Tema: Ataque al servidor de mundodvd

Gracias por las explicaciones, el trabajo y las molestias. Y enhorabuena.
Ahora, a denunciar en comisaría.

Tiene que haber de todo en este mundo xDD, como demostrado esta y si fuera solo aqui, pero es que es en todos lados, en fin, espero que se haya solucionado todo y gracias por haber actuado con rapidez y eficacia compañeros.

He analizado mi sistema y no he encontrado nada peligroso. Igualmente, muchas gracias por el aviso y por el trabajo realizado para erradicar cualquier problema.

Gracias por el curro, swearengen, buen trabajo. Mis felicitaciones y mi agradecimiento por conseguir resolver semenjante jaleo de un modo tan eficiente.

En el interín, he leído interés y muestras de apoyo en varios sitios, y a título personal, quisiera destacar un post leído en nosolo hd, escrito por Athor, uno de los moderadores:

Yo creo que sólo por deferencia, este post debería de servir, para que la gente sepa como va el tema del ataque, y si se va solucionando o no, o por si la gente de mundodvd quiere dar algún mensaje al respecto, o hablar entre ellos, o incluso preguntar por aquí por el problema surgido.

Así que animo a que nos uséis un poco de cordón en estos momentos, y deciros que nos tenéis aquí para lo que necesiteis y podamos ayudaros, porque al fin y al cabo, lo que importa es la gente, y la ayuda que podamos brindarnos los unos a los otros.

Dicho esto, espero que no sea muy grave, que lo soluciones pronto, y que lo daños se queden en nada, mucho ánimo y suerte para resolver rápido el problema, y que volvais a estar pronto en antena, un abrazo muy fuerte.

El NOD32 es muy recomendable. Lo tengo de prueba, acabo de instalarlo. Ha acabado y no ha detectado nada.
Menos mal que no s'ha colao nada.

Gracias de todo corazón chicos, porque la informática como tal no es mi fuerte.

Como verás, difiere de los que dos que te ha recomendado el amigo CaRnAgE, pero es que tras probar G DATA y descubrir un par de troyanos que ni el Nod32 ni el Kaspersky detectaban, me pasé al la suite alemana y deje de renovar las licencias de los otros dos antivirus.

Amigo El Nota, eso siempre ha pasado, pasa y pasará pero no solo a favor del G DATA sino a favor y en contra de todos. Encontrarás quien diga lo mismo que tú pero a la inversa en favor del Nod o Kaspersky diciendo que el G DATA no los detectó. Por eso no debe uno aferrarse a nada

Iniciado por Kyle Reese

Gracias de todo corazón chicos, porque la informática como tal no es mi fuerte.

El mío tampoco lo era. Tuve que aprender a lo bruto y a marchas forzadas... cuando era pequeño, prácticamente con acercarme a un ordenador se colgaba sólo.
De unos años a esta parte, pués todo ha ido cuesta arriba.

Menos mal que no se ha colado nada, o al menos nada que los AV o AntiSpywares detectasen, claro.

Que ganas de jorobar al personal que hay. Si se invirtiese tanta malícia en cosas buenas para la humanidad, el mundo informático sería mucho mejor.

Iniciado por El Fanegas

El mío tampoco lo era. Tuve que aprender a lo bruto y a marchas forzadas... cuando era pequeño, prácticamente con acercarme a un ordenador se colgaba sólo.
De unos años a esta parte, pués todo ha ido cuesta arriba.

Menos mal que no se ha colado nada, o al menos nada que los AV o AntiSpywares detectasen, claro.

Que ganas de jorobar al personal que hay. Si se invirtiese tanta malícia en cosas buenas para la humanidad, el mundo informático sería mucho mejor.

Al menos con lo que me decís me quedo más tranquilo. A ver si el susto ha pasado y vuelve todo a su sitio.

Gracias por el aviso,
voy a darle una pasada con el NOD por si acaso.
Salu2.

Escaneé ayer gracias a vuestro aviso y no me ha detectado nada. Creo que he estado navegando la hora fatídica, pero parece que "estoy limpio".

me gustaria entender que beneficio se saca en joder una web...pero bueno...

se sabe si ese codigo malicioso afecta a Opera?o es sólo para explorer?

Por cierto yo he observado dos problemas en le foro después del ataque:

1º.- el emotico "HOLA" esta missing..lo han debido de secuestrar los rusos
2º.- No me permite marcar en "Enlaces- > Marcar foros como leídos" me da el siguiente mensaje

Tu envio no pudo ser procesado porque un 'security token' no es válido.

