[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.

2014-03-20 14:16 GMT+00:00 Camaleón <noelamac@gmail.com>:
> El Wed, 19 Mar 2014 19:01:59 +0000, C. L. Martinez escribió:
>
>> 2014-03-19 18:26 GMT+00:00 Camaleón <noelamac@gmail.com>:
>
> (...)
>
>>>> En dicho informe hablan de un robo de claves SSH, nada descabellado
>>>> por otra parte (con un poco de Google hacking y utilizando el buscador
>>>> shodan, aparecen bastantes barbaridades).
>>>
>>> Vale, así que:
>>>
>>> 1/ Las claves las obtienen por otro medio (¿indican cuál?).
>>
>> No lo indican pero podemos hacer suposiciones: man in the middle, keys
>> accesibles via servicios standard como http (si, si. Eso lo he vivido yo
>> en mis propias carnes,), etc, etc ...
>>>
>>> 2/ Quienes no tenemos habilitado el servicio SSH remoto podemos seguir
>>> roncando.
>>
>> Me inclino a pensar que por la magnitud de los servidores comprometido,
>> no solo se trata de claves SSh. Es muy probable que hayan obtenido
>> claves de otros servicios ...
>
> (...)
>
> He buceado un poco más buscando información inteligible sobre la noticia
> y me parece haber llegado a la conclusión de que el vector de ataque (o
> al menos uno de ellos) es la instalación de una versión modificada de
> OpenSSH.
>
> Cómo lo han logrado instalar en los servidores afectados es un misterio,
> supongo que haciendo uso de algún servicio instalado (WorldPress, PHPNuke,
> etc...) que no estaría actualizado y que era pasto de algún fallo de
> seguridad. En fin, la verdad es que no me queda del todo claro :-/
>
> Saludos,
>
> --

A ver, en la página 6 te hacen el esquema rápido.

Obviamente, han conseguido el acceso a los servers de alguna forma
(passwords débiles, mala configuración, etc..) sin necesidad de
explotar vulnerabilidades. Y estás en lo cierto, instalaron backdoors.

Ahora bien, lo que te comentan es que los sistemas detectados por
ellos, utilizaron como puerta de entrada ese backdoor, pero en estas
cosas como casi siempre no puedes asegurar al 100% que fue el único
tipo de acceso. Es más no lo pudo ser por el sencillo motivo que hay
que instalar el backdoor al menos como mínimo en un servidor.

Misterios, es muy probable que pocos. Como comenté en otro correo,
personalmente he visto auténticas barbaridades en muchos clientes, por
eso apuntan a malas configuraciones. Es más en una auditoria que me
hicieron una vez, me "mangaron" la clave SSH de un usuario, que por
suerte no tenia privilegios para casi nada. Desde entonces, solo
utilizo autenticación Kerberos, a menos que no pueda.

Para misterios de verdad, Stuxnet que a día de hoy nadie puede
aseverar quien fabricó semenjante bestia, aunque por indicios estuvo
claro quien, pero como no han aparecido pruebas ...

Saludos.
Reply to: