamente usado por empresas para atacarem ex clientes ^ ) O Exploit й totalmente funcional ? Se considerarmos os 3 cenбrios acima ele funciona perfeitamente se nгo for colocado regras partir da empresa de Hospedagem o servidor ficarб totalmente offline . DICA: Nгo espere que a OVH irб bloquear este ataque sendo o ip randфmico a longo prazo .. Aproveitar para dizer que existe um novo exploit layer 4 capaz de derrubar qualquer servidor vps hospedado na OvH ( sendo Firewall Game ou Nгo ), nгo apenas a ovh mais a maioria das empresas estгo vulnerбveis. Estamos a trabalhar para bloquear este ataque o mais rбpido possнvel cerca de 70 % do ataque jб estб sendo mitigado por nosso firewalls ! Dica : Sua empresa de Hospedagem promete proteзгo layer 7 ? teste o script no ip de seu servidor se floods de requisiзгo de cookies forem constatados no arquivo server_log.txt, seu servidor estб totalmente vulnerбvel a este ataque ! Nгo seja Enganado ( esse script estб sendo usado a vбrios meses se a proteзгo ainda n foi adicionada o serviзo й de pйssima qualidade ! ) ( Eu que tenho pouco conhecimento consegui bloquear isto logo uma grande empresa nгo conseguirб ?? ) Abraзos a Todos ! Obrigado Por ler atй o fim

Acredito que esse ataque nгo terб grande influencia nos servidores mesmo a partir de grandes ataques esse ataque eu jб testei e ele sу permite utilizar o MESMO IP ou seja 1 IP sу atacando tem como bloquear, utilizar um range de IP para ataque seria muita demкncia levando em conta que a maioria das hospedagens que eles utilizam para ataques bloqueiam entгo iria ou ser bloqueado o ataque pela prуpria empresa e provavelmente iria suspender o serviзo, se isso nгo acontecer aн sim seria um ataque que ia "ferrar" muita gente,

Quote:

Originally Posted by RDM Cenбrio 1: Usando vбrios vps para o attack ( um tanto improvбvel porйm possнvel, usar cerca de 30 ips diferente jб deve ser suficiente para derrubar um grande servidor )

"Improvбvel" Jб ouviu falar em ip spoofado?

Quote:

Originally Posted by RDM Botnets como disse a algum tempo atrбs em um topico aqui no SA:MP forums estes ataques se tornam cada vez mais comuns e nenhuma empresa demostra uma contra partida deste ataques sempre chegando a BlastHosting clientes com servidores com media de 20 players quando possuнam superiores a 100 pois nenhuma empresa atй entгo estб a suportar estes ataques .. Os Alvos continuam os mesmos servidores RP .

Bot net й bloqueado pela Ovh ( falo pela Ovh pois vocк citou ela )

Quote:

Originally Posted by RDM Sua empresa de Hospedagem promete proteзгo layer 7 ? teste o script no ip de seu servidor se floods de requisiзгo de cookies forem constatados no arquivo server_log.txt, seu servidor estб totalmente vulnerбvel a este ataque !

Eu recebia diariamente em meu servidor ataques e os log's ficavam enormes, entгo coloquei isso no server.cfg

PHP код:

conncookies 0
cookielogging 0 


Hoje eu nгo recebo mais esse ataque nos LOG's do servidor porйm isso nгo quer dizer que nгo recebo ataque pois quando eu tiro isso do server.cfg volto a receber, acredito que isso nгo quer dizer que uma empresa "mitiga" esse ataque.
Por fim esse ataque vazado na net ou nгo vazado nгo modifica nada quem recebe esses ataques continuarб recebendo e provavelmente novos ataques serгo realizados por esse vazamento porem grande parte dos ataques sгo realizados por pessoas com pouca experiencia/conhecimento para realizar ataques complexos, quem sofrer problemas com esses ataques recomendo isso: clique aqui garanto que 90% dos ataques serгo bloqueados pelo mesmo motivo que falei poucas pessoas sabem "spoofar" para sair em mъltiplos IP's, quem fala que isso nгo й possнvel й porque ainda nгo recebeu esse ataque eu jб recebi o "IncomingConnection" com diversos IP's de locais totalmente diferentes sem ser range de IP's, й isso nгo vai mudar nada, agradeзo o alerta apesar de saber que ele nгo й um alerta apenas para as pessoas ficarem cientes e sim para Marketing, obrigado.

[RDM]

Quote:

Originally Posted by nasser "Improvбvel" Jб ouviu falar em ip spoofado?

Vocк sabe oque й realmente ip spoofing ?
й a capacidade de um atacante de mudar facilmente de IP ( source ip do pacote ),
Isso й possivel usando Raw Sockets ( um pouco avanзado mais da para fazer ) , porйm todos os provedores de internet estгo a bloquear isso pois estes ataques nгo sгo possiveis de ser mitigados

Quote:

Bot net й bloqueado pela Ovh ( falo pela Ovh pois vocк citou ela )

Nгo sei de onde vocк tirou isso, A Ovh tem uma boa proteзгo Sim mais contra estes ataques layer 7 especificos eles limitam por ip a quantidade de pacotes ( MBps ) ou seja se tiver varios ips o firewall da ovh nгo irб mitigar й necessбrios regras feitas com o pacotes especifico de Requisiзгo de cookies .

Quote:

Eu recebia diariamente em meu servidor ataques e os log's ficavam enormes, entгo coloquei isso no server.cfg PHP код: conncookies 0 cookielogging 0

Isso apenas irб para de gravar em logs o flood mais ele ainda estarб presente ou seja se o ataque for grande os players de seu servidor nгo conseguirгo se connectar !

Quote:

Hoje eu nгo recebo mais esse ataque nos LOG's do servidor porйm isso nгo quer dizer que nгo recebo ataque pois quando eu tiro isso do server.cfg volto a receber, acredito que isso nгo quer dizer que uma empresa "mitiga" esse ataque. Por fim esse ataque vazado na net ou nгo vazado nгo modifica nada quem recebe esses ataques continuarб recebendo e provavelmente novos ataques serгo realizados por esse vazamento porem grande parte dos ataques sгo realizados por pessoas com pouca experiencia/conhecimento para realizar ataques complexos, quem sofrer problemas com esses ataques recomendo isso: clique aqui garanto que 90% dos ataques serгo bloqueados pelo mesmo motivo que falei poucas pessoas sabem "spoofar" para sair em mъltiplos IP's, quem fala que isso nгo й possнvel й porque ainda nгo recebeu esse ataque eu jб recebi o "IncomingConnection" com diversos IP's de locais totalmente diferentes sem ser range de IP's, й isso nгo vai mudar nada, agradeзo o alerta apesar de saber que ele nгo й um alerta apenas para as pessoas ficarem cientes e sim para Marketing, obrigado.

Isso nгo irб resolver o problema pelo fato de termos varios ips envolvidos respeitando os cenarios descritos no topico isso й totalmente inutil ..

Recomendo que estude mais sobre ataque DDoS/DoS ..

[nasser]

Quote:

Originally Posted by RDM Vocк sabe oque й realmente ip spoofing ? й a capacidade de um atacante de mudar facilmente de IP ( source ip do pacote ), Isso й possivel usando Raw Sockets ( um pouco avanзado mais da para fazer ) , porйm todos os provedores de internet estгo a bloquear isso pois estes ataques nгo sгo possiveis de ser mitigados Nгo sei de onde vocк tirou isso, A Ovh tem uma boa proteзгo Sim mais contra estes ataques layer 7 especificos eles limitam por ip a quantidade de pacotes ( MBps ) ou seja se tiver varios ips o firewall da ovh nгo irб mitigar й necessбrios regras feitas com o pacotes especifico de Requisiзгo de cookies . Isso apenas irб para de gravar em logs o flood mais ele ainda estarб presente ou seja se o ataque for grande os players de seu servidor nгo conseguirгo se connectar ! Isso nгo irб resolver o problema pelo fato de termos varios ips envolvidos respeitando os cenarios descritos no topico isso й totalmente inutil .. Recomendo que estude mais sobre ataque DDoS/DoS ..

1° Sei o que й spoof sгo apenas IP's falsos nгo se trata de mudanзa de IP ou coisa alguma й possнvel realizar um ataque com spoof (IP's falsos) com apenas uma maquina ou endereзo de IP

2° Nгo sei se vocк sabe mбs botnet trata-se de um flood que estб incluso nas proteзхes oferecidas pela Ovh e se nгo estive-se vocк poderia facilmente derrubar servidores da Ovh com stresser's atй mesmo gratuitos oferecidos por alguns sites que tem o ataque botnet eu garanto que se vocк realizar um ataque em um servidor da Ovh ( Desde que a vнtima esteja na gama de proteзгo que й incluso flood no caso o GAMER ) ele irб mitigar atй a capacidade mбxima oferecida pela Ovh, a Ovh mitiga L7 Sim porйm o do SA-MP nгo pois й um erro do prуprio SA-MP!

3° Como eu disse eu desativei o conncookies & cookielogging e isso deixa de mostrar nos logs o ataque "IncomingConnection" e eu estou ciente que se tiver ataques grandes o servidor irб lagar o servidor como eu disse aqui:

Quote:

Originally Posted by nasser Hoje eu nгo recebo mais esse ataque nos LOG's do servidor porйm isso nгo quer dizer que nгo recebo ataque pois quando eu tiro isso do server.cfg volto a receber, acredito que isso nгo quer dizer que uma empresa "mitiga" esse ataque.

Vocк pode conferir tudo sobre o que falei clicando aqui o BOTNET se trata de um ataque Layer 7 entгo estб incluso.

Abraзos.

[RDM]

Quote:

Originally Posted by nasser 1° Sei o que й spoof sгo apenas IP's falsos nгo se trata de mudanзa de IP ou coisa alguma й possнvel realizar um ataque com spoof (IP's falsos) com apenas uma maquina ou endereзo de IP 2° Nгo sei se vocк sabe mбs botnet trata-se de um flood que estб incluso nas proteзхes oferecidas pela Ovh e se nгo estive-se vocк poderia facilmente derrubar servidores da Ovh com stresser's atй mesmo gratuitos oferecidos por alguns sites que tem o ataque botnet eu garanto que se vocк realizar um ataque em um servidor da Ovh ( Desde que a vнtima esteja na gama de proteзгo que й incluso flood no caso o GAMER ) ele irб mitigar atй a capacidade mбxima oferecida pela Ovh, a Ovh mitiga L7 Sim porйm o do SA-MP nгo pois й um erro do prуprio SA-MP! 3° Como eu disse eu desativei o conncookies & cookielogging e isso deixa de mostrar nos logs o ataque "IncomingConnection" e eu estou ciente que se tiver ataques grandes o servidor irб lagar o servidor como eu disse aqui: Vocк pode conferir tudo sobre o que falei clicando aqui o BOTNET se trata de um ataque Layer 7 entгo estб incluso. Abraзos.

Pensar que a ovh irб lidar com todos os ataques oriundos de botnet й ilusгo,

SIm й possivel derrubar servidores hospedados na Ovh Firewall Game com Stress logico vocк deve encontrar o site correto, existem sites de stress especializados em burlar a proteзгo da ovh ..
Segundo o Fato de estar incluso proteзгo contra ataques de Botnets nгo seria em si a proteзгo com os Bots pois pode ser qualquer ip atй mesmo vocк pode ser um bot ,

й algo complexo a ovh bloqueia atravez de determinadas anomalias nos pacotes e ataques conhecidos ...

a Ovh nгo irб bloquear um ataque desconhecido seja oriundo de uma Botnet ou Spoofed .

й necessбrio entender isso como nenhum anti-virus pode bloquear um malware sem ter conhecimento do mesmo, como acontece com Backdoors/botnets se vocк criar o seu proprio exploit que burla a proteзгo da ovh ( um ataque que ainda n foi catalogado por parte da ovh ) existem varios scripts privados por ai.. onde os mesmo conseguem derrubar qualquer servidor sendo usando vulnerabilidades a nivel de kernel ou a nivel de aplicaзгo ..

Uma Boa conduta й permitir apenas trafego do jogo ( SA:MP) na port do jogo .

Isso й possivel utilizando uma complexa logica usando iptables й possivel fazer isso , identificando pacotes "chaves" ( que todo o client mande ao tentar se connetar ) apartir dai liberando todo o trafego para o ip atй o mesmo se desconnetar do servidor .

Dos/DDos й algo muito complexo queria eu que fosse simples como muitas pessoas pensam !

Desculpe se fui um pouco rude.

[F1N4L]

Quote:

Originally Posted by RDM Desculpe se fui um pouco rude.

Li tudo o que vocкs dois postaram.
Errado pensar que isso й uma discussгo sem direзгo, pelo contrбrio, estгo colocando tudo o que sabem e isso serб muito ъtil para entendimento geral dos interessados no assunto.
Se todos tivйssemos o mesmo ponto de vista em quaisquer assuntos, nгo teria a menor graзa...
Reputados!

[nasser]

Quote:

Originally Posted by RDM Pensar que a ovh irб lidar com todos os ataques oriundos de botnet й ilusгo, SIm й possivel derrubar servidores hospedados na Ovh Firewall Game com Stress logico vocк deve encontrar o site correto, existem sites de stress especializados em burlar a proteзгo da ovh .. Segundo o Fato de estar incluso proteзгo contra ataques de Botnets nгo seria em si a proteзгo com os Bots pois pode ser qualquer ip atй mesmo vocк pode ser um bot , й algo complexo a ovh bloqueia atravez de determinadas anomalias nos pacotes e ataques conhecidos ... a Ovh nгo irб bloquear um ataque desconhecido seja oriundo de uma Botnet ou Spoofed . й necessбrio entender isso como nenhum anti-virus pode bloquear um malware sem ter conhecimento do mesmo, como acontece com Backdoors/botnets se vocк criar o seu proprio exploit que burla a proteзгo da ovh ( um ataque que ainda n foi catalogado por parte da ovh ) existem varios scripts privados por ai.. onde os mesmo conseguem derrubar qualquer servidor sendo usando vulnerabilidades a nivel de kernel ou a nivel de aplicaзгo .. Uma Boa conduta й permitir apenas trafego do jogo ( SA:MP) na port do jogo . Isso й possivel utilizando uma complexa logica usando iptables й possivel fazer isso , identificando pacotes "chaves" ( que todo o client mande ao tentar se connetar ) apartir dai liberando todo o trafego para o ip atй o mesmo se desconnetar do servidor . Dos/DDos й algo muito complexo queria eu que fosse simples como muitas pessoas pensam ! Desculpe se fui um pouco rude.

Й meio difнcil derrubar um dedicado GAMER da Ovh no stresser pois por ser gamer jб necessita de mais processamento e desempenho um Stresser nгo faria cocegas a nгo ser que a vнtima que receber o stresser use um VPS por exemplo da Ovh eles sгo bem conhecidos como "Podres" por nгo ter nem proteзхes DDoS e nem um desempenho satisfatуrio, como a maioria das hosting usam um dedicado acredito que um stresser nгo iria derrubar, volto a repetir que a Ovh bloqueia Spoof & Botnet basta enviar um ticket e eles vгo te informar, vocк tem que entender que a se a Ovh nгo tive-se cara cairia muito fбcil muitas pessoas tem acesso a um Botnet muitos conseguem Spoofar eles mitigam volto a repetir que nгo mitigam no SAMP pois й um BUG do JOGO!.

DDoS realmente nгo й simples mбs nгo й impossнvel de bloquear existem diversos meios e pelo o que jб conversei com algumas pessoas o Iptables nгo seria uma forma eficiente de bloqueio desses ataques, um ataque fraco exemplo do Incoming com pacotes "pequenos" talvez bloqueie mбs um com pacotes gigantescos numa rede o Iptables sу prejudicaria o Iptables comeзaria a trabalhar a todo instante atй que ele chega-se a consumir 99% do seu CPU fazendo com que o servidor desligue й uma atitude padrгo provavelmente vocк deve saber disso talvez vocк ainda nгo tenha recebido pacotes muito grande geralmente os ataques estгo nessa mйdia:


Й muito raro alguйm lanзar 5Gbps de ataque muito mesmo existem pessoas que tem acesso a 200Gbps de ataque aн sim se trata de pacotes que irгo fazer o que eu descrevi se nгo cair com o ataque vai cair porque o servidor irб dar restart na mбquina ou no serviзo.

Um bom dia.

Quote:

Originally Posted by F1N4L Li tudo o que vocкs dois postaram. Errado pensar que isso й uma discussгo sem direзгo, pelo contrбrio, estгo colocando tudo o que sabem e isso serб muito ъtil para entendimento geral dos interessados no assunto. Se todos tivйssemos o mesmo ponto de vista em quaisquer assuntos, nгo teria a menor graзa... Reputados!

Concordo.