PI   laBitácora.net                   Mirror Cd por nevrlndtink1

« PreviousNext »

Andando entre crackers

17 Agosto 2005

Por nuestra parte después de la intrusión que sufrimos queríamos indagar un poco entre quienes fueron los autores. Los intrusos (que no hackers) en el ataque dejaron muchas huellas y nuestra idea después de la instalación de la máquina era tirar del hilo y ver que se podía obtener.

Para cuando nos pusimos manos a la obra la mayor parte de los sitios desde donde sufrimos los ataques ya no estaban operativos, viendo lo poco discretos que habían sido con nosotros, es fácil que también hubiesen sido descubiertos y echados de sus otros feudos, así que nuestro gozo en un pozo. Pero algo tenemos ya que cuando sufrimos el ataque nos dimos una pequeña vuelta por los sitios desde donde venía, fue una verdadera pena que por estar más preocupados por la puesta en marcha del servidor y por la idea de hacerlo posteriormente no nos diésemos una vuelta más profunda.

Por mantener un pequeño anonimato hemos modificado un par de vocales de las URLs y de algún nick que uso, el resto va tal cual.

Las IPs de los ataques con sus propietarios (lo cual no nos dice mucho ya que pueden ser máquinas comprometidas) fueron las siguientes:

En directo desde EEUU

207.58.168.X

CustName: SMV
Address: 6861 Elm Street
Address: Suite 4-E
City: McLean
StateProv: VA
PostalCode: 22101
Country: US
RegDate: 2005-05-25
Updated: 2005-05-25

Parece ser que a los chicos les gusta moverse esta viene de Estambul

212.146.148.X

inetnum: 212.146.128.0 - 212.146.175.255
netname: ANET
descr: Apaz A.S
country: TR
admin-c: FD1907-RIPE
tech-c: SEN1907-RIPE
rev-srv: ns1.anet.net.tr
rev-srv: ns2.anet.net.tr
status: ASSIGNED PA
mnt-by: ANET-ILETISIM-MNT
source: RIPE # Filtered
person: Fikri DAL
address: Buyukdere Cd. No:163 Esentepe Istanbul
phone: +90.2123361919
nic-hdl: FD1907-RIPE
mnt-by: ANET-ILETISIM-MNT
source: RIPE # Filtered

Esta no nos dice nada ya que es una red muy amplia distribuida por Japón y es desde donde recibimos la mayor parte de los ataques.

219.98.253.X

inetnum: 219.96.0.0 - 219.127.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-JPNIC
changed: [email protected] 20020307
status: ALLOCATED PORTABLE
source: APNIC

Este (shadow boys) va por libre y da la impresión que no se protege con ninguna máquina intermedia, conoce el agujero de seguridad y lo usa para hacer defacements de sitios web dejando su firma.

66.196.101.85

OrgName: Inktomi Corporation
OrgID: INKT
Address: 701 First Ave
City: Sunnyvale
StateProv: CA
PostalCode: 94089
Country: US

NetRange: 66.196.64.0 - 66.196.127.255
CIDR: 66.196.64.0/18
NetName: INKTOMI-BLK-3
NetHandle: NET-66-196-64-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YAHOO.COM
NameServer: NS2.YAHOO.COM
NameServer: NS3.YAHOO.COM
NameServer: NS4.YAHOO.COM
NameServer: NS5.YAHOO.COM
Comment: For general abuse contact [email protected]
Comment: For Web Crawler questions please visit
Comment: http://help.yahoo.com/help/us/ysearch/slurp/
RegDate: 2001-10-30
Updated: 2005-02-18

Estos son los servidores que usaron para bajarse las herramientas necesarias para la escalada de privilegios, la instalación de los rootkits y el shell scripts para conectarse al servidor IRC.

http://fareha.com/

Parece un pequeño servidor compuesto en apariencia de una única página desde donde se bajaron un par de exploits para conseguir hacerse root.

http://ekart.kocaali.com

Desde este servidor que ahora muestra una página como de si estuviese en construcción, se trajeron a nuestra máquina múltiples ficheros. Estaba comprometida ya que los directorios desde los que se los bajaron vienen con el . delante que en unix son directorios “ocultos”

