Por @Alvy — 5 de Noviembre de 2005

Hoy el servidor está un poco inestable, no sabemos si por un lado son temas técnicos de la empresa donde se aloja (eso fue esta mañana) o por algo que hemos visto ahora que es un flood de trackbacks: miles y miles de peticiones de trackbacks que están llegando con publicidad sobre webs pornográficos, la basura habitual de los imbéciles habituales (los spammers). Por desgracia llegan varias peticiones por segundo y eso atonta a la máquina. Hemos desactivado los trackbacks de todo el blog y anulado esas peticiones, prohibiendo el acceso al fichero al que intentan acceder. Veremos cómo se soluciona esto, o si va para largo. Avisaremos al terminar. Sorry por adelantado si algo falla.

Actualización (4 horas después): parece que con estas medidas el asunto está controlado y todo vuelve a funcionar OK al 100%. Sigue llegando basura a todo trapo, pero es rechazada por el servidor web sin servir contenidos ni nada (error 403, «Forbidden») aunque los spammers no hacen ni caso, claro. Los trackbacks continuarán desactivados hasta que decidamos qué hacer. De todos modos el incidente de por la mañana fue que el server se cayó por razones técnicas inexplicadas varias horas, como si lo estuvieran actualizando o algo, luego volvió a renacer pero hubo que revisar toda la configuración - y en la empresa de hosting no nos han dicho por qué. Así que... ¡vaya día de turbulencias!

Actualización (24 horas después): Parece que realmente no era spam, sino un ataque intencionado a Microsiervos de alguien que al parecer también ha estado haciendo lo mismo a otros weblogs en español.

Compartir en Flipboard  Compartir en Facebook  Tuitear

20 comentarios

#1 — Eduardo Arcos

Lo mismo pasó en ALT1040 hace unos días...era tal la cantidad de peticiones por segundo para enviar referrer spam que el servidor estaba con el load por los cielos...

Si necesitan ayuda con el tema, ya saben :-)

#2 — Alvy

Algo tipo esto?

GET /msmt/mt-tb.cgi?id=800/teen_lesbian_amateur_rare_very_good9
GET /msmt/mt-tb.cgi/600/Thongs3 HTTP/1.1
GET /msmt/mt-tb.cgi/800/Thongs5 HTTP/1.1
GET /msmt/mt-tb.cgi/800/Thongs6 HTTP/1.1
GET /msmt/mt-tb.cgi?id=800/teen_lesbian_amateur_rare_very_good8
GET /msmt/mt-tb.cgi?id=800/teen_lesbian_amateur_rare_very_good9

Hemos quitado el mt-tb.cgi temporalmente, y también le hemos puesto un «deny» en el htaccess y ahora da «Forbidden», la carga ya ha bajado muchísimo, pero llegar siguen llegando peticiones, más de 5 ó 10 por segundos, es un bombardeo en toda regla... Las IPs son todas falsas, aleatorias, no se puede hacer un deny por IP.

#3 — erchache

Ufff, eso es refer spam del quince. A mi me pasaba, porque tenía mi url en el cacheador de google.

Es imposible de bloquear, porque aunque te montes un script del carajo que pase todo tu access.log al iptables, los hits siguen llegando.

Yo quite el url de google, chape el server contra bots y modifique el .htaccess y solucioné en parte mi problema.

Aunque es muy distinto porque tengo un wiki y me lo vandalizaban cada dos por tres. Ahora a ustedes supongo que os subirá un pico la factura de ancho de banda.

Bueno, contadme como habeis pasado el chaparrón que me interesa...mi mail: asmarin@us.es.

Suerte...

#4 — Alvy

bueno, ahora mismo todas esas peticiones dan

Forbidden
You do not have permission to access this document.
Web Server at microsiervos.com

pero siguen llegando. Supongo que lo pararán visto esto. Eso consumirá poco bandwidth por suerte. Nos está consumiendo algo de CPU pero ya muy poca en comparación con antes que era exagerado.

#5 — Enric

Muerte al Spammer!

#6 — Bicholoco

Todo el día queriendo poner dos comentarios y no he podido. Y ahora se me ha olvidado lo que quería poner esta mañana. Si es que...

Bicholoco

#7 — Marta

Pues a mí me resulta interesante, #7, ver los entresijos de la página y ver que tienen problemas como todos, y las soluciones que le dan.

#8 — lurdos

¿Osea que en la mañana estuvieron en DEFCON 1?

Malditos spamers

#9 — Belgarion

A ver si yo me entero

¿Qué es un trackback? Y ¿qué sentido tiene que los spammers envien un montón de peticiones? ¿para qué son esas peticiones?

Yo pensaba que los spammers se limitaban a mandar mensajes de correo...