Si esto ocurrió inesperadamente, por favor informa al administrador y describe la acción que realizaste antes de recibir este error.

Saludos "HOLA"

Iniciado por Whisper

Por cierto yo he observado dos problemas en le foro después del ataque:

1º.- el emotico "HOLA" esta missing..lo han debido de secuestrar los rusos
2º.- No me permite marcar en "Enlaces- > Marcar foros como leídos" me da el siguiente mensaje




Saludos "HOLA"

Hemos tenido problemas con las rutas de algunos emoticonos y debemos revisar aún algunas cosas, pero esperamos tener todo listo muy pronto .

Gracias por el aviso

Iniciado por swearengen

Hemos tenido problemas con las rutas de algunos emoticonos y debemos revisar aún algunas cosas, pero esperamos tener todo listo muy pronto .

Gracias por el aviso

Muchas gracias por solventar las dos cosas:
- emoticonos, y
- sobre todo, el "marcar foros como leídos". Ya funciona...!!


Saludos

Aclarado

Enhorabuena a los administradores por haber realizado tan estupendo trabajo y en tan poco tiempo. Estos ataques no son muy faciles de parar una vez que te han "zumbado" la contraseña, pero parece que lo habeis hecho muy bien.

Yo me dedico a la informatica y una parte de mi trabajo es la seguridad de redes y sistemas. Y os puedo asegurar que un ataque de estas caracteristicas podria habernos dejado literalmente sin foros si no se tiene copia actualizada del site y de su BDD. Ya me contareis quien ha sido el maquina que lo ha solucionado, porque es pesado y arduo de cojones.


Con el permiso del administrador creo que puedo contaros como se realizan los ataques donde se inserta codigo malicioso en las paginas web y asi estar un poco mas informados que nunca viene mal.

Este metodo consiste en introducir el código a los archivos index y a todos los archivos con extensión .html y htm.
En un 99% de los casos dicha alteracion la han realizado accediendo al ftp de la cuenta de administracion del host.

El como se obtiene dicha clave de acceso es bastante controvertido, ya que hay mucha especulacion por internet acerca de este tema. Lo mas extendido es un determinado virus que afecta a los navegadores (como no a IE), que lo que hace es que cuando te logueas en determinado site detecta tu user y pass y lo envia automaticamente a los hackers. El resto ya os lo podeis imaginar...

Tambien lei hace tiempo, aunque creo que es un bulo, que hay un soft de cuteftp pirata (que todos conocemos) que ya viene "preparado" con un troyano para enviar los users y los pass de los sites a los hackers.

Antes de despedirme y como recomendacion si teneis el site alojado en una maquina vuestra con ISS (se que estais en Madrid segun me dice mi soft de Trace Route, lo que no se si estais dentro de un datacenter en condiciones) o algo similar, es que pongais algun soft de auditoria en tiempo real de terceros o algun sniffer de red. Todo esto obviando que esteis detras de un buen firewall.


EDITO porque se me olvidaba: Os recomiendo a TODOS que instaleis en vuestros PCs un programa (para mi el mejor sin dudarlo) para detectar malware. El programa es gratuito y se llama MalwareBytes Antimalware. Yo he quitado con este programa bichos absolutamente infames y utilizarlo en conjunto con tu antivirus "realtime" como NOD32 (que es el mejor) y con hijackthis es perfecto.


Un cordial saludo y gracias de nuevo por mantener arriba este pedazo de foro.

Pues a mi creo que me han jodido... Tengo el denominado "virus del doble acento" Es decir, que en lugar de escribir "camión", escribo "cami´´on" (en el navegador me va bien, pero en Word no ).

Llevo desde ayer por la noche intentando quitarlo y nada... He pasado hoy varias veces dos antimalware y el antivirus y no me detecta nada (ayer sí). Me conectaré lo menos posible por si las moscas hasta que pueda solucionarlo

PD: precisamente ahora que estoy liada con la tesina...

Iniciado por CaRnAgE

Amigo El Nota, eso siempre ha pasado, pasa y pasará pero no solo a favor del G DATA sino a favor y en contra de todos. Encontrarás quien diga lo mismo que tú pero a la inversa en favor del Nod o Kaspersky diciendo que el G DATA no los detectó. Por eso no debe uno aferrarse a nada

Tienes razón, no hay que aferrarse y pero..., ya fue casualidad que en dos equipos con distintos antivirus escaneados previamente por Kaspersky y Eset Internet Securtiy no detectaran un par de troyanos que en cuanto instalé el G DATA salieron a la luz. El problema es que ya no me daban confianza ninguno de los antