systemadmin.es > Seguridad > El caso de series.ly y seriesyonkis

El caso de series.ly y seriesyonkis

En el blog de series.ly hablaban ayer de un ataque DDoS contra sus servidores. Vamos a ver los detalles.

Choque de reyes de las series online

Choque de reyes de las series online

Según cuentan en su blog, desde el domingo 11 de diciembre empezó a experimentar problemas técnicos. Dandose cuenta que recibían peticiones con el Host header de images.videosyonkis.com.

Una explicación es que se equivocaran de IP ya que sus servidores de estáticos también se encuentran en OVH:

# dig s.staticyonkis.com +short
94.23.31.34
91.121.68.144
91.121.79.31
91.121.222.115
94.23.29.116
# whois 91.121.68.144
[Querying whois.ripe.net]
[whois.ripe.net]
(...)
inetnum:        91.121.64.0 - 91.121.127.255
netname:        OVH
descr:          OVH SAS
descr:          Dedicated Servers
descr:          http://www.ovh.com
country:        FR
admin-c:        OK217-RIPE
tech-c:         OTC2-RIPE
status:         ASSIGNED PA
mnt-by:         OVH-MNT
source:         RIPE # Filtered
(...)

Otra opción es que la IP asignada a series.ly estuviese anteriormente asignada a seriesyonkis. Mirando el serial del SOA indicaría que no se ha modificado desde junio (04/06/2011 versión 02):

# dig videosyonkis.com ns +short
dns2.hispalisdns.com.
dns3.hispalisdns.com.
dns1.hispalisdns.com.
# dig videosyonkis.com soa +short @dns1.hispalisdns.com
dns1.hispalisdns.com. admin.furanet.com. 2011060402 3200 1600 604800 3600
# dig videosyonkis.com soa +short @dns2.hispalisdns.com
dns1.hispalisdns.com. admin.furanet.com. 2011060402 3200 1600 604800 3600
# dig videosyonkis.com soa +short @dns3.hispalisdns.com
dns1.hispalisdns.com. admin.furanet.com. 2011060402 3200 1600 604800 3600

Pero entonces no se explica porque los problemas aparecieron desde el domingo y no desde que instalaron el servidor, y de todas formas el serial no tienen porque haberlo cambiado sino únicamente modificado el dígito menos significativo (de 01 a 02)

Desde el punto de vista de series.ly, la jugada tiene cierto sentido:

  • Los de seriesyonkis cambian las URLs de las imágenes y se deshacen del tráfico de hotlinking (ya que actualizan su site)
  • Todo el tráfico de sites que hacen hotlinking acumulados con el tiempo lo mandan a su competencia, cargando sus servidores y por lo tanto perjudicando a sus usuarios “para que vuelvan

Lo podríamos llamar un ataque de Denegación de Servicio en el sentido que intenta provocar una interrupción del servicio por sobrecarga (y distribuido porque no se trata de un único punto de origen que lanza la petición) aunque la base sea simple hotlinking.

La respuesta de series.ly, tal como comentan en su blog, también tiene su gracia. Ya únicamente les quedaba cambiar la IP del servidor o bien tragar con el tráfico, decidieron hacer algo útil (publicidad de su site) haciendo un 301 (redirect) a una imagen colgada en Facebook:

# curl -I http://images.videosyonkis.com/thumbs/zeitgeist-addendum-2008.jpg
HTTP/1.1 301 Moved Permanently
Server: nginx/0.7.65
Date: Mon, 12 Dec 2011 22:39:31 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: http://a5.sphotos.ak.fbcdn.net/hphotos-ak-ash4/376990_306046282751722_290690297620654_1015098_1969796282_n.jpg

Por lo que todos los sites que hacían hotlinking pasan a servir su imagen, por lo que obtienen repercusión:

Imagen de series.ly en los sites con hotlinking a seriesyonkis

Imagen de series.ly en los sites con hotlinking a seriesyonkis

Este tipo de jugarretas no son nada nuevo, por lo que no serían de extrañar… Aunque siempre puede entrar dentro de lo posible que se trate de un gran malentendido. Para saberlo se debería ver si realmente a partir de este domingo aparecieron las peticiones o ya estaban de antes (al menos desde el cambio del serial del SOA de videosyonkis.com), siendo los problemas que experimentan causados por alguna otra causa.

Aún así, a juzgar por los datos en el blog de series.ly, parece ciertamente que la mala pasada que les han intentado hacer le han sabido dar la vuelta muy bien.

Se acerca el invierno

6 comments to “El caso de series.ly y seriesyonkis”

  1. interesantisimo.

    tu sabes mil veces mas que yo, pero otra posibilidad seria un hack de seriesyonkis, por ejemplo un CSRF (cross site request forgery ) injectado de forma permanente en la home o un sitio con muchas visitas.

    pero bueno a esto cual es la version oficial de respuesta de yonkis ¿?

  2. aquí esta la respuesta oficial de seriesyonkis…

    http://www.seriesyonkis.com/noticia/seriesyonkis-niega-estar-tras-el-ataque-a-ninguna-web

  3. que interesante no? seriesyonkis niega el tema del CSRF i seguramente sea por el “DNS de images.videosyonkis.com no se eliminó debidamente o si alguien ha podido manipularlo.”

  4. En realidad no se trata de un CSRF ya que seriesyonkis no esta introduciendo peticiones a seriesly en su site, sino que son sites que hacen hotlinking apuntando a images.videosyonkis.com (SY cambió la URL de sus estaticos por esto a ellos no les apareció nada)

    Lo que una IP que liberan ellos pase a seriesly es mucha mala suerte y si, como dicen, les apareció de repente el tráfico tampoco tiene mucho sentido.

    Sin ver los logs del servidor de series.ly y desde cuando tiene ellos esa IP no se puede saber y no creo que estos datos se hagan públicos por lo que es muy complicado que llegamos a saber que pasó realmente

  5. Hombre lo que puede haber ocurrido es que una de las muchas paginas que tengan hotlink de images.videosyonkis.com haya sufrido el DDoS y series.ly lo haya sufrido de forma indirecta.

    En cualquier caso un descuido por parte de seriesyonkis dejarse el DNS apuntando a una ip que no les pertenece, un descuido o una jugarreta si lo hicieron sabiendo que paso a series.ly.

    La jugada de series.ly muy buena, aunque habría q saber si ya llevaban tiempo recibiendo trafico de images.videosyonkis.com y solo dio el pico el domingo por lo que he comentado antes.

    En cualquier caso lanzar acusaciones así sin investigar un poco más no parece lógico, deberían tener muy claro si ese tráfico ya lo recibían antes o no.

  6. Se entiende que es algo nuevo que les ha aparecido de la noche a la mañana, pero sin ver logs no podemos estar seguros

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>