Ricardo Galli, de software libre

Febrero 16, 2008

Ejercicio super mega interesante ¿saes? (los autores de los ataques DDoS)

Guardado en: blogs, internet, seguridad — gallir @ 12:00 am
Tags: Cristian David, F3n|X, morgan, norman, Omar Alejandro Brandan, recochineo

¿Cuál es la fake? Morgan versus Norman.

Por supuesto que está relacionado con los ataques DDoS, además al mejor estilo culebrón sudamericano. Tenemos los nombres, direcciones, teléfonos, direcciones IP… de todos los involucrados -el trío de oro- en los ataques a Genbeta, Weblogs, Menéame, elserver.com y decenas de sitios más.

Aunque ya están denunciados en España y Argentina, queremos hacer las últimas comprobaciones por nuestra cuenta. Las dos imágenes anteriores dan una buena idea de las dificultades televisivas que tenemos. Bueno, vale, aquí va un teaser al mejor estilo Play Boy. Para empatar.

Todo es dulce, como un río, como el azúcar de Cuba, modélico, y de la aldea de largas siestas. Que poético me salió el trailer :-P

Actualización: Morgan (se llama Cristian David) me dejó este aviso, donde se confirma la IP que teníamos. Ya me cansaron estos niñatos que van de aprendices de mafiosillos. Cristian, llamé a tu casa (7:05 horas en Buenos Aires), no habías regresado de “bailar” por lo que no pude hablar contigo, pero tuve una agradable conversación con tu madre, ya sabe que estás denunciado. Habla con ella, hasta tiene mi teléfono.

Nota mental: para ser un buen mafioso lo primero es irte de las casa tus papis para que no les caigan marrones por algo que no tienen la culpa. También porque mafiosillos que viven con sus papis no es la imagen que se busca :roll:

Otra actualización: hace unos minutos, 7:35 horas de Buenos Aires, Cristian David me llamó por teléfono, sólo para amenzarme que iba a tirar mi blog si decía cosas que no le gustasen. Lo peor que podría haber hecho, no acepto que intenten “censurarme” con amenazas, y lo principal, es la confirmación que necesitaba. Aquí van los datos de este personaje (ya los había pasado a la Guardia Civil, algunos detalles omitidos para preservar la privacidad de su familia):

Cristian Alberto David Gutierrez, alias Morgan, de 18 años, hermano de la conocida modelo
Cuba 248x piso xxxx
Capital Federal
Teléfono: +54 11 4782 88xx
Dirección IP, de Fibertel: 200.126.251.40

La primera imagen de arriba es una captura del momento que Morgan ejecutaba el ataque DDoS (de flood UDP) contra una IP alojada en elserver.com.

El “norman” de la segunda captura retocada (su aprendiz según Cristian) es:

Omar Alejandro Brandan, alias Norman
Barrio Misky Mayu Grupo 9 Departamento xx
La Banda, Santiago del Estero
Teléfono: +54 385 419 08xx
Trabaja en el cibercafé La Aldea, en Belgrano 1116, Santiago del Estero

El tercero del trío es el ya mencionado Emilio Ribera, alias F3n|ix, también de Santiago del Estero.

Ahora sí espero haber hecho los méritos suficientes para que Cristian David cumpla su amenaza de “dejarme sin mi blog” :roll:

22 Comentarios »

  1. Ojala paguen lo que han hecho. Estos actos no pueden quedar impunes. ¿Podrías aclararme lo de Dattatec vs ElServer? ¿La 1ª atacó a la 2ª hasta caerla?

    Un saludo

    Comentario por Javyer — Febrero 16, 2008 @ 12:49 am

  2. Yo diría que la segunda imagen es la que ha sido manipulada. La tipografía es claramente distinta (en Norman), se nota mas claramente en las aes y erres por ejemplo. Por lo que el de “Morgan” debe ser el real (si alguno lo es).

    Comentario por Jaime — Febrero 16, 2008 @ 12:58 am

  3. ¿Morgan Alvarez Luque?

    (está en el código fuente de alguno de los sitios)

    http://wordpress.org/support/topic/133945

    Comentario por JuanPablo — Febrero 16, 2008 @ 1:24 am

  4. http://www.google.com/search?hl=es&q=morgan.html+iframe&lr=

    http://www.google.com/search?hl=es&q=morgan+shellbot&lr=

    http://www.google.com/search?hl=es&q=morgan+mswinsvcr.exe&lr=

    Sin comentarios sobre el ddos

    Con respecto a lo de “versus” y lo de “¿Cuál es la fake?”

    Preguntenle a Norman , quien soy yo y quien le ha enseñado lo que hoy en dia sabe hacer

    Saludos desde Argentina

    /Morgan

    P/d: Si vuelves a nombrar la palabra “sudamericano” con otra que no me guste como “culebrón” , te quedas sin Blog ;)

    Al mejor estilo sudamericano ;)

    Comentario por Morgan — Febrero 16, 2008 @ 1:50 am

  5. Obviamente me debo estar perdiendo algo, pero no me he enterado absolutamente de nada leyendo el post.

    Comentario por Felipe Alfaro Solana — Febrero 16, 2008 @ 2:45 am

  6. Norman es el fake esta claro :P hubiera sido un detalle usar la misma tipografía :P

    Comentario por zordor — Febrero 16, 2008 @ 3:22 am

  7. Vale, ¿así queda uno luego de una semana de ataques? :P

    Comentario por J. P. — Febrero 16, 2008 @ 4:45 am

  8. Cuales son los tres al final? un Morgan, un Norman… y Rivera y Trucco?
    Y no solo atacaron otras decenas de sitios, sinó que se dedican a “torturar bloggers” que los hayan nombrado. O eso parece. Me está pasando. :S
    Me tiene podrido el ultimo que nombré… me parece que lo tengo en un post comentando e insultando constantemente, él mismo se identifico como F. Trucco (aunque no parece ser uno solo). Llegó porque al buscar f trucco caso genbeta” en la G, mi blog es el primero, sino ni andaría por ahí (no tendría sentido, no es muy -casi nada- importante el blog). Ahora no me lo puedo sacar de encima… al principio no le dí mucha bola… ahora me tiene cansado…
    Es una persona realmente extorsiva, mentiroso, inconsistente total, que NO CREE SER ARGENTINO, al punto de que nos llama sudaca… (motivo por el cual en este momento estoy buscando algún método de castración ultra dolorosa y unos pasajes a Santiago del Estero).
    Amenaza constantemente, se nota que pretende desinformar… en cada mensaje deja una nueva web con “datos del verdadero atacante”, siempre luego de mentir y contradecirse todo lo que dijo antes. No creo que sea el único blog donde están haciendo eso (aquí mismo comentó un lammer parecido creo).
    Lo malo de este tipo de cosas es que por mas denuncias que halla, los tipos estos extorsivos van a seguir teniendo tiempo de hacer estas cosas…
    La justicia es siempre lenta, y mientras tanto ellos disfrutan (o quien sabe, tal vez están cagados).

    Comentario por DIOS — Febrero 16, 2008 @ 7:20 am

  9. Ya se sabe casi con exactitud, por que una de las empresas mas grandes de la argentina en servicios de hosting, servidores, y seguridad, esta OFF completamente desde hace 4 dias, a todos nos va a sorprender, y elserver.com le dará VERGÜENZA, esta offline por “medesadmite.com” SI. (ya se sabe la verdad, por mas que quieran ocultarla, y esta información esta siendo enviada en todos los blog, y será enviada a la guardia civil para que colabore con el tema de genbeta y meneame, todo es un circulo con mas de lo mismo, muchas personas? Muchos atacantes?…)

    Prueba 1.

    http://64.233.169.104/search?q=cache:zHKRKmwkwzoJ:www.medesadmite.com/no_cierra.php+medesadmite.com+ddos&hl=es&ct=clnk&cd=2&gl=ar

    El mensaje que deja el webmaster de medesadmite.com:

    Desde hace unos días el hosting donde se encuentra alojado nuestro sitio esta siendo atacado mediante DDoS conocido como denegación de servicio, esto consiste en realizar muchas peticiones al servidor para que este deje de responder y caiga, por ahora el problema parece solucionado.
    Muchos acusan a MeDesadmite.com ser el culpable de estos ataques, de esto no existen pruebas, muchos afirman que tratan de tirar nuestra web y para ello tiran todo el hosting para que nos echen de aquí, si es necesario MeDesadmite.com mudara de hosting para no traer problemas, siempre y cuando esta noticia sea confirmada, mudaremos el sitio a un hosting en EEUU, EL SITIO NO VA A CERRAR, DEBEN SABERLO, MEDESADMITE.COM NO MORIRA, LE GUSTE A QUIEN LE GUSTE!!!!!!!!!
    En caso de que funcione medesadmite.com y elserver.com el link para leer el articulo esta en http://www.medesadmite.com/no_cierra.php

    Prueba 2.

    Otro usuario alerta el motivo por el cual una empresa MUY GRANDE como elserver.com esta OFF http://www.psicofxp.com/blog/anuncios/49.alerta-ddos-acecha.html

    El mensaje es el siguiente:

    1. COMUNIQUENSE URGENTE CON EL WEBMASTER DE http://WWW.MEDESADMITE.COM Y CORRAN LA NOTICIA EN TODOS LOS BLOG. ELSERVER.COM ES ATACADO PARA QUE CAIGA http://WWW.MEDESADMITE.COM LO MISMO LE PASO A ESTE SITIO CUANDO ALOJABA EN DATTATEC.COM TIRARON TODO DATTATEC.COM PARA TIRAR A MEDESADMITE.COM
    EL WEBMASTER DE MEDESADMITE.COM YA SUFRIO ESTO ESPEREMOS QUE PRONTO PUEDEA HACER PUBLICA ESTA NOTICIA EL MISMO.
    Prueba 3

    En este caso una web informa de lo mismo:
    http://tikitakorama.com.ar/

    El mensaje es el siguiente:

    Buscando algún dato sobre que que esta pasando, me doy con la sorpresa de que ElServer.com (donde estamos alojados) esta sufriendo un ataque DDoS (Distribuited Denial of Service o Denegación de Servicio Distribuida) que empezó en 11 de este mes (creo) y que aparentemente es un intento de tirar abajo MeDesadmite.com, uno de esos servicios que te dicen quien te tiene sin admisión en el MSN, al igual que paso recientemente con Genbeta y Menéame.

    Prueba 4

    http://www.psicofxp.com/forums/noticias.60/633420-marche-un-ddos.html

    En este caso podemos observar como el webmaster de medesadmite.com firma lo siguiente:

    yo tengo un sitio sobre msn el cual fue atacado también esta en elserver, estos pibes fueron los que tiraron dattatec tambien, están armando un lió barbaro, tienen un sitio sobre quien te admite y quien no, no estoy seguro de cual es el de ellos por eso no los pongo, son los de santiago, los mismos de siempre, genbeta fue tirado por hablar mal de sitios sobre no admitidos de ese tipo, por eso lo tiraron, habrá que hacer algo, bien por elserver que volvió rápido!

    SEGUNDO MENSAJE DEL MISMO WEBMASTER

    http://www.psicofxp.com/forums/noticias.60/633420-marche-un-ddos-2.html

    Si, son los mismos pendejos de santiago, al menos es lo que se viene hablando, nada confirmado, pero es muy probable, la modalidad de ataque es la misma, dattatec duro menos quizás porque ahí estaba quienteadmite que es unos de los sitios mas fuertes y lograron que cambiaran de server a uno yanki, todo tiene relación con este tipo de sitios, no se como habrán atacado ahora a elserver, pero fue grande, cayo todo, duro menos por suerte, se lo banco bastante…veremos como sigue

    DETALLE
    En este ultimo mensaje esta persona hace mención a la información que se maneja, que serian presuntos atacantes desde santiago del estero, también hace mención al sitio quienteadmite cuando fue atacado en dattatec (dattatec estuvo muchos dias caído por ddos al parecer por alguien que intentaba tirar a quienteadmite)

    RELACIONES Y PUNTOS EN COMUN

    Que relación tiene medesadmite.com y quienteadmite.com ¿? Porque en el index de medesadmite.com hay un link llamado http://www.genialmsn.com y porque este link redirecciona a quienteadmite.com ¿? La respuesta la tendrá el webmaster de medesadmite.com .

    Lo concreto es que es un verdadero papelón, que toda una empresa, y miles de paginas, estén caídos simplemente porque a alguien se le ocurre expulsar de forma ilegal a medesadmite.com de elserver.com, habría que ver que clases de extorsiones recibió el webmater de medesadmite.com, le habrán pedido dinero??

    Tambien estamos armando un blog con toda la información de un presunto sospechoso, somos cautelosos, y no hacemos ningun tupo de acusacion como otros, sin antes tener la suficiente cantidad de datos como para hacer una acusacion, por eso aun no la dejaremos, pero adelantamos que se trata sobre “norman linares” quien tiene relacion con gente dedicada al contrabando de electrodomesticos en santiago del estero, con presunta colaboración de la policia.

    HABRA MAS INFORMACION, MUCHISIMA MAS, INFO DE LA BUENA.

    Comentario por periodismobasura — Febrero 16, 2008 @ 7:37 am

  10. […] Galli se cansa de los niñatosricardogalli.com/2008/02/16/ejercicio-super-mega-interesante… por aberron hace pocos segundos […]

    Pingback por Galli se cansa de los niñatos — Febrero 16, 2008 @ 11:57 am

  11. Entre que ellos se pican facilmente y que a ti te gusta tocarles las pelotillas…

    No te estreses que seguro que su padre le da un par de cachetes en el culo y le castiga sin cenar por hacer tanta tontería.

    Comentario por Jill — Febrero 16, 2008 @ 12:08 pm

  12. […] Ejercicio super mega interesante ¿saes? (los autores de los ataques DDoS). Por Ricardo Galli. […]

    Pingback por Loogic Links 118 Loogic.com Blog Archive — Febrero 16, 2008 @ 12:37 pm

  13. Owned otra vez. Dios mío, esto es fascinante.

    PD: No he dejado las palomitas desde entonces.

    Saludos

    Comentario por BatchDrake — Febrero 16, 2008 @ 12:43 pm

  14. Rciardo, ejem… ¿tienes también los datos de la hermana? … ;-)

    Comentario por pontifex — Febrero 16, 2008 @ 1:00 pm

  15. pero eso que es un IRC? por que veo lo de la @Morgan y #elservidor :S ?

    Comentario por Jesus M. — Febrero 16, 2008 @ 1:00 pm

  16. #15, los canales IRC son el método habitual para controlar a ordenadores “zombies”. Estos se conectan al servidor y canal determinado y allí esperan los comandos que les envía el “administrador” para efectura sus ataques.

    Todos los “usuarios” que se ve en la lista de la derecha son los bots de los ordenadores zombies conectados al canal. Son esos los que hacen el “ataque”.

    #14 también, también, pero esa chica no tiene nada que ver ;-)

    Comentario por gallir — Febrero 16, 2008 @ 1:13 pm

  17. ricardo.. no te estarás metiendo en lios por publicar todos estos datos personales?

    saludos

    Comentario por alvaro — Febrero 16, 2008 @ 1:14 pm

  18. #17, me da igual, que me pongan una demanda y lo veremos, yo pagaré la multa que me toque con mucho gusto para verlos en un juzgado (y que de otra forma será casi imposible).

    Por otro lado el Morgan entró en la trampa (como un niño que se cree impune “soy el capo” dice repetidamente). Me llamó desde su casa, por eso le dejé mi teléfono, por lo que confirma el comentario que dejó aquí, la IP y además confirma las amenazas por vía telefónica… desde su casa (al lado de él estaba su madre que le intentaba tranquilizar mientras me amenazaba). ¿Más pruebas para que la pase “chachi” explicándolo a un juez?

    Sí, creo que me encantaria que se atreviesen a ponerme una demanda aquí, o en Argentina. Así quizás se asegure y adelante el proceso legal.

    Comentario por gallir — Febrero 16, 2008 @ 1:18 pm

  19. Vaya vaya.. iba a decir que todo parece ser una frustración por tener una hermana tan tan buenorra.. pero no, mejor no lo digo.

    PD: + pajas que un mono en un cocotero.

    Comentario por Bill_Gates — Febrero 16, 2008 @ 1:23 pm

  20. Mierda, se me han acabado las palomitas XD

    Comentario por Carlos — Febrero 16, 2008 @ 1:28 pm

  21. Y una vez más, queda demostrado que los delincuentes rara vez prestan atención a las consecuencias de sus actos; si tuviesen la disciplina suficiente para hacerlo, no perderían el tiempo con estas chorradas.

    Anda que llamarte confirmando su identidad… esta gente si les pones al otro lado del tablero -intentando asegurar sistemas en vez de cargárselos- no duran ni un asalto :roll:

    Comentario por JarFil — Febrero 16, 2008 @ 1:28 pm

  22. 21 Tienes toda la razón. Echas un rato en google, te descargas un par de códigos y empiezas a explotar sistemas (la mayoría son bugs en aplicaciones de PHP muy extendidas). De ahí pasan a llamarse “juackers”. Me gustaría ver como alguno de estos juackers se habría tirado por la ventana desesperado al sufrir un ataque similar al que ellos han probocado.

    Game Over chavalillos.

    Comentario por Bill_Gates — Febrero 16, 2008 @ 1:33 pm

Suscripción RSS a los comentarios de la entrada.

Deje un comentario

Blog de WordPress.com.