PI   laBitácora.net                   Mirror Cd por nevrlndtink1

« PreviousNext »

Así que era Neozelandés

3 Diciembre 2007

Hace un par de años sufrimos una intrusión que relatamos en un par de entradas: Nos han comprometido la máquina y posteriormente en Andando entre crackers, por parte de unos crackers.
Los “simpáticos” nos hicieron un buen agujero y nos toco descubrir la vulnerabilidad (XML-RCP) y reinstalar todo el sistema.

Este tema actualmente no sería noticia si no fuera porque el bicho que se metió en el servidor creó un usuario llamado KILL, curiosamente el mismo nick que tiene el supuesto líder de la banda de crackers que tenía controlados cientos de miles de ordenadores y que ha desfalcado unos cientos de miles de euros.

Un grupo de crackers intentaban controlar un millón ordenadoresELPAIS

Detenido un adolescente acusado de dirigir una red internacional de ciberdelitos20Minutos

Está claro que no se va a tratar de la misma persona porque el apodo sea el mismo y más tratándose de uno tan poco original como KILL, pero si eso añadimos que lo primero que hicieron tras hacerse con el control de la máquina fue instalar un botnet (shellbot) y para conectarnos a un IRC y poder controlar el host desde un canal de este y curiosamente es la línea de actuación preferida del grupillo de crackers que han pillado y que además estas mentes inquietas tenían controlados más de un millón de ordenadores es muy probable que se trate de los mismos individuos.

Cuando sufrimos la intrusión nos dimos una pequeña vuelta buscando información sobre los autores, eso nos llevo a una página en un servidor Serbio donde merodeaban unos cuantos crackers (anti-serbios), en aquellos momentos por aquí estábamos más preocupados por arreglar el desaguisado que nos habían metido que de jugar al gato y al ratón así que no seguimos husmeando, pero cuando solucionamos la historia si que intentamos tirar algo del hilo y seguimos algunos de los rastros que nos habían dejado (Andando entre crackers) y esto nos mostró que muchas conexiones recibidas eran de Japón y que se estaban metiendo hasta la cocina en la Empresa American Data Technology y que nos controlaban desde un IRC situado en Japón. Con los datos de conexión que habían dejado en un fichero nos conectamos al IRC y allí pude ver como había unos 15 o 20 usuarios, que realmente eran máquinas remotas, a las cuales se les podía enviar un mensaje y estas te respondían con la salida de la ejecución de ese comando en la máquina correspondiente. Por aquel entonces pensé que la intrusión tenía origen en Macedonia o Japón, pero hoy después de la noticia de la prensa me inclino más a pensar que vendría de Nueva Zelanda.

La intrusión fue a través del Wordpress pero el bug era del PHP (del servicio XML-RCP) el cual es muy utilizado en Internet por lo que en aquel entonces dejó desprotegidos a cientos de miles de sitios, cosa que los “angelitos” utilizaron para comprometer todas las máquinas que quisieron.

Los movimientos que realizaron por el servidor no fueron nada limpios, no se preocuparon de eliminar sus cosas y lo único que hicieron para ocultar los ficheros fue meterlos en un directorio “oculto”, en el fondo se agradece que operasen así porque nos fue es más fácil de descubrir todo el tinglado que nos montaron. La actuación de los crackers fue lo que se llama en el mundo de la seguridad se denomina Script Kids, pero si que me dio la impresión de que eran un grupo y no una única persona ya que al segundo día tenía conexiones de muchísimos sitios, y que si KILL hoy tiene 18 años, como dice la prensa, por aquel entonces tenía 16 lo cual no está nada mal para la pifia que nos montó, para mi es creíble que un par de años después él y sus muchachos hayan sido capaces de liar la que han liado.

Posted in Noticias, Seguridad, Hacking | Trackback | del.icio.us | Top Of Page

    One Response to “Así que era Neozelandés”

  1. meneame.net Says:

    Una intrusión del crackers neozelandés KILL…

    Hace unos días han sido detenidos un grupo de crackers que se habían introducido en más de un millón de ordenadores. En el blog labitacora.net relatan una intrusión que sufrieron hace dos años en la cual el apodo del cracker que la realizó era e…

Leave a Reply




Estadísticas
Licencia Creative Commons