Abr 13

Caída de 2HW y vulnerabilidad del phpMyChat.

Si habéis leído la entrada del día 31 del mes pasado sobre la violación del sistema, sabréis que en aquella ocasión el ataque se realizó por el método de fuerza bruta, el caso es que esta vez la página atacada ha sido la principal de 2HW (Dos Hermanas Wireless). Y la culpa de este ataque es nuestra, ya que sabíamos de antemano de la fragilidad de la contraseña y creíamos (erróneamente) que el puerto de SSH (22) estaba inhabilitado. El caso es que ese cúmulo de errores nos ha llevado a que el ordenador del la zona DMZ que albergaba la página se viera comprometido.

Viendo por encima los ficheros de log confirmar que básicamente que el método empleado fué el mismo, sólo que esta vez eliminaron parte de log del root.

Por lo que he podido ver, una de las cosas que hizo la persona que entró fué cambiar el fichero LS para que no se mostraran algunos de los ficheros.

Posteriomente descargó un script para explotar una vulnerabilidad del phpMyChat que permite ejecutar comandos con privilegio, y después de escribir el resultado del comando en un fichero, esta se envia mediante el WGET a la página de autor (o página señuelo dónde recojer el "producto").

El Script que proporcionaba el acceso remoto al sistema se servia de SQL Injection para conseguir la ejecución de los comandos. Utilizando google podemos ver un momento una lista de páginas que pueden ser carne de cañón del script instalado en la máquina.

Para la víctima todo empieza con una descarga mediante WGET del ELF:RST-B que ataca a los binarios de linux tipo ELF.

Info del ELF:RST-B segun Virus Attack!:

Un virus capaz de infectar archivos binarios del sistema operativo Linux, que debido a distintas similitudes con él, se considera la segunda versión del virus Remote Shell (RST).

Este virus reemplaza las direcciones de inicio en los encabezados ELF con una dirección que apunta a su propio código para poder ejecutarse cuando un programa infectado es llamado.

Al ser ejecutado, lo primero que hace es utilizar la herramienta ptrace para averiguar si está siendo localizado. Si es así, termina su ejecución. Si continúa con su rutina,intenta infectar todos los archivos binarios ELF en el directorio donde se encuentra.

Libera un backdoor (puerta trasera) en el sistema infectado que se pone en escucha mediante el protocolo EGP, poco utilizado en este tipo de troyanos. Luego, intenta conectarse a una dirección web para obtener información, que podría ser una lista de equipos infectados, ú otro tipo de datos similares.

Utiliza dos archivos, /dev/hdx1 y /dev/hdx2, como banderas, a fin de ejecutarse una sola vez al mismo tiempo en el equipo afectado.
Además de la infección de archivos, y de la instalación del backdoor, no posee otras rutinas que puedan considerarse maliciosas, aunque la apertura del sistema afectado para que pueda ser accedido remotamente puede traer consecuencias dañinas al sistema.

(Esta descripción está basada en un mensaje enviado por Ryan Russell, de Security Focus, a la lista incidents de dicho sitio).

1 comentario

  1. Debido a que detectamos una violación del sistema del ordenador que servía las páginas del Dos Hermanas Wireless (2HW) vimos cómo instalaban un script que, mediante SQL Injection, explotaba una vulnerabilidad del PhpMyChat, así que ojito si lo tenéis puesto en vuestra página.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.