[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.

2014-03-19 20:03 GMT+00:00 consultor <consultor@openmailbox.org>:
> On 03/19/2014 12:37 PM, C. L. Martinez wrote:
>> 2014-03-19 19:20 GMT+00:00 consultor <consultor@openmailbox.org>:>>
>>> Disculpa CL, yo tambien lei el doc y no puedo imaginarme como podria
>>> ocurrir!
>>
>> ¿Como puede ocurrir el que? ¿Un robo de credenciales?. A ver:
>
> Hablan de OpenSSH y llaves, NO palabras de paso, ni credenciales
> (certificados), segun recuerdo.

Ok, lo dejamos en keys openssh , ¿bien así?

>
>> a) Apareciendo en un archivo en cualquier directorio de un web server,
>> servidor ftp, etc.
>
> Apareciendo que? un malware? No sabria decir, pero segun mis pruebas con
> DokuWiki mal configurada en apache 2; funciono un script en php.

Apareciendo el archivo de keys ssh, obivamente.

>
>> b) Utilizando passwords débiles (lo que usualmente es un ataque de diccionario).
>
> Yo no vi passwords! Y, si yo pienso que esa entrada es muy facil; media
> vez, puedan probar cientos de veces.

En ningún momento te dicen que únicamente hayan empleado el "robo" de
llaves ssh. Te comentan que lo que ellos han detectado es a través de
ese sistema.

>
>> c) DNS poisoning..
>
> Asi, solo redirigen y si tu navegador es suceptible, algun malware php.

Y te llevan a su botnet para la captura de claves ... Es un paso
intermedio, si lo quieres ver así.

>
>> d) Man in the middle.
>
> No sirve, con llaves.

Eso lo dices tú. Revisa lo que son los ataques man in the middle para ssh ....

>
>> e) Sniffando puertos, por ejemplo de bases de datos, servidores web, etc.
>
> Solo se caza lo que no va cifrado, o httpd. Aunque hay quien dice que se
> puede capturar claves SSH.

Se caza lo cifrado y lo no cifrado. A partir de ahí entra la pericia
del pen-tester.
Y es correcto: se pueden capturar keys.

>
>> f) Botnets ...
>
> De estos tengo decenes todos los dias, generalmente php

No solo son php ... Las hay mucho más sutiles y efectivas.
>
>> g) Ataques reverse shell ...
>
> Tendrias que tener acceso al ordenador.

¿Tu recuerdas que ya tenían acceso a unos cuantos servers? .. Cuando
ya tienes "la granja montadita" se trata de ir saltando de uno a otro
.. Es decir: ya tenían acceso.


>
>> .....
>>
>> Aunque como dije antes, parece ser que no han realizado ataques "muy
>> sofisticados".
>>
>> La lista es larga, pero si te pica la curiosidad, descargate Kali
>> Linux (es una Debian Wheezy orientada a pen-testing) y empieza a
>> probar. Verás como las cosas son más sencillas de lo que parecen.
>> Obviamente, hay otras que no.
>
> Si, la conozco es la nueva BackTrack, y antes era derivada de Ubuntu.
> Tambien se que algunas cosas son sencillas! Deje de usarla, cuando dejo
> de ser Slackware.

Ok, pero entonces no entiendo tus preguntas.

>
>> .
>> Pero repito: estas cosas suceden por administradores chapuceros en
>> cualquier entorno y que manejen cualquier SO. Porque con unas mínimas
>> reglas de seguridad que apliques a tus sistemas, un ataque así no
>> podría proliferar tan rápido.
>
> Si, esto es lo que yo suponia; pero al mencionar llaves OpenSSH; solo
> comprometiendo al ordenador que se usa para administrar por medio del
> navegador.
>

Mande lo cualo?? Esto que dices no lo entiendo. ¿Tu administras
servers solo con un navegador? A eso se le llama ser un operador de
servidor, no un administrador ...

Saludos.
Reply to: