← Cases
Segurança digitalInfraestruturaCloudflare

Resposta a um ataque DDoS de 534 milhões de requests

Segurei um ataque de 534 milhões de requests em 24h, sem equipe de TI e com zero minuto de downtime.

534M
requests de ataque em 24h
99,9%
mitigados pelo Cloudflare
0
minutos de downtime

O problema

O site era a principal porta de entrada digital de uma campanha a deputada estadual. Em abril de 2026 ele sofreu um ataque em dois tempos: primeiro um hack via plugin do WordPress que injetou redirecionamentos para um site de apostas turco, e em seguida um DDoS massivo, originado principalmente da Índia, que gerou 534,9 milhões de requests em cerca de 24 horas.

Não havia equipe de TI. A resposta foi inteiramente conduzida por mim, em paralelo às demandas normais da operação.

O diagnóstico

Os logs do Cloudflare revelaram o padrão: IPs concentrados em três ranges (um deles com 81,7M de requests sozinho), método GET massivo via desktop, pico entre 18h e 21h. No segundo momento, o ataque evoluiu para força bruta em wp-login.php e wp-admin-ajax.php — tentativa de tomar o controle administrativo do WordPress.

A resposta técnica

  • Under Attack Mode no Cloudflare (desafio em todos os acessos)
  • Managed Rules e regras customizadas bloqueando os ranges atacantes
  • Bot Fight Mode para tráfego com assinatura de bot
  • Rate limiting em wp-login.php e wp-admin-ajax.php
  • Sanitização do banco via SQL para remover os redirecionamentos injetados
  • Restauração via backup no cPanel e remoção do plugin vulnerável

O resultado

O site ficou no ar durante todo o ataque. 533,87M de requests foram mitigados pelo Cloudflare antes de chegar ao servidor. O tráfego legítimo não foi afetado e as proteções seguem ativas, sem novo incidente.

A lição: resposta a crise não é velocidade, é sequência certa. Diagnosticar antes de agir.