Ayer sufrimos el peor ataque de denegación de servicio que se recuerda desde que Dimensis se dedica a dar servicios de alojamiento en Internet. Una de nuestras IPs sufrió un brutal ataque desde varias IPs, proveedores y nacionalidades.
Alrededor de las 18:15 horas se detectaron los primeros síntomas de ralentización y hacia las 18:45 horas el servicio en una de nuestras máquinas quedó completamente inaccesible de forma remota. La máquina estuvo conectada en todo momento, pero la avalancha de peticiones inundó todo el ancho de banda de la IP y la máquina. El firewall y el router quedaron también colapsados en los primeros momentos.
Durante la primera hora no se pudo hacer mucho más que intentar reiniciar la máquina y la conexión sin éxito, para después tratar de reconducir el tráfico y filtrar las conexiones. Pero la pérdida de paquetes tcp era enorme y el timeout bloqueaba cualquier intento en pocos segundos.
Fué necesario detener la máquina y revisar una a una las IPs y el firewall. Poco a poco se logró cercar el ataque hasta localizarlo hacia una de las IPs principales. También se logró bloquear los accesos desde varias decenas de IPs y rangos.
Alrededor de las 23:00 horas se reinició la máquina y se mantuvo en funcionamiento unos minutos, pero se detectaron nuevos ataques, esta vez desde dos IPs principalmente. A las 00:00 horas el ataque se empezó a intensificar y se colapsó todo el servicio de correo saliente (smtp) por el puerto 25. Los escaneos de puertos y peticiones masivas para la denegación del servicio se volvieron cada vez más abundantes.
Se tuvo que detener de nuevo la máquina y reprogramar el firewall para denegar todo el tráfico entrante. Los técnicos del datacenter tuvieron que acceder físicamente a la máquina ante la imposibilidad de conectar por software y se habilitó un acceso remoto por hardware para que los técnicos de Dimensis también pudieran revisar todo el sistema.
A las 02:00 horas se logró detener el ataque y limitarlo a una única IP. Todas las demás se reactivaron progresivamente y se fué abriendo el firewall. Antes de las 04:00 horas todas las IPs de la máquina volvieron a la normalidad, excepto la IP más afectada por el ataque, que tuvo que permanecer desactivada hasta las 09:00 horas.
Después de bloquear los ataques desde mirrows, proxies y conexiones zombies, se alcanzó el origen del ataque en dos IPs: una perteneciente a Orange (España), ubicada en Madrid, y otra perteneciente a una empresa holandesa de servicios de hosting (LeaseWeb).
Una vez bloqueadas las IPs atacantes, se restableció por completo el servicio en el servidor compartido dimensis.biz.
Hoy se ha contactado con las empresas propietarias de las IPs atacantes para solicitar que detengan el ataque y que nos remitan una explicación sobre lo sucedido y las medidas adoptadas para impedir que vuelva a repetirse. Por lo general, ya sabemos que seguramente estas IPs habrán sido utilizadas de forma fraudulenta, sin conocimiento de los propietarios, pero si no se observa una predisposición clara a la colaboración, se presentará una reclamación formal.
Lamentamos todas las molestias que este grave ataque ha podido tener para nuestros clientes. Únicamente puede haberse visto reducida la gravedad por haber coincidido la incidencia con horario no laboral, pero aún así sabemos que varios clientes se han visto perjudicados.
Para Dimensis ha supuesto más de 16 horas de trabajo, nervios y preocupación, al margen de las compensaciones que puedan llevarse a cabo con los clientes afectados. Por suerte este tipo de ataques no son nada habituales, ni en virulencia ni en duración. Pero cuando se producen suponen un grave perjuicio para todos los afectados.
Para concluir, sólo hace falta añadir que ningún cliente ha tenido que temer por la pérdida de datos, correos o el ataque directo hacia su página web. Como hemos indicado, el ataque se centró en el servicio SMTP, con el objetivo de utilizar la máquina para el envío masivo de SPAM.