[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.

2014-03-19 18:26 GMT+00:00 Camaleón <noelamac@gmail.com>:
> El Wed, 19 Mar 2014 17:43:15 +0000, C. L. Martinez escribió:
>
>> 2014-03-19 16:15 GMT+00:00 Camaleón <noelamac@gmail.com>:
>
> (...)
>
>>>>> He descargado el PDF con las 69 páginas, muy mono con muchos
>>>>> grafiquitos y tal pero no he logrado descifrar cómo se logra infectar
>>>>> un servidor.
>>>>>
>>>>>
>>>> Pues te lo indican clarito: por robo de claves de autenticación ...
>>>
>>> Para robar las claves (¿qué claves, la de root??) tienen que acceder,
>>> ¿cómo lo hacen?
>>>
>>>
>> En dicho informe hablan de un robo de claves SSH, nada descabellado por
>> otra parte (con un poco de Google hacking y utilizando el buscador
>> shodan, aparecen bastantes barbaridades).
>
> Vale, así que:
>
> 1/ Las claves las obtienen por otro medio (¿indican cuál?).

No lo indican pero podemos hacer suposiciones: man in the middle, keys
accesibles via servicios standard como http (si, si. Eso lo he vivido
yo en mis propias carnes,), etc, etc ...
>
> 2/ Quienes no tenemos habilitado el servicio SSH remoto podemos seguir
> roncando.

Me inclino a pensar que por la magnitud de los servidores
comprometido, no solo se trata de claves SSh. Es muy probable que
hayan obtenido claves de otros servicios ...


>
> No es lo mismo un robo de claves que afecta a un servicio concreto que
> una vulnerabilidad de algún demonio o un exploit nuevo del kernel o vaya
> usted a saber, eso sí sería preocupante.
>
>> Por otro lado también indican que no se trata de la explotación de
>> alguna vulnerabilidad en los servidores (algo que tiene también mucho
>> sentido teniendo en cuenta del volumen del que se está hablando, 25.000
>> servidores mínimo. Eseo es sencillamente, "demasiada vulnerabilidad").
>
> Zzzz... yo sigo roncando :-)
>
>> Ergo, se trata de administradores chapuzas de toda la vida ... Esos que
>> "infectan" la profesión (lo siento, no puedo evitarlo).
>
> Pues voy a hacer un seguimiento de la noticia porque la verdad es que no
> recuerdo haber recibido ninguna alerta sobre esto.

Pues deberías haberla recibido, porque la cosa está que arde :)) ...

Fuera bromas, en los medios especializados habituales ya han hablado
de ello ... A nivel de listas de correo, solo he visto comentarios en
las listas de centos, de momento, pero parece que algo aparece por las
de BSD ..

SAludos.
Reply to: