Nodo50

Hola, durante los días 27 a 30 de enero hemos tenido problemas con el servidor web. Un ataque distribuido de denegación de servicio y nuestros esfuerzos por contrarrestarlo provocaron que hubiera cortes intermitentes en el servicio web, de forma que en determinados momentos no era posible visitar las páginas webs alojadas en Nodo50. No se vieron afectadas por esta incidencia ni los servicios de correo (incluido el correo por web), ni las listas de correo.

El origen del ataque es el virus Worm.W32/Imav@IM que comenzó a propagarse el jueves 26 de enero. Cuando este virus infecta un ordenador con Windows realiza una serie de tareas, una de ellas es la descarga de un archivo llamado ddd.jpg que no es una imagen como parece, sino un programa que utiliza el virus para propagarse.

El virus incluye una larga lista de sitios web, de URLs, desde donde descargar el archivo ddd.jpg, y en esa lista los creadores del virus incluyeron una web alojada en Nodo50. El archivo ddd.jpg jamás ha estado disponible en esa web ni en ninguna otra alojada en Nodo50, así que desconocemos la razón por la que esa URL fue considerada por los creadores del virus como un posible sitio de descarga.

Al ir propagándose la infección cada vez eran mas los ordenadores infectados que le hacía peticiones de descarga de ese archivo a nuestro servidor web, lo que acabó provocando su saturación, incapaz de atender esa avalancha de peticiones sumadas a las visitas normales de cada día. A pesar de que el archivo no estuviera disponible cada petición supone un cierto trabajo para el servidor.

Hemos detectado 264.774 direcciones IP que nos han pedido el archivo ddd.jpg, lo que correspondería como mínimo a igual número de ordenadores infectados, pero podría ser más ya que detrás de una dirección IP puede haber más de un ordenador. En total nos han pedido 2.393.924 veces el archivo. En determinados momentos, nuestro servidor web recibió hasta 110 peticiones por segundo del virus, que se sumaban a las 60 peticiones por segundo de media del funcionamiento normal de todas las webs que alojamos. Es decir, un aumento casi del 300 %.

Hemos bloqueado muchas de las IPs infectadas en nuestro cortafuegos, pero es imposible bloquearlas todas, ya que eso provocaría una degradación importante del rendimiento de la red. También hemos preparado una versión propia del archivo ddd.jpg para que cuando sea descargado y ejecutado por el virus, aparezca un mensaje informando que ese ordenador está infectado.

Desde el lunes 30 por la noche el funcionamiento del servidor web ha vuelto a la normalidad salvo para la web que se incluía en la lista de descargas del virus, que hemos tenido que desactivar para proteger al resto de webs que alojamos. Estamos ahora estudiando la forma en que podemos hacer que esa web vuelva a funcionar.

Podéis leer mas sobre el funcionamiento del virus Worm.W32/Imav@IM en http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5705

Las mismas técnicas que utiliza este virus son utilizadas por programas conocidos como "malware", que son utilizados para infectar ordenadores y luego utilizarlos para enviar spam o para realizar ataques sin conocimiento del responsable del equipo. Es lo que se conoce como ordenadores zombies. Por eso es tan importante que las personas que utilizan Windows se preocupen de la seguridad de sus equipos, ya que no sólo pueden poner en riesgo sus propios datos, sino que también pueden servir, sin saberlo, de plataforma para atacar a otros.

Mas información sobre ordenadores zombies http://es.wikipedia.org/wiki/Botnet http://www.hispasec.com/unaaldia/2647 

Fuente: lafogata.