Nos vemos

#10 — Ruben

Espero que tengais suerte, arregleis pronto el problema y comenteis como le habeis hecho.

#11 — JarFil

Uf, esto de los spammers de blog es una paliza. Hasta antes del verano se les podía ignorar bastante, pero últimamente se están pasando cuatro pueblos. Por ahora mis soluciones van siendo:

  1. lista de palabras prohibidas

  2. banear IPs

  3. lista de dominios prohibidos

  4. a los baneados, responder con un "Location: página del referer" en vez de servir el contenido real

  5. bloquear la página de estadísticas para sólo dejar entrar con referer desde el mismo blog

... y hace dos semanas he quitado del todo la página de estadísticas. Pero no importa, sigue llegando. Ya no son 10.000 hits en unas pocas horas como me ha llegado a pasar, pero sigue pasando :-\

(más información)

#12 — vilches

Si es un ataque premeditado contra una Web, poco se puede hacer.
A mi lo que me paso es que me asaltaban a hits para colarme los referers en las estadisticas. Esto lo hacen porque revisan tu pagina y ven si muestran los referers, entonces te abrasan a hits para aparecer ellos. Una solucion fue quitar esa pagina de referers, ahora ya no se pueden ver, aun asi, siguen atacando..
Otro ataque fue la de insertar comentarios, la solucion fue cambiar los nombres de los parametros del formulario y por ahora ha funcionado. El filtro antispam del b2evolution tiene un volumen brutal y sigue creciendo, pero que le vamos a hacer!!
A vosotros no os infectan a comentarios?
Un saludo y muerte al spam... realmente consiguen visitas con ese sistema tan molesto? Jamas entrare en ningun web de las que anuncian... ni yo ni nadie, creo.

#13 — Alvy

Lo de los comentarios lo tenemos arreglado hace tiempo, los trackbacks también, todo eso lo gestiona Movable Type 3.2 bastante bien la verdad.

El problema es que esto no es spam para "salir" en los trackbacks como pensábamos, es alguien que está abusando de un servicio intermediario para enviar muchísimas peticiones por segundo con IPs diferentes al CGI de los trackbacks, lo cual en principio parecía como que era spam porno" para los trackbacks pero ya hemos confirmado que no es real, es un ataque.

Aunque ya está deshabilitado ese CGI y no funciona, siguen llegando miles de peticiones ahí, y todas dan error, pero el servidor quieras que no tiene que trabajar, aunque ahora ya no eso no supone problema.

#14 — uvigo

esos ataques estan a la orden del día; yo sufri durante unos dias algo parecido pero eran unas pocas ip's y directamente las banee

#15 — Urbanity

Aunque las peticiones lleguen con ips aleatorias, ¿no se puede averiguar de donde viene el ataque? ¿No se puede emprender ninguna medida legal ante tal abuso? Me parece muy grave que una persona o empresa se monte su sitio web y tenga que estar indefensa ante este tipo de ataques. Aunque estén consumiendo poco ancho de banda, están distorsionando el rendimiento del servido, este tipo de cosas cuestan dinero.

En fin, espero que los ataques remitan lo antes posible.

Urbanity

#16 — Alvy

No es trivial, pero algo estamos haciendo al respecto.

#17 — cinefilo

Ya me extrañaba que un trackback que envie no se publicara tan rapido.

Suerte y a darle caña a los impresentables que-sabemos.

#18 — kitai

¿Que mala costumbre tiene la gente de causar problemas los domingos eh? XDDDD


Respondo a uno de antes:
Aunque las peticiones lleguen con ips aleatorias, ¿no se puede averiguar de donde viene el ataque?
Hombre, si vienen de IPS aleatorias es mas jodido. Normalmente para este tipo de ataques se usan redes de Pc's o cosas parecidas.

¿No se puede emprender ninguna medida legal ante tal
abuso?

Salvo honrosas excepciones, la respuesta de la guardia civil a estas cosas suele ser un "no te preocupes, que lo vamos a mirar", seguido de una palmadita en la espalda para animarte.
Por HonRosa Excepción entiendo ...que solo ocurre si eres una gran empresa y quieres publicidad sobre el ataque.


ale, un saludin ;)

Kitai

#19 — Anonymous

Animo con las medidas frente al ataque. Esperamos ansiosos que el funcionamiento normal se restablezca y que nos hagais la crónica "geek" de la solución.

Supongo que ya lo conoceis, pero este es un clásico al respecto:
http://www.grc.com/dos/grcdos.htm

Suerte

#20 — Anonymous

Por cierto, que he llegado a la página a través de la caché de San Google, porque la página principal parece que está caída.

Ah, y si os gustó el enlace sobre el ataque a GRC, este describe también con gran detalle otro posterior, más elaborado (de tipo DDoS)
http://www.grc.com/dos/drdos.htm