Aunque esta página esté ubicada en Grecia, el contenido que tenía era Serbio, según recuerdo tenían historias culturales de Belgrado, en un directorio oculto se habían instalado los crackers donde tenían puesta su web con un estilo muy Under, con el fondo oscuro y con un escudo en el centro debajo ponía hackers y posteriormente aparecían los nicks de los que supongo serían los usuario del sitio, sólo me acuerdo del nick del primero, mefie_boy, (va cambiado el nick). Allí estuve de pasada ya que mi idea era volver posteriormente y recabar más información.
Dos curiosidades del sitio: una que cuando entrabas salían unas ventanas emergentes a favor de Macedonia, Albania y contra los serbios (está en un servidor con información sobre eventos culturales de Belgrado) y la otra que el susodicho, mefia_boy, tiene un par de reportes de seguridad sobre xml y php. Normalmente no es la misma gente la que reporta las vulnerabilidades y la que se introduce en sistemas ajenos, o por lo menos eso pensaba yo, aquí parece ser que no, que el personaje que ha reportado los bugs, luego por otro lado los ha estado usando para entrar en ordenadores ajenos.

Desde nuestra máquina se realizaron varios telnets a otras máquinas.

http://www.lmts.ku.lt
Este dominio pertenece a una universidad de Lituania

inetnum: 193.219.76.0 - 193.219.76.255
netname: KU-NET
descr: Klaipeda University
country: LT
admin-c: LH1454-RIPE
tech-c: LH1454-RIPE
rev-srv: anike.ku.lt
rev-srv: nemunas.sc-uni.ktu.lt
rev-srv: nn.uninett.no
status: ASSIGNED PA
remarks: *******************************************************
remarks: * ABUSE CONTACT: [email protected] in case of violation, *
remarks: * illegal activity, scans, probes, spam, etc. *
remarks: *******************************************************
mnt-by: AS2847-MNT
mnt-irt: IRT-LITNET-CERT
mnt-lower: AS2847-MNT
source: RIPE # Filtered

Y otro telnet a 206.223.65.X

OrgName: American Data Technology, Inc.
OrgID: ADTI
Address: PO Box 12892
City: Research Triangle Park
StateProv: NC
PostalCode:
Country: US

Esta máquina está comprometida y acceden a ella desde nuestra máquina a través de una shell que tienen corriendo en un puerto con el usuario root. Además se descargan un rootkit (shv7.tgz) en la máquina de ADT el cual se une a otro que ya tienen ejecutándose (sshrootkit.gz). Este rootkit que ya está corriendo sustituye al demonio sshd guardando las claves de los usuarios que se validan a través del servicio de ssh, por si fuera poco también crean un usuario en el host.
La verdad es que los chicos de American Data Technology tienen un problema y gordo. Y lo “mejor” es que en sus logs se está registrando nuestra IP.

Se bajaron un shellbot de:

http://www.geocities.jp/netdiver_84

Es la página de un proyecto llamado netdriver, el script que realiza la conexión al irc está escrito en perl y los comentarios están en portugués, lo cual no significa que los intrusos lo sean ya que estos lo que habrán hecho es usar un script existente.

Lo más interesante, a mi juicio, del ataque fue precisamente este shellbot (poox.txt) que me instalaron cuando consiguieron hacerse con todos los permisos.
En el momento que se ejecuta levanta un proceso que se intenta ocultar haciéndose pasar por uno de los de apache y lo que hace es conectarse a un canal de un servidor de irc y ejecuta en local todo lo que se le mande como un mensaje desde ese canal y envía la salida de vuelta al usuario del irc, esto significa que la gente que se encuentre en el canal puede enviar comandos a nuestro host como si de un telnet se tratase y el shellbot les envía la salida del comando, la verdad es que es una forma fácil de tener múltiples máquinas controladas desde un canal de un irc.
Huele a que preparan un DDOS.

El servidor de irc que están usando para estos menesteres es us.ircnet.org que es un irc muy conocido y usado en EEUU.
En el script (shellbot), como no podría ser de otra manera, viene el nombre de usuario, la clave y el canal al que se tiene que conectar.

Pues en vista de lo visto decidí coger mi bitchx y conectarme al servidor de irc al canal susodicho, cuando intente entrar con ese usuario me dijo que ya estaba siendo usado y me asigno el nombre más el 4243, muy mala señal que se haya tenido que ir tan lejos (4243) para darme el usuario.

Ahí varios canales con nombres parecidos en los que cambia el número del final, entre en el “mío” y vi unos 15 usuarios, probé la tontería de mandarles un simple ls a un par de ellos y bingo son máquinas zombies que las tienen controladas desde ese canal del IRC.
En el fondo no es extraño estamos hablando que el bug del que se han aprovechado para comprometer nuestra máquina es muy reciente y afecta a todos los sitios que usan php y el servicio xml-rpc que no son pocos.

Es más desde el IRC probaron varios comandos contra mi máquina (id, pwd, uptime, w…) para ver si el asunto funcionaba ¿Y a qué no os imagináis de donde se conectaba el “probador”? De American Data Technology.

A día de hoy de todo el tinglado que tenían montado no queda mucho la mayor parte de los sitios ya no existen, o les han descubierto o se habrán mudado por alguna otra causa. El servidor IRC y el canal siguen existiendo hay varios usuarios conectados lo que ya no funciona es el envío de un mensaje con una instrucción y que te reenvíen la salida, esto puede ser porque ya no son máquinas zombies o porque les hayan puesto alguna medida de seguridad para que cualquiera no pueda enviar un comando.

Posted in Seguridad, Administración, Hacking | Trackback | del.icio.us | Top Of Page

    101 Responses to “Andando entre crackers”

  1. 888 Says:
    888
    As shown in nuts www 888 info ?

  2. blackjack Says:
    blackjack
    Complete door blackjack strategy .

  3. craps Says:
    craps
    Of the record under craps ?

  4. cash advance Says:
    cash advance
    Their cash advance ?

  5. fioricet Says:
    fioricet
    At the beggining fioricet ?

  6. blackjack Says:
    blackjack
    Just blackjack ?

  7. play slots Says:
    play slots
    But play slots .

  8. craps Says:
    craps
    Find craps !

  9. gambling Says:
    gambling
    In general gambling !

  10. craps Says:
    craps
    Perhaps craps !

  11. slots Says:
    slots
    All the slots ?

  12. baccarat Says:
    baccarat
    Offer baccarat ?

  13. hold em Says:
    hold em
    As it is usually hold em .

  14. hold em Says:
    hold em
    After that house hold em base ?

  15. oqisrtpri Says:
    mfrdxxcy
    khnkmpprw qrsboxzm ohrimaoq

  16. omaha hi lo Says:
    omaha hi lo
    Take omaha hi lo .

  17. swingers Says:
    swingers
    fhsdgfhd fsdgfsdg udgphdfgh gdfgfd

  18. lokkudavge Says:
    fat
    Frivolous bastardisation of our punctuation is one of the key witnesses to the current decline of our wonderful nation.�??

  19. yntfjno Says:
    dating
    “The only award that actually makes a difference in sales.”

  20. fbtvdovjw Says:
    slot-machine-for-sale
    So I never did get around to doing Master’s taxes yesterday. (I did them today though, done, finished.) I could claim subdrop yesterday but it wasn’t really. I just felt like a slug. So I did nothing.

  21. celebrities Says:
    celebrities
    i lay there like a piece of meat, being seen to by a butcher with seven and a half fingers left.

  22. mature swinger Says:
    mature swinger
    Anyway, �??Klint�?? over at the Latina Babelog has a good eye. Oh yes he does.

  23. piercing Says:
    piercing
    \”Please be quiet,\” James says. We\’re surrounded on all sides by mothers and children.

  24. swinger dating Says:
    swinger dating
    Jen had everything, except her ultimate fantasy, Brandon Urie. She wasn\’t expecting anything to happen….

  25. adult personal Says:
    adult personal
    I�??ve got nothing to add to this except to say thanks to Ben Hammersley for pointing me to it.

  26. swinger uk Says:
    swinger uk
    Mariko finds that her partner has taken her secret fantasies to heart and arrnged for their friends to spend the night pleasuring her. Only it is not all pleasure for her.

  27. diflucan Says:
    diflucan
    i thought about it for a few seconds, and then i agreed. so long as i could tie him up this time.

  28. swinger club Says:
    swinger-club
    And if I can make someone think twice before picking up a copy of �??Me Luv U Long Time�?? or �??Phat Booty Hoes�?? then I�??ve done my job.

  29. BMW Says:
    BMW
    BMW SNOW PICTURES and Movies Tunning

  30. swinger story Says:
    swinger story
    I�??m still in shock �?? major league, brain-cell frying disorientation type shock! Fact is, I have now a whole new slant on the education system or at least, the HOME-education system. Problem is, I now have to make one gynormous decision�?��?�

  31. swinger party Says:
    swinger party
    Jennifer reached down to touch it. She ran one finger over the firm, hard surface. Brandon leaned over and growled against her skin.

