Tras los pasos del phishing (Tales from the crypt)

Estándar

El otro día me enviaron un mail muy chulo. El encabezado empezada así…

eBay sent this message to you
Your registered name is included to show this message originated from eBay..

De lujo. Otro más para el phishing.. Anotada la dirección para la Guardia Civil y papelera al canto.

Esta tarde estaba aburrido. Así que le eché mano al mail y me puse a investigar…

Lo primero que hice fue mirar el código fuente del mail. Estos mails siempre son del mismo tipo y es fácil averiguar hacia dónde van nuestras queridas passwords. Al pinchar en el enlace, éste me manda a una URL que empieza por dirección IP, seguida de una ruta, tal que así:

http://21…./ws/eBayISAPI.dll

Al introducir un user y un password inexistente, el fichero eBayISAPI.dll redirecciona los datos a esta dirección:

http://members.lycos.co.uk/mancamiaipula/a.php

Me figuro que lo único que debe contener el fichero a.php es un contenedor de user y password y un redireccionamiento a una página de error. Típico caso de phishing.

La pregunta que me viene a la cabeza es la siguiente. Por qué redireccionar a una Web de Lycos y no poner un contenedor en el mismo servidor? La respuesta se puede desviar por dos cauces, bajo mi punto de vista:

  1. Ha puesto en otro servidor público el fichero maligno y así se puede curar en salud
  2. El servidor tiene un agujero del tamaño del gran cañón

Echando un vistazo por el servidor, das con la conclusión de que el server en realidad tiene una serie de agujeros por los que poder entrar (Y es Linux! :)). El más grave es que uno de los directorios de Apache tiene permiso de escritura. En 3 minutos estás dentro del server, con permisos del usuario que ha iniciado la máquina.

[modo Ficticio==ON] 

Con un simple comando (PUT Shell_en_php directorio vulnerable) hemos puesto una bonita shell en el server. Ahora nos podemos conectar a ella y ver en todo su esplendor todo lo que tiene la máquina. Tenemos un zombie!

Me bajo el ficherito de password (etc/passwd) para crackearlo tranquilamente en casa, miro logs, bases de datos y configuro el servidor de mail para poder mandar SPAM en forma de phishing y así dominar el mundo de Ebay.

Introduzco un rootkit en la máquina y listo. El server es mío. Sólo ha hecho falta que un directorio de nuestro WebSite tuviese permisos de escritura para poder hacerlo.

[modo Ficticio==OFF]

El propietario del WebServer, incluso quitando el directorio ws, que contiene los archivos falsos de EBay, ya no podría estar tranquilo, debido a que posiblemente tenga, en el mejor de los casos, troyanizada la máquina.

Vigilad vuestro territorio. Podéis ver lo fácil que puede ser vulnerar la seguridad de un servidor. La seguridad no es un elemento tangible, y es un factor que solemos rechazar. Pensamos más en desarrollar código e instalar sistemas, pero no pensamos en desarrollar código seguro y securizar sistemas. Todo el trabajo de meses, incluso años, se puede ver perjudicado por errores de este tipo. 

Si queremos combatir el SPAM, Phishing, etc.. debemos empezar por auditar y securizar nuestros equipos.

1Saludo!

Un comentario en “Tras los pasos del phishing (Tales from the crypt)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s