El pasado viernes recibí una llamada del centro Nemesys de telefónica, ya había recibido alguna que otra carta antes debido a un problema de seguridad referido con el envío de SPAM.
Ahora, el tema era una vulnerabilidad del APACHE (en su versión 2.0) que permitía la inserción de código y la ejecución. El Rootkit en cuestión era el N3W B0X Ro0tK1T3D.
Lo que hace dicho rootkit es tomar el control de un directorio, darse permisos y permitir el acceso al atacante. La información extraída (en este caso, una página que suplantaba a PayPal) era enviada por correo electrónico.
Las direcciones de envío son varias: sec0dz@gmail.com, secdz@hotmail.com, lakshmanan.pjb@gmail.com, cristi_cs2009@yahoo.com y a d3xt3r007@yahoo.com. Entre la información que envía están los datos de la máquina, disco, memoria, último acceso del root, usuarios en línea en ese momento etc, etc.
También trata de crear una cuenta con privilegios de root y abrir el puerto 60666 para telnet, así como el puerto 22 (ssh).
Afortunadamente la máquina no tiene acceso completo a la red y fue imposible el envío de información de los desafortunados usuarios. En el log de los usuarios afectos sólo había las típicas pruebas con entradas de caracteres al azar.
Por Ejemplo:
for lakshmanan.pjb@gmail.com; Thu, 03 Sep 2009 06:15:05 +0200
To: lakshmanan.pjb@gmail.com
Subject: 172.173.3.46
From: SPam-ReZulTs(PayPal)<secdz@hotmail.com>MIME-Version: 1.0
Date: Thu, 03 Sep 2009 06:15:05 +0200
+——–# Sec Codes #——–+
Adresse email:test@test.fr
Mot de passe: test
IP Adresse: 172.173.3.46
Time & Date: 06:15:05 | 03/09/2009
+——–# Sec Codes #——–+
Ante la duda, reinstalé todo el sistema operativo, aprovechando para migrar a una debian Lenny (5.0) y aplicarle los parches de seguridad. Como todas las alegrías no vienen siempre solas. Un fallo en el servidor de DNS hizo que se demorara más de lo previsto la puesta en funcionamiento. Al ser una instalación de emergencia, no pude comprobar la integridad de la base de datos, de ahí los errores producidos durante este último día.
Un pequeño susto, que unido a que me fui a las fiestas patronales de Ayamonete (Las Angustias), ha llevado a tener el parado durante un par de días.
Por cierto, esta entrada coincide con la número 1000, curiosa forma de celebrar el millar.
PD: Buscando en google, se puede encontrar hasta alguna que otra foto de los responsables del desaguisado.
1 comentario
Hace un mes que tuve problemas con el dominio, y por ende, con el blog, pues esta semana he sufrido un efecto colateral de aquella caída masiva de servicios. El correo que debía llegar a la dirección de correo de mi mujer par confirmar la asistencia