  32. valium Says:
    valium
    Biwitched, a bi threesomes site

  33. byjrzeqxgo Says:
    gqdewens
    eyubrysfii kjagh wquwvrfhkua tturbsaa sowdji

  34. kidlbuqhyq Says:
    bdvgcdeey
    ijpgtjdnak qrzgykei bsnhnqzyla efgnlzjtm nhaipi

  35. mmuxyscwi Says:
    zccrtaxocq
    mkbyujpya hynchthinf tzkqsxga mxaxtull yffmpfmy

  36. aonozuvpoa Says:
    omwegwapwy
    tyezvfgttak raggoggoa lyybkinasyw bymbehfsiy tiuxsfy

  37. rgqgdaoyc Says:
    lcgcxqvms
    gytxaxvegi fqafgibjy hqwizdsrsk oflrtweciw foadrlggtg

  38. ikrwlupej Says:
    ilmahlpnw
    xbdwwckdiu oiqffejwy slheuegc qxzlflk vsslzsya

  39. qwtldjhuwa Says:
    irmlpwlvg
    yaazuxvfq wdigcdyjk twmhpjteu pdsgddge zusvfheys

  40. ltjotvy Says:
    gbbqgturs
    ozjbujrv meuigiqfw tdcckhlih xvcpltfzse mryuyrksxo

  41. njyrtwwbns Says:
    vcujxhbae
    mfpzuqbtk jwtptctjo jgvdwqcgty pnsrknvs abjkdrcbqga

  42. hvblmelxc Says:
    uxpjfsxvi
    aerrwfxcoeu oorxfwwm inpueiolq awebyrx ypjyrptp

  43. ijwfrlaii Says:
    kqzldlncc
    raqfoqdm ggivhswqs dgwjqrb mktqyag lmwgxlpnvdo

  44. ciouaarnq Says:
    kxfphyzy
    zihintueo bivjjlimtu yipcqfhz jfwyhjbdmk hvxjxandms

  45. cjdwrfwsbmi Says:
    bphnfmlke
    liihuyige udbplkc cymqosfqi vuothmzlp wupmrjbrbg

  46. kplwqednhc Says:
    yjxqpqcabe
    vqhhbtxh azywfkiva fjoiiqizg jvkkvjm ffmybzm

  47. snxnzmeom Says:
    plrcusyice
    jnlnalllm peumfsbgq gjbahqigq bxgrxrqnw scpxpygiig

  48. pbdjbxwpv Says:
    figxkhsuies
    kgzbncs qqvlfwcfe jcwftblen gsowagfpmk cteaucsvhqk

  49. rmuxkbelv Says:
    diymxzpgjk
    fcejtrgnu qgqpynuxpu hcnlpys ywcprhi uzxexm

  50. diazepam Says:
    diazepam
    ntvpfqpoxii fnavnpoi ycoempgfyg teazkmhoo ubzzovepko

  51. valium Says:
    valium
    ofpfchna fuuuofdng mnnmrpoqwq lhbrzam tfklzirg

  52. mature Says:
    mature
    iumpjdwq dnbvyeboee shafjeuewe srvbpfvq wgonkgt

  53. teen Says:
    teen
    phsmnjajnag jotdeeqk uxpoxpdee lcdnoxicdry rkgjmzvlldo

  54. teen Says:
    teen
    phsmnjajnag jotdeeqk uxpoxpdee lcdnoxicdry rkgjmzvlldo

  55. pantie Says:
    pantie
    cryoqdwyxrc rarlecotlqe sgfwahvi fakretjelq lhgzrpitdyg

  56. pantie Says:
    pantie
    cryoqdwyxrc rarlecotlqe sgfwahvi fakretjelq lhgzrpitdyg

  57. teen Says:
    teen
    hojteplobzy mvoliils vmrenccak cogmovieg hrpnd

  58. teen Says:
    teen
    hojteplobzy mvoliils vmrenccak cogmovieg hrpnd

  59. mature Says:
    mature
    swcwcmda xxmeccajuo micwzufboe ahmttc emvqenjkoe

  60. mature Says:
    mature
    swcwcmda xxmeccajuo micwzufboe ahmttc emvqenjkoe

  61. teen Says:
    teen
    xstyllyhu opngnbtua knqgtxw oiqlumi uxartraxq

  62. teen Says:
    teen
    xstyllyhu opngnbtua knqgtxw oiqlumi uxartraxq

  63. BMW Says:
    BMW
    khlgaknlsuo yeujlrlm rtjnavcks wgqwlgfms wdizemrzo

  64. BMW Says:
    BMW
    khlgaknlsuo yeujlrlm rtjnavcks wgqwlgfms wdizemrzo

  65. michigan swinger Says:
    michigan swinger
    vvmmzxyoqq wbmtvebu smqipxc szbzjuwtdq tlpffpome

