Hola a tod@s!
En el primer post estuvimos viendo en primera instancia la historia de cómo unos rusos estaban spammeando la red. Aunque el post que escribí ayer está en tono jocoso, debido principalmente a que los spammers no se han preocupado por la seguridad de sus sites, el asunto es bastante serio. El impacto del ataque se puede apreciar en una de las imágenes que publiqué ayer.
Imagen 1. Impacto del ataque. + de 1.590.000 hits
Sorprende también que entre los favoritos de los rusos se encuentren sistemas operativos tan poco accesibles por malware o vulnerabilidades como MAC OSX…
Imagen 2. Mac OSX + IPhones! Oh my God!!
A la hora del descubrimiento de servidores, me sorprendieron varios ficheros y directorios. Hablemos de los directorios en primera instancia.
En una de las Webs (Todavía accesible a día de hoy), existen dos directorios que acojonan a simple vista, debido al contenido de ellos. En uno de ellos, llamado cookies se encuentran más de 500 ficheros con cookies de correos electrónicos spoofeados, y los que le quedan….
Imagen 3. Directorio Cookies
En cuanto al otro directorio, llamado spammed, contiene identidades de correos electrónicos que YA han sido crackeados, con lo que los rusos tienen un control total de las acciones llevadas a través de esos correos electrónicos. Si a eso le sumamos la cantidad de información privada (extractos bancarios, passwords, etc…) que podemos encontrarnos en esas "identidades", la cosa escala a niveles superiores.
Imagen 4. Directorio Spamed
En el directorio raíz, también encontramos mucha información. En dicho directorio, encontramos más de 200 MB en correos electrónicos. Contando con que son archivos de tipo TXT, son muchos correos electrónicos por crackear…
Imagen 5. Directorio Principal.
En cuanto a las direcciones IP, tan solo una de ellas está listada en algún tipo de Black list, tal y como reflejan Robtex y SpamHaus.
Imagen 6. Lista negra. Robtex
Imagen 7. Lista Negra SpamHaus
Gracias a que pertenencen a una de estas listas, los navegadores que consulten estas listas, pueden alertar de un posible peligro al visitar alguna de estas páginas. Prueba de ello es Google y su sistema Safe Browsing.
Imagen 8. Google Safe Browsing
Otro dato interesante que me ha llamado la atención, y haciendo honor a las "auditorías escalables", en cuanto a servicios y servidores se refiere, es la visualización de un archivo Log en uno de los servidores. Este archivo Log contiene las rutas de lo que parece ser el traspaso de ficheros entre dos servidores. Una dirección más para el EvilMap!. Como no tenía ganas de seguir "auditando", porque esto puede ser el nunca acabar, pego un bonito phpinfo que se han dejado por ahí…. 😉
Imagen 11. Daaaatossss
Y por último, si os digo que el PhpMyAdmin de una de las Webs no tenía password…. La cosa cambia no?
Imagen 13. Ohhhhh No hay datos!
En cuanto al código fuente del malware, por si alguien le quiere echar un vistazo, os paso los links de ambos códigos (Javascript y Java) pasteados en pastebin.
http://pastebin.com/f356f20f0 (Código Javascript)
http://pastebin.com/f45e076e2 (Código Java)
Salu2!
Sin duda genial el trabajo. Una pena que “Null” jodiese tu trabajo 😦
Gran final! Putada lo de null aunque supongo que desde su punto de vista estaba haciendo lo que creia mas correcto.
Saludos
Muy bueno que gran articulo sobre todo por que en la vida todo es mas sobroso cuando grande quiero ser como tu jeeje.
Gracias por compartir
Si esto es lo que haces durante un Sabado de aburrimiento (los mios no son mucho mejores… ) mejor no saber que harías durante una semana entera xd. En fin, gran trabajo el tuyo y una buena auditoria ademas de bien explicada para un neófito como yo, por cierto a parte de este post ¿Supongo que denunciaras a estos Rusos no? o dejaras que sigan bebiendo Vodka gratis ;-)…saludos.
“Como el sábado no tenía nada que hacer” … ¬_¬ …
:D, un gran trabajo!
Muy buenos posts Juanillo! Por suerte para el resto, es muy común que gente que se dedica a estos temas (los Rusos en este caso), no protejan los datos que manejan por. Lo que te puedes llegar a “divertir” con un correo de “el banco X le pide que revise sus datos”.
Muy buenos los posts otra vez 😉
Buenas Juanito, soy un alumno del centro de estudios monlau en el que diste un par de conferencias el viernes 6. Como no e encontrado tu direccion por ningun sitio te dejo el comentario para ver si te puedes poner en contacto conmigo para enviarme los powerpoints que pusiste como me dijiste al final de la clase cuando fui a preguntartelo.
Bueno espero respuesta.
Que vaya bien maquina!
Felicitaciones Juantio! Excelente trabajo y muy bien explicado el procedimiento. Yo también poseo un blog de seguridad. Apunto por lo general a sitios y servidores Argentinos. Quiero que mi país entre en conciencia de la importancia de la seguridad informática. Te dejo un link de una escala de privilegios que realice en 3 post que te puede interesar. Saludos!!
http://insegar.blogspot.com/2009/12/blue-box-escala-de-privilegios-parte-1.html
Your’s is the inineltglet approach to this issue.