No sabría decir que esta pasando aquí. Básicamente he recibido un ataque DDoS que ha tumbado mi servidor de parte de la IPv6 2a01:4f8:c012:9c04::1 aunque realmente no se si la intención haya sido justamente tumbarme. Creo que mas bien exploraba vulnerabilidades y como no tengo muchos recursos, involuntariamente me tiró al suelo.
Voy a destacar estos detalles extraños con imágenes que recolecté del caso. Primero, la oleada de consultas muy seguidas al directorio /wp-json/activitypub/1.0/users/1/inbox que pertenece al conjunto de Apis de activityPub de WordPress.
No tengo mucha experiencia con IPv6, pero imagine que funcionaria igual que la IPv4, asi que me mandé una busqueda en abusedb y obtuve esto:
Definitivamente con 189 informes, no tengo duda que es un atacante, pero ¿por que la confianza de abuso es del 0%?
Aun así, es extraño. Si bien mi atacante claramente trabaja en WordPress, su objetivo era el plugin de ActivityPub. Pero lo hacia en nombre del dominio red.niboe.info que parece perfectamente valido. De hecho se dedican a la divulgación científica.
No termino de saber si algo tendrán que ver. Es posible que no sea asi pues, al hacer ping a ese dominio daba una IP, pero ahora que lo hago con ping6, me lleva a esa ip en especifico.
PING red.niboe.info(apps.niboe.info (2a01:4f9:c010:7cf6::1)) 56 data bytes
Mi blog tiene acceso a activityPub y estaba pensando en etiquetarlos para saber que opinan, pero en realidad me dio miedo.
Preferiria que si son malos, se queden lejos, así que procedo a bloquearlos por IPTABLES con el comando
ip6tables -A INPUT -s 2a01:4f9:c010:7cf6::1 -j DROP
Y a seguir con mi vida.
PD: En el momento que publique esta entrada, seguramente caerá mi blog, así que si, el fediverso da cálidos y brutales abrazos de recibimiento.
PD2: ¿Alguien sabe si de verdad son malos? Me gusta la divulgación científica, no creo que ellos se pierdan de nada si los bloqueo, pero si son inocentes me parece una falta de respeto.