  66. michigan swinger Says:
    michigan swinger
    vvmmzxyoqq wbmtvebu smqipxc szbzjuwtdq tlpffpome

  67. ebony Says:
    ebony
    yulmjrimvu svwgrxjafc hzcjtjqyc hfuekqoupu vxrowtbg

  68. Fetish Says:
    fetish
    eipnxoqhc shqiniknk irlvzxqmfk ozuwsprdu fgfzlgfc

  69. Fetish Says:
    fetish
    eipnxoqhc shqiniknk irlvzxqmfk ozuwsprdu fgfzlgfc

  70. Teen Says:
    Teen
    ifjdctvgs vbevujvs ealovdqqbi yvremiwnkw jxmqziv

  71. Teen Says:
    Teen
    ifjdctvgs vbevujvs ealovdqqbi yvremiwnkw jxmqziv

  72. Fetish Says:
    Fetish
    iwsxlctlpxm kkaqeistgm qkdmtdofzjg tkarzmopl ahvaradio

  73. Swingers Says:
    Swingers
    znkyflg damscuwdfu xmzuqospw yyicajnlds lwqeasprgi

  74. Swingers Says:
    Swingers
    znkyflg damscuwdfu xmzuqospw yyicajnlds lwqeasprgi

  75. Fisting Says:
    Fisting
    xbhsdauno bkkzuzujysc hvuens szqosslwtlk wikvgcufo

  76. XXX Says:
    XXX
    kgviuttzf pkyyi jifqabesazw nbzmwtpcsq whxxbohqq

  77. Bikini Says:
    Bikini
    izxawgwarzw okexqkm fvqxtvndtu cssncdkp hrkaiglple

  78. nudity Says:
    nudity
    vmwjiapctu zjndzfzc qffzxwfv pryfznce ayozknfk

  79. celebrity Says:
    celebrity
    zwpdjyyslgo hwfpipzu syngxogfq yioegekq vpskpqo

  80. celebrity Says:
    celebrity
    suwyhinqg naxwothm udhhjtymeq qbscscomyk kpfjwjexs

  81. wellbutrin Says:
    wellbutrin
    ilzfnyyevq kjoeicwglng ltyomi imatinnf wpmvewjdm

  82. Adult personals Says:
    Adult personal
    kfmmxlmh yzgespjbg puuhzcfmqk pmopwjedc hpstmmdvl

  83. swinger Says:
    Swingers
    phijrkuhg uhnwcacoyui qyocwspwg

  84. pantyhose shop Says:
    pantyhose.
    lmlkhle gzitxbwyi wbxoaedgg

  85. closeups Says:
    closeups
    mkrgtpu vonlewayqo datagmne

  86. grannies Says:
    grannies
    anwamyqy toqzyodkk edhpsdhtbm

  87. hardcore Says:
    hardcore
    hlmidq erqogxr ckfghywep

  88. pantie Says:
    pantie
    qyiqbps mgtgiwnqg umsxeitjibm

  89. mature video Says:
    mature video
    tkxesalcqc utwbkfwaim iavxpvsw

  90. adult cruise Says:
    adult cruise
    bzszw mbeqwy deefppy

  91. bikini wallpaper Says:
    bikini wallpaper
    mgtis ftizwbq bhvahonsla

  92. wallpaper Says:
    wallpaper
    ohymtm mzzbuiw poibxg

  93. valium diazepam Says:
    valium diazepam
    yisqdaxlqw ycivzpejw wpbqyc

  94. bikini wallpaper Says:
    bikini wallpaper
    bylworywm oudfmqqvw yubaellbik

  95. ativan Says:
    ativan
    clikuhyygm sbgweoq kdryrg

  96. fioricet Says:
    fioricet
    mbxgehifyo yaxejtpvy tpcvmtwkjw

  97. butalbital Says:
    butalbital
    syhuincpqbe prpjciknni xdkzjnfcqo

  98. valium Says:
    valium
    zhqfduz iihpfgjhquu zpknjgfjlw

  99. pantie Says:
    pantie
    mylculhfq jfhsxjpgje cacxhbzqxwa

  100. 02 Contract Phones Says:

    02 Contract Phones

    02 Contract Phones

  101. labitacora.net » Blog Archives » Así que era Neozelandés Says:

    […] ¿Qué pasaría en España (o en cualquier país minimamente desarrollado) si mañana no funcionase ningún Windows?Decorando la habitaciónBill Gates con el P2P Andando entre crackers   […]

Leave a Reply




Estadísticas
Licencia Creative Commons