O que é um ataque de Botnet e como proteger o teu site

Principais conclusões

• Os ataques de botnets utilizam milhares de endereços IP de rotação rápida para sobrecarregar os servidores Web, tornando o bloqueio manual de IP uma estratégia de defesa ineficaz e sem escala.
• A proteção manual de sítios está sujeita a falhas, uma vez que a falta de um único script ofuscado ou de um IP rotativo deixa o teu servidor completamente vulnerável a cargas maliciosas.
• O Cloudways Malware Protection Add-on automatiza a segurança no nível do servidor, garantindo que scripts maliciosos sejam neutralizados instantaneamente antes que possam ser executados.

Compreender o que é um ataque de botnet é fundamental quando a CPU do teu servidor atinge subitamente o limite máximo devido a milhares de tentativas de início de sessão falsas. No fundo, é um ciberataque em grande escala levado a cabo por uma rede de dispositivos infectados e controlados remotamente.

Isto cria um grande problema para os proprietários de sítios Web, porque tentar bloquear manualmente os endereços IP ofensivos raramente funciona. O tráfego malicioso simplesmente muda para novas fontes quase instantaneamente.

A defesa contra ameaças automatizadas é fundamental para a segurança do site. Uma vez que as defesas manuais não conseguem acompanhar a rotação de IPs, a utilização de um sistema de proteção automatizado é a solução mais prática.

Neste guia, explicaremos como essas redes operam e os diferentes tipos de ataques que elas lançam. Também descreveremos as etapas para interromper um ataque ativo manualmente e mostraremos como o complemento Cloudways Malware Protection oferece uma solução automatizada permanente.

O que é um Botnet?

O termo é uma combinação das palavras ” robot” e ” rede“. Na sua essência, uma botnet é uma coleção maciça de máquinas comprometidas ligadas à Internet que foram agrupadas para atacar alvos externos.

Uma vez infectadas com malware, estas máquinas comprometidas operam silenciosamente em segundo plano. Espera que um atacante remoto emita comandos para executar tarefas coordenadas contra alvos web específicos.

Para um administrador de um site, o perigo é que estes ataques parecem vir de milhares de endereços IP diferentes ao mesmo tempo, tornando-os incrivelmente difíceis de bloquear manualmente.

Quando o teu servidor sofre um aumento súbito de tráfego malicioso ou tentativas de início de sessão automatizadas, normalmente são estas máquinas comprometidas que trabalham em conjunto para sobrecarregar os teus recursos ou adivinhar as tuas palavras-passe administrativas.

Os dados do Relatório de Ameaças DDoS 2024 da Cloudflare destacam a escala desse problema. Somente em 2024, a Cloudflare rastreou botnets massivos que lançaram 21,3 milhões de ataques automatizados contra a infraestrutura da Web em todo o mundo, representando um aumento de 53% em relação ao ano anterior.

Embora estas redes visem todos os tipos de aplicações e servidores personalizados, concentram-se frequentemente em plataformas populares. Por exemplo, a investigação mostra que 98% dos pedidos HTTP maliciosos dirigidos a caminhos de início de sessão padrão do WordPress(/wp-admin/) estão diretamente ligados a actividades automatizadas de redes de bots.

Se o teu servidor permanecer desprotegido, uma botnet não se limitará a colocar o teu site offline. Vai violar o teu ambiente e utilizar como arma os teus próprios recursos de alojamento para ajudar a atacar o resto da Internet.

Pára automaticamente os ataques de Botnet

O bloqueio manual de IP falha contra botnets rotativos. O complemento Cloudways Malware Protection usa a verificação no nível do sistema operacional para neutralizar instantaneamente as cargas maliciosas antes que elas sejam executadas.

Protege-te

Como é que as redes de bots funcionam?

Para executar um ataque contra o teu site, o atacante precisa de uma forma de comunicar com milhares de dispositivos infectados simultaneamente. Esta comunicação é feita através de uma infraestrutura de Comando e Controlo (C&C).

O atacante envia instruções para a rede, dizendo a cada máquina comprometida para visar o endereço IP específico do teu servidor e executar exatamente a mesma ação maliciosa de uma só vez.

Essas redes geralmente se baseiam em um dos dois modelos de arquitetura para distribuir essas instruções. Compreendê-los ajuda a explicar porque é que estes ataques são tão difíceis de parar manualmente.

O modelo cliente-servidor

Esta é a configuração mais antiga. Os dispositivos infectados ligam-se diretamente a um servidor central para receber as suas encomendas. Embora isto seja eficiente para o atacante, cria um ponto fraco.

Se os profissionais de segurança localizarem e bloquearem esse servidor principal, os dispositivos infectados perdem as suas instruções e o ataque ao teu site pára imediatamente.

O modelo Peer-to-Peer (P2P)

Os atacantes desenvolveram o modelo P2P descentralizado para corrigir a fraqueza de um servidor central. Nesta configuração, as máquinas infectadas partilham comandos diretamente umas com as outras. Se a tua firewall bloquear um segmento da rede, os restantes dispositivos simplesmente encaminham a sua comunicação através de diferentes pares.

Para o proprietário de um sítio Web, isto significa que não existe uma única fonte a bloquear. O tráfego de ataque muda constantemente, tornando as botnets modernas excecionalmente difíceis de parar utilizando regras de segurança básicas.

Tipos comuns de ataques de botnets

Quando um atacante controla uma rede maciça de dispositivos infectados, pode utilizar esse poder de computação combinado para lançar vários tipos diferentes de ataques contra o teu servidor.

Negação de serviço distribuída (DDoS)

Este é o tipo de ataque mais visível. A rede recebe ordens para inundar o teu servidor alvo com tráfego de lixo e pedidos falsos.

O principal objetivo dos ataques DDoS é consumir toda a largura de banda e capacidade de processamento disponíveis até que o teu servidor simplesmente crashe. Os teus clientes legítimos são deixados a olhar para páginas de erro offline enquanto te esforças por restaurar o acesso.

Recheio de credenciais e força bruta

Os atacantes utilizam frequentemente botnets para invadir os painéis administrativos dos sites. Os dispositivos comprometidos utilizam milhares de endereços IP rotativos para testar rapidamente listas de palavras-passe roubadas nas tuas páginas de início de sessão.

Como as tentativas de login vêm de muitos locais diferentes ao mesmo tempo, os plugins de segurança padrão que limitam as tentativas de login muitas vezes não conseguem bloquear o ataque.

Spam e phishing

Os botnets são responsáveis pelo envio de milhões de e-mails de spam automatizados todos os dias. Se os atacantes conseguirem comprometer o teu servidor e o adicionarem à sua rede, utilizarão os teus recursos de alojamento para enviar campanhas de phishing ou inundar o teu site com spam de formulários de contacto.

Isto arruinará rapidamente a reputação do endereço IP do teu servidor e fará com que os teus e-mails comerciais legítimos acabem nas pastas de spam.

Distribuição de malware

Em vez de simplesmente fazer crashar o teu site, os atacantes utilizam redes automatizadas para sondar milhões de servidores à procura de vulnerabilidades específicas.

O botnet procura automaticamente software desatualizado ou ficheiros nucleares fracos. Assim que encontra uma falha na tua segurança, deixa cair ficheiros maliciosos ou spyware diretamente no teu ambiente de alojamento para manter o acesso permanente.

Como as redes de bots atacam os sítios Web

As botnets comprometem sistematicamente os servidores Web utilizando um ciclo de vida de ataque em três fases. O processo é totalmente automatizado e concebido para explorar vulnerabilidades em milhares de alvos simultaneamente.

1. Reconhecimento e sondagem

Os botnets utilizam scripts automatizados para analisar continuamente a Internet em busca de infra-estruturas vulneráveis. Sondam endereços IP de servidores à procura de portas abertas, credenciais administrativas fracas e aplicações Web desactualizadas. O objetivo é mapear alvos exploráveis sem acionar firewalls de segurança básicas.

