Лёгкий DDoS с помощью Google Sheets

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем Maxim Next, 7 апр 2014.

↑ ↓
  1. Maxim Next Безумец
    Maxim Next
    Ответить в чате

    Первый уровень

    Регистрация:
    09.01.2013
    Сообщения:
    61
    Симпатии:
    164
    Пол:
    Мужской
    Репа:
    +164 / 0 / -0
    Сегодня я бы хотел поделиться с вами способом DDoS для тех, у кого нет сильного железа или навыков программирования, для создания вируса/трояна. В этом нам поможет Корпорация Добра Google. Для DDoS мы будем использовать Google Sheets. Сначала нам нужно зарегистрироваться в google. Если у вас есть почта gmail, то, скорее всего, у вас есть аккаунт google. Так же к аккаунту нужно подключить Google Drive, чтобы вы могли создавать документы.
    Надеюсь, что у вас с этим сложностей не возникнет.
    Foreword
    Этот способ я нашёл в статье про хакера, скрывающего под псевдонимом chr13.
    Суть в использовании кода =image(”http://www.example.org/image.jpg”)
    Если ввести данную формулу в одну из ячеек в Google Sheets, то робот google перейдёт по ссылке и скачает файл, чтобы вставить его в таблицу. Но хакер обнаружил, что если добавить к ссылке случайный параметр, то робот скачает этот файл ещё раз.
    Я, конечно же, решил попробовать, и быстро написал несколько формул. (В связи с тем, что меня атаковали в прошлый раз, когда я указал свой домен в примере, тут указаны не существующие сайты..)
    =image(”http://www.example.org/image.jpg?r=1”)
    =image(”http://www.example.org/image.jpg?r=2”)
    =image(”http://www.example.org/image.jpg?r=3”)
    =image(”http://www.example.org/image.jpg?r=4”)
    Сервер действительно скачал один и тот же файл несколько раз. Вот так, имея доступ всего лишь к одному файлу, можно создать большой трафик.
    Вот подтверждение данного факта:
    Пользователь Panos Ipeirotis стал жертвой такой атаки.
    Panos Ipeirotis получил недавно счет от амазона на сумму более $1170, в то время как обычно сумма в его счетах значилась около $100.

    [​IMG]

    Как оказалось, был превышен лимит исходящего трафика, и составил он 8.8 терабайт. После проверки логов, Panos выяснил, что виновником был бот:
    74.125.156.82 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
    74.125.64.83 Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)
    По его расчетам, трафик составлял 250 гигабайт в час.Но как оказалось это был не обычный бот-crawler.Feedfetcherслужит для предварительной загрузки контента, который пользователь добляет в свой Google Reader или на свою главную страницу Google. Соответственно — загружается контент от имени пользователя, и поэтому даже игнорируется robots.txt.
    Оригинал на английском.
    Да! Тот самый робот, который загружает файл в кэш для таблицы.
    Представляю, если ко мне придёт такой счёт. (У меня unlimite. ;) )
    Ну, теперь самое интересное. Как совершить такую атаку? Легко. Найдите у жертвы на сайте файл, который в свободном доступе. То есть любой пользователь может получить к нему доступ. Получите прямую ссылку к этому файлу. Перейдя по этой ссылке вы должны получить файл. Если это изображение, то вы получите страницу только с изображением. Я же рекомендую выбрать какой-нибудь pdf файл. Он больше размером и не отображается в таблице, а значит не грузит ваш компьютер.
    Теперь самое сложное и унылое. Нужно создать ~100-200 строк кода с ссылкой на файл, причем каждая с уникальным номером. Я пробовал создавать с помощью формул, копировал с блокнота, пробовал автозаполнение — ничего не получилось. Тупо вручную написал эти пресловутые 200 строк. Но теперь можно с помощью блокнота и функции «замена» поменять мой сайт на любой другой, который вам нужен. (Файл под постом)

    ddos.

    Теперь нужно создать таблицу. Можно просто перейти по ссылке http://g.co/oldsheets
    Что дальше? Замените http://example.com/image.jpg на свою ссылку и вставляйте в таблицу.
    Создайте множество вкладок и вставляйте код. Я рекомендую около 20 вкладок. И чем быстрее будите вставлять тем лучше.
    Удачного DDoS.
     

    Вложения:

    • ddos.txt
      Размер файла
      8,8 КБ
      Просмотров:
      25
    • Мне нравится Мне нравится x 5
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Интересная штука, но это нужно проделывать с очень большими файлами, хотя если написать софт, который-бы автоматом вставлял например картинки в 200 таблиц, то и траф весь будет израсходован и сервак упадёт !

    В общем жесть !wink1 ohmy88 sm3888
     
    • Мне нравится Мне нравится x 3
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Сразу скажу как можно от этого защититься, в htaccess пропишите:

    Код:
    RewriteEngine on
    RewriteCond 
    %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?moi-sait.ru [NC]
    RewriteRule \.(jpg|jpeg|png|gif)$ — [NC,F,L]
    Вместо moi-sait.ru - вписываете свой сайт !

    Что делает данный код:

    Этот код запрещает загружать файлы ботам и сторонним сайтам:jpg|jpeg|png|gif| можете свои добавить...

    И ещё RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?moi-sait.ru [NC] это исключение, можете добавить ещё сайты, которым разрешено вставлять картинки, пример:

    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yandex.ru [NC]

    Разрешит загружать яндексу !
     
    • Мне нравится Мне нравится x 3
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    У кого nginx на фронтенде, можно сделать ещё круче:

    Код:
    location ~ \.(jpe?g|png|gif)$ {
        
    valid_referers none blocked mysite.com *.mysite.com;
        if (
    $invalid_referer) {
            return  
    403;
        }
    }
    Здесь исключения сайтов valid_referers none blocked mysite.com *.mysite.com; не забудьте вместо mysite добавить свой сайт !My mind
     
    • Мне нравится Мне нравится x 3
  5. Maxim Next Безумец
    Maxim Next
    Ответить в чате

    Первый уровень

    Регистрация:
    09.01.2013
    Сообщения:
    61
    Симпатии:
    164
    Пол:
    Мужской
    Репа:
    +164 / 0 / -0
    Решил свой сервер испытать и был приятно удивлён. Не смотря на то, что провайдер ограничивает скорость до 100 Мбит/c я смог преодолеть этот порог. Так же я выяснил что мой сервер выдерживает такую атаку, не смотря на то, что канал забивает. Попасть на сайт было возможно. И, в основном все подвисания были вызваны плохим HDD.
    burnUP2.JPG
    За эти 3 минуты было передано около 2 ГБ.
    Нагрузку на жесткий диск заснять не смог, но он был ужасно перегружен и работать на сервере в этот момент было проблемно.
    Теперь думаю покупать SSD. У него скорость куда больше. Ну или ещё один HDD, чтобы систему на него переставить. (Да у меня система и данные сервера на одном диске, но разделы разные.)
     
    • Мне нравится Мне нравится x 3
  6. Maxim Next Безумец
    Maxim Next
    Ответить в чате

    Первый уровень

    Регистрация:
    09.01.2013
    Сообщения:
    61
    Симпатии:
    164
    Пол:
    Мужской
    Репа:
    +164 / 0 / -0
    Вроде работает.
    Прописал на свой сайт и google уже не хочет качать.

    Не-а. Всё равно качает. sholoh it
    Снимок экрана от 2014-05-12 03:59:16.
     
    • Мне нравится Мне нравится x 2
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Может директивы не сработали ?

    По идеи, должен запрет на доступ получать !Не въехал!!!

    Это защита от хотлинка, в гугле вбей запрос "Защита от хотлинка", может у тебя какая специфика системы ?Не въехал!!!
     
    • Мне нравится Мне нравится x 2
  8. Maxim Next Безумец
    Maxim Next
    Ответить в чате

    Первый уровень

    Регистрация:
    09.01.2013
    Сообщения:
    61
    Симпатии:
    164
    Пол:
    Мужской
    Репа:
    +164 / 0 / -0
    Я тут посидел подумал в чем же дело. Этот способ не поможет от Google sheets. Это работает только на хотлинк. Вставил картинку на форуме, а ее не показывает. Значит защита работает, а google все равно качает.
    Тут дело в другом. Роботы не делают хотлинк. Они напрямую обращаются к файлу и качают его сначала к себе на сервер, а потом помещают в таблицу, то есть без перенаправления.
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей