Timando a los timadores II de II

Estándar

Hola a tod@s!

En el primer post estuvimos viendo en primera instancia la historia de cómo unos rusos estaban spammeando la red. Aunque el post que escribí ayer está en tono jocoso, debido principalmente a que los spammers no se han preocupado por la seguridad de sus sites, el asunto es bastante serio. El impacto del ataque se puede apreciar en una de las imágenes que publiqué ayer.

Imagen9 

Imagen 1. Impacto del ataque. + de 1.590.000 hits

Sorprende también que entre los favoritos de los rusos se encuentren sistemas operativos tan poco accesibles por malware o vulnerabilidades como MAC OSX…

imagen13

Imagen 2. Mac OSX + IPhones! Oh my God!!

A la hora del descubrimiento de servidores, me sorprendieron varios ficheros y directorios. Hablemos de los directorios en primera instancia.
En una de las Webs (Todavía accesible a día de hoy), existen dos directorios que acojonan a simple vista, debido al contenido de ellos. En uno de ellos, llamado cookies se encuentran más de 500 ficheros con cookies de correos electrónicos spoofeados, y los que le quedan….

Imagen14

Imagen 3. Directorio Cookies

En cuanto al otro directorio, llamado spammed, contiene identidades de correos electrónicos que YA han sido crackeados, con lo que los rusos tienen un control total de las acciones llevadas a través de esos correos electrónicos. Si a eso le sumamos la cantidad de información privada (extractos bancarios, passwords, etc…) que podemos encontrarnos en esas "identidades", la cosa escala a niveles superiores.

Imagen12

Imagen 4. Directorio Spamed

En el directorio raíz, también encontramos mucha información. En dicho directorio, encontramos más de 200 MB en correos electrónicos. Contando con que son archivos de tipo TXT, son muchos correos electrónicos por crackear…

Imagen11

Imagen 5. Directorio Principal.

En cuanto a las direcciones IP, tan solo una de ellas está listada en algún tipo de Black list, tal y como reflejan Robtex y SpamHaus.

Imagen15

Imagen 6. Lista negra. Robtex

Imagen16

Imagen 7. Lista Negra SpamHaus

Gracias a que pertenencen a una de estas listas, los navegadores que consulten estas listas, pueden alertar de un posible peligro al visitar alguna de estas páginas. Prueba de ello es Google y su sistema Safe Browsing.

Captura2

Imagen 8. Google Safe Browsing

Imagen17
Imagen 9. Malware en URL

Imagen18
Imagen 10. Malware en URL

Otro dato interesante que me ha llamado la atención, y haciendo honor a las "auditorías escalables", en cuanto a servicios y servidores se refiere, es la visualización de un archivo Log en uno de los servidores. Este archivo Log contiene las rutas de lo que parece ser el traspaso de ficheros entre dos servidores. Una dirección más para el EvilMap!. Como no tenía ganas de seguir "auditando", porque esto puede ser el nunca acabar, pego un bonito phpinfo que se han dejado por ahí…. 😉

Imagen21

Imagen 11. Daaaatossss

Imagen19
Imagen 12. PhpInfo

Y por último, si os digo que el PhpMyAdmin de una de las Webs no tenía password…. La cosa cambia no?

Imagen20

Imagen 13. Ohhhhh No hay datos!
 

En cuanto al código fuente del malware, por si alguien le quiere echar un vistazo, os paso los links de ambos códigos (Javascript y Java) pasteados en pastebin.

http://pastebin.com/f356f20f0 (Código Javascript)

http://pastebin.com/f45e076e2 (Código Java)

Salu2!

Anuncios

9 comentarios en “Timando a los timadores II de II

  1. Si esto es lo que haces durante un Sabado de aburrimiento (los mios no son mucho mejores… ) mejor no saber que harías durante una semana entera xd. En fin, gran trabajo el tuyo y una buena auditoria ademas de bien explicada para un neófito como yo, por cierto a parte de este post ¿Supongo que denunciaras a estos Rusos no? o dejaras que sigan bebiendo Vodka gratis ;-)…saludos.

  2. Muy buenos posts Juanillo! Por suerte para el resto, es muy común que gente que se dedica a estos temas (los Rusos en este caso), no protejan los datos que manejan por. Lo que te puedes llegar a “divertir” con un correo de “el banco X le pide que revise sus datos”.

    Muy buenos los posts otra vez 😉

  3. Cristian

    Buenas Juanito, soy un alumno del centro de estudios monlau en el que diste un par de conferencias el viernes 6. Como no e encontrado tu direccion por ningun sitio te dejo el comentario para ver si te puedes poner en contacto conmigo para enviarme los powerpoints que pusiste como me dijiste al final de la clase cuando fui a preguntartelo.
    Bueno espero respuesta.
    Que vaya bien maquina!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s