2. Violação e infeção

Assim que uma vulnerabilidade é encontrada, a botnet executa a intrusão. Normalmente, isto envolve o lançamento de ataques de força bruta distribuídos contra portais de início de sessão ou a exploração de software não corrigido para contornar a segurança.

Depois de violar o perímetro, a rede lança um payload malicioso no servidor. Os atacantes instalam frequentemente uma backdoor WordPress oculta para manter o acesso remoto persistente, mesmo depois de a vulnerabilidade inicial ter sido corrigida.

3. Ativação e exploração

O servidor comprometido está agora integrado na botnet. O servidor de comando central sequestra os teus recursos de alojamento e largura de banda para actividades maliciosas.

Isto inclui a utilização do teu servidor para lançar ataques DDoS contra alvos externos ou a implementação de spam SEO automatizado, como o hack de palavras-chave japonês, diretamente no teu domínio.

Sinais de que o teu servidor está sob um ataque de Botnet

Um ataque de botnet é difícil de identificar à primeira vista porque o tráfego vem de milhares de fontes diferentes em vez de um único IP malicioso. No entanto, podes identificar um ataque ativo verificando estas áreas específicas do teu ambiente de alojamento:

Utilização elevada da CPU do servidor

Verifica o painel de controlo do teu alojamento quanto a esgotamento súbito de recursos. Se os teus recursos estiverem subitamente a esgotar-se, mas as tuas análises não mostrarem novos visitantes humanos, é provável que haja bots envolvidos.

As redes automatizadas frequentemente martelam pontos de extremidade específicos com muitos recursos, como portais de login ou gateways de API. Se fores um utilizador da Cloudways, podes monitorizar estes picos de utilização diretamente a partir do painel de controlo da Cloudways.

Picos de falhas nos logins

Os teus registos de segurança são um indicador primário. Um fluxo repentino de tentativas de autenticação falhadas a partir de endereços IP aleatórios em todo o mundo aponta diretamente para uma campanha de preenchimento de credenciais distribuída.

Em vez de um único IP tentar uma centena de palavras-passe, um botnet utiliza uma centena de IPs diferentes para tentar uma palavra-passe cada, de modo a contornar as proibições básicas de segurança. Verifica a tua firewall de aplicações Web ou os registos de acesso do servidor para ver se as tuas páginas de início de sessão estão a ser muito visadas.

Alterações inesperadas de ficheiros

Se a botnet conseguir violar o teu perímetro, verás modificações não autorizadas. Procura contas de administrador não reconhecidas que apareçam no teu painel de controlo do CMS ou scripts PHP estranhos que apareçam de repente nos teus diretórios públicos.

Os atacantes deixam cair estes ficheiros para estabelecer uma backdoor escondida ou para sequestrar os recursos do teu servidor para enviar spam automatizado.

Como proteger o teu site contra Botnets

Proteger o teu servidor contra botnets significa filtrar o mau tráfego antes que ele consuma os teus recursos e bloquear os pontos de entrada que os scripts automatizados visam. Aqui estão as estratégias mais eficazes para proteger o teu servidor de ataques de botnets:

Bloqueia as páginas de início de sessão

Os botnets contornam a limitação de taxa padrão distribuindo as suas tentativas de início de sessão por milhares de endereços IP rotativos. Uma vez que não podes confiar apenas nas proibições de IP para impedir um ataque distribuído, tens de reforçar o próprio processo de autenticação.

A aplicação da autenticação de dois factores (2FA) garante que, mesmo que um script automatizado adivinhe com êxito uma palavra-passe de administrador através do preenchimento de credenciais, não pode aceder ao teu backend sem o código secundário sensível ao tempo.

Automatiza a correção de vulnerabilidades

As redes de bots vasculham constantemente a Web em busca de falhas de segurança conhecidas em plug-ins desatualizados e no software principal. No momento em que uma nova vulnerabilidade é divulgada, estas redes automatizadas começam a procurar servidores que não tenham aplicado o patch.

