[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.

2014-03-19 19:20 GMT+00:00 consultor <consultor@openmailbox.org>:
> On 03/19/2014 12:01 PM, C. L. Martinez wrote:
>> 2014-03-19 18:26 GMT+00:00 Camaleón <noelamac@gmail.com>:
>>> El Wed, 19 Mar 2014 17:43:15 +0000, C. L. Martinez escribió:
>>>
>>>> 2014-03-19 16:15 GMT+00:00 Camaleón <noelamac@gmail.com>:
>>>
>>> (...)
>>>
>>>>>>> He descargado el PDF con las 69 páginas, muy mono con muchos
>>>>>>> grafiquitos y tal pero no he logrado descifrar cómo se logra infectar
>>>>>>> un servidor.
>>>>>>>
>>>>>>>
>>>>>> Pues te lo indican clarito: por robo de claves de autenticación ...
>>>>>
>>>>> Para robar las claves (¿qué claves, la de root??) tienen que acceder,
>>>>> ¿cómo lo hacen?
>>>>>
>>>>>
>>>> En dicho informe hablan de un robo de claves SSH, nada descabellado por
>>>> otra parte (con un poco de Google hacking y utilizando el buscador
>>>> shodan, aparecen bastantes barbaridades).
>>>
>>> Vale, así que:
>>>
>>> 1/ Las claves las obtienen por otro medio (¿indican cuál?).
>>
>> No lo indican pero podemos hacer suposiciones: man in the middle, keys
>> accesibles via servicios standard como http (si, si. Eso lo he vivido
>> yo en mis propias carnes,), etc, etc ...
>>>
>>> 2/ Quienes no tenemos habilitado el servicio SSH remoto podemos seguir
>>> roncando.
>>
>> Me inclino a pensar que por la magnitud de los servidores
>> comprometido, no solo se trata de claves SSh. Es muy probable que
>> hayan obtenido claves de otros servicios ...
>>
>>
>>>
>>> No es lo mismo un robo de claves que afecta a un servicio concreto que
>>> una vulnerabilidad de algún demonio o un exploit nuevo del kernel o vaya
>>> usted a saber, eso sí sería preocupante.
>>>
>>>> Por otro lado también indican que no se trata de la explotación de
>>>> alguna vulnerabilidad en los servidores (algo que tiene también mucho
>>>> sentido teniendo en cuenta del volumen del que se está hablando, 25.000
>>>> servidores mínimo. Eseo es sencillamente, "demasiada vulnerabilidad").
>>>
>>> Zzzz... yo sigo roncando :-)
>>>
>>>> Ergo, se trata de administradores chapuzas de toda la vida ... Esos que
>>>> "infectan" la profesión (lo siento, no puedo evitarlo).
>>>
>>> Pues voy a hacer un seguimiento de la noticia porque la verdad es que no
>>> recuerdo haber recibido ninguna alerta sobre esto.
>>
>> Pues deberías haberla recibido, porque la cosa está que arde :)) ...
>>
>> Fuera bromas, en los medios especializados habituales ya han hablado
>> de ello ... A nivel de listas de correo, solo he visto comentarios en
>> las listas de centos, de momento, pero parece que algo aparece por las
>> de BSD ..
>>
>> SAludos.
>>
>>
>
> Disculpa CL, yo tambien lei el doc y no puedo imaginarme como podria
> ocurrir!

¿Como puede ocurrir el que? ¿Un robo de credenciales?. A ver:

a) Apareciendo en un archivo en cualquier directorio de un web server,
servidor ftp, etc.
b) Utilizando passwords débiles (lo que usualmente es un ataque de diccionario).
c) DNS poisoning..
d) Man in the middle.
e) Sniffando puertos, por ejemplo de bases de datos, servidores web, etc.
f) Botnets ...
g) Ataques reverse shell ...
.....

Aunque como dije antes, parece ser que no han realizado ataques "muy
sofisticados".

La lista es larga, pero si te pica la curiosidad, descargate Kali
Linux (es una Debian Wheezy orientada a pen-testing) y empieza a
probar. Verás como las cosas son más sencillas de lo que parecen.
Obviamente, hay otras que no.
.
Pero repito: estas cosas suceden por administradores chapuceros en
cualquier entorno y que manejen cualquier SO. Porque con unas mínimas
reglas de seguridad que apliques a tus sistemas, un ataque así no
podría proliferar tan rápido.


Saludos.
Reply to: