El miercoles pasado una de las páginas Web que mantengo fue atacada y comprometida desde una página rusa llamada reddii.ru que actuaba mediante un escaneador de vulnerabilidades. Voy a intentar explicar lo que pasó con un poco de detalle y de una forma no muy complicada para los lectores menos iniciados. Todo comenzó cuando el titular de la página de fotografía (un amigo) me llamó para informarme que algo no funcionaba bien y que las imágenes no se mostraban. Me conecté tan rápido como pude y observé que tenía razón y que además cuando presionaba CTRL+F5 para actualizar el caché en la barra de estado del navegador me estaba enlazando con: reddii.ru/sploit1/.... Esto me dio la pista definitiva para observar que la página había sido de alguna forma modificada.
Mi primera impresión por el mal funcionamiento en la carga de las imágenes era que se debía a algún tipo de ataque basado en inyección de código SQL contra la base de datos. Por todo esto, comencé a realizar una auditoría forénsica de la página. Lo primero que hay que hacer es copiar o clonar todo el contenido de la página web mediante conexión, preferiblemente ssh, o ftp. Hice un volcado (dump) de la base de datos MySQL y comencé a buscar posibles cadenas de texto peligrosas que pudieran haber inyectado.
Tras descartar este tipo de ataque, por no encontrar aparentemente ninguna traza peligrosa en la base de datos, me dediqué a revisar el código PHP de las páginas que componen este sitio, con la intuición de que las claves de acceso mediante ftp pudieran haber sido comprometidas. Y finalmente así fue, el código de programación de varias páginas había sido modificado de tal manera que se redireccionaba antes de cargar el index completamente a esta página de Rusia que escaneaba el software de las víctimas (pobres personas que accedían al sitio de mi amigo) en busca de vulnerabilidades para finalmente (en caso de haberlas) inyectar un troyano.
El código modificado que crea el ataque es el siguiente: (muy bien ideado y efectivo)
La parte codificada, descodificándola de hexadecimal a ASCII (mediante la gran página: http://www.elhacker.net/sneak.php) queda así:
Procedí a revisar el código y limpiarlo, para volver a comprobarlo todo de nuevo. Terminé la forénsica, informando a mi amigo de lo ocurrido. Pero ahora es tiempo de reflexión... A que se debió el ataque? Fue algo personal contra él? Como obtuvieron las claves? Se debió a alguna vulnerabilidad en el propio servidor de Dreamhost donde está alojada la página, como informé a este ISP? Cúal es el fin de este tipo de ataques mediante troyanos?
El Capitan: La Supercomputadora que Revoluciona la Seguridad Nuclear
-
[image: Representación minimalista de una supercomputadora]
En noviembre de 2024, el Laboratorio Nacional Lawrence Livermore (LLNL) en
California presentó «...
Hace 1 hora
2 comentarios:
y el código, se te olvido ponerlo?
Estaba buscando un documental que ví hace algún tiempo sobre este tema. Según el documental, se estaba preparando una guerra cibernética y, entre otros las mafias rusas, tienen ya la infraestructura necesaria para crear una serie de ataques a través de zombies que tienen troyanizados. De momento esta red de máquinas infectadas parece que está en stand-by.
Quién sabe?
Saludos
Lo encontré.. jeje
http://seguridad-informacion.blogspot.com/2009/06/documental-sobre-las-guerras.html
Publicar un comentario