Confiar em actualizações manuais deixa o teu ambiente exposto durante esta janela crítica. Tens de implementar um sistema que aplique actualizações críticas imediatamente.

Podes ativar as actualizações em segundo plano nativas no teu CMS ou configurar painéis de gestão de terceiros, como o ManageWP ou o MainWP, para gerir automaticamente as actualizações em massa em vários domínios.

Se você usa o Cloudways, pode ativar o complemento SafeUpdates para automatizar esse processo. Ele detecta, testa e aplica atualizações de rotina e de segurança aos seus aplicativos sem exigir intervenção manual.

Como parar um ataque de Botnet manualmente

Embora as defesas automatizadas sejam a melhor estratégia a longo prazo, podes encontrar-te no meio de um ataque ativo sem uma firewall instalada.

Quando milhares de IPs rotativos estão a martelar o teu servidor, tens de tomar medidas manuais imediatas para eliminar os pedidos maliciosos e manter a tua infraestrutura online.

Como os vectores de ataque e as pilhas de servidores variam, não existe um único comando mágico para parar uma botnet. No entanto, aqui está o processo de mitigação manual padrão para recuperar o controlo do teu servidor:

1. Identificar o padrão de ataque nos teus registos

Os botnets normalmente visam uma vulnerabilidade ou um ponto final específico. Tens de descobrir exatamente o que estão a pedir para o poderes bloquear. Acede aos registos do teu servidor através do teu terminal para identificar a anomalia.

No exemplo da captura de ecrã acima, podes ver um padrão clássico de ataque distribuído a emergir no registo de acesso bruto. Observa atentamente estes indicadores específicos:

• Rotação de endereços IP: Se os pedidos forem originados de endereços IP completamente diferentes (como os exemplos 192.0.2.14 e 198.51.100.42 mostrados) em vez de uma única fonte, isso sugere fortemente que há uma rede distribuída envolvida.
• Pedidos idênticos e carimbos de data/hora: Se reparares em vários pedidos POST a martelar exatamente o mesmo ficheiro (como /login.php) exatamente no mesmo segundo (12:15:01, 12:15:02), esta frequência rápida aponta diretamente para bots automatizados.
• Correspondência de agentes de utilizador: Se todos os pedidos usarem exatamente a mesma cadeia de caracteres do browser (como o exemplo “Mozilla/5.0…”) apesar de virem de IPs globais diferentes, é um sinal de alerta enorme. Isto indica que um script coordenado está a executar os comandos.

2. Bloqueia o URI visado ao nível do servidor

Assim que identificares o ficheiro específico ou o ponto final que os bots estão a visar (como o ficheiro /login.php do exemplo anterior), corta o acesso a esse caminho.

Se o ficheiro visado não for crítico para as tuas operações de frontend em tempo real, elimina o tráfego ao nível do servidor antes de consumir os teus recursos de PHP ou de base de dados.

A captura de ecrã acima mostra um bloco de configuração básica do Nginx concebido para rejeitar estes pedidos maliciosos. Dependendo da pilha do teu servidor Web, podes implementar regras semelhantes:

• Para o Nginx: Adiciona um bloco de localização no teu ficheiro de configuração principal que devolve um estado 403 Forbidden para o URI visado. Podes restringir especificamente os pedidos POST, deixando os pedidos GET abertos para os visitantes normais.
• Para o Apache: Implementa uma regra de negação rigorosa no teu ficheiro .htaccess utilizando a diretiva <Limit POST> para rejeitar instantaneamente o tráfego automatizado.

3. Implementa um Rate Limiting agressivo

Uma vez que é impossível bloquear todos os IPs rotativos de uma botnet, tens de restringir o número de vezes que um único IP se pode ligar dentro de um período de tempo específico.

Ferramentas como o Fail2Ban permitem-te criar regras personalizadas (conhecidas como “jails”) que eliminam automaticamente as ligações de IPs abusivos.

Como mostrado na configuração acima, podes definir limites rigorosos para proteger o teu servidor e evitar o esgotamento da base de dados:

• Define as condições de proibição: Podes configurar o Fail2Ban para analisar os registos do servidor e assinalar qualquer IP que exceda os limites normais de pedidos. Neste exemplo, se um IP disparar 10 erros (maxretry = 10) dentro de uma janela de 10 minutos (findtime = 600), é classificado como malicioso.
• Automatiza o bloqueio: Uma vez ativado, o sistema bloqueia automaticamente o IP ofensivo ao nível da firewall durante 2 horas (bantime = 7200). Isto corta instantaneamente o tráfego da botnet e dá às tuas páginas dinâmicas com muitos recursos tempo para recuperar.

4. Dimensiona temporariamente os recursos do servidor

Analisar os registos e configurar as regras da firewall demora tempo. Se a tua CPU ou memória já estiver no máximo, o teu servidor pode falhar antes de as tuas defesas terem efeito. Aumentar temporariamente a capacidade do teu servidor ajuda a absorver o fluxo inicial de tráfego malicioso.

Os usuários do Cloudways podem usar o controle deslizante de escala vertical no painel de gerenciamento do servidor para adicionar instantaneamente CPU e RAM. Isso dá ao ambiente espaço de respiração suficiente para permanecer responsivo enquanto processa as novas regras de limitação de taxa.

Os passos manuais que abordámos são apenas o início. Tens de aprofundar a tua infraestrutura de servidor para impedir verdadeiramente os ataques de botnet.

A atenuação manual é, em última análise, inescalável contra milhares de endereços IP que giram rapidamente. Para lidar com ameaças que inevitavelmente escapam, é necessária uma solução automatizada em nível de servidor, como o complemento Cloudways Malware Protection.

Solução automatizada para parar Botnets: Complemento de proteção contra malware da Cloudways

Como o bloqueio manual de IPs tem dificuldades contra botnets rotativos, confiar apenas na defesa de perímetro é perigoso. Precisas de uma segurança profunda do servidor para apanhar os payloads assim que chegam ao teu ambiente.

O complemento Cloudways Malware Protection opera no nível do sistema operacional, verificando continuamente as alterações de arquivos internos. Ao utilizar a autoproteção de aplicativos em tempo de execução (RASP), o sistema isola e neutraliza automaticamente os scripts maliciosos no momento em que eles tentam ser executados.

Isto protege a tua aplicação de dentro para fora, contornando completamente a necessidade de seguir endereços IP individuais.

Como ativar o complemento Cloudways Malware Protection

A ativação desta proteção ao nível do servidor não requer qualquer configuração manual e funciona sem esgotar os recursos da tua aplicação.

• Navega até Segurança do aplicativo: Faça login na sua conta Cloudways, selecione seu aplicativo de destino, clique em Segurança do aplicativo no menu à esquerda e escolha a guia Proteção contra malware.
• Ativa o Scanner: Clica em Ativar proteção para ativar a monitorização em tempo real e iniciar uma verificação abrangente dos ficheiros e da base de dados do servidor.

• Monitoriza o painel de controlo: O painel de controlo categoriza as acções automatizadas em separadores como Malicioso (listagem de ameaças isoladas e caminhos de ficheiros) e Defesa proactiva (registos que mostram precisamente quando os scripts activos foram bloqueados).

Terminar!

Os botnets utilizam milhares de endereços IP variáveis para sobrecarregar sites, forçar a entrada em contas e espalhar malware.

Embora a configuração das regras do servidor e a verificação dos registos sejam bons pontos de partida, tentar bloquear todos os IPs manualmente durante um ataque ativo é uma batalha perdida.

Para impedir eficazmente os ataques de botnets, os proprietários de sítios Web têm de confiar na segurança automatizada em vez de bloqueios manuais.

Em vez de tentar constantemente rastrear e banir novos endereços IP, o uso de uma ferramenta como o complemento Cloudways Malware Protection protege seu site de dentro para fora. Ele encontra e bloqueia automaticamente arquivos maliciosos antes que eles possam ser executados, garantindo que seu site permaneça protegido sem a necessidade de intervenção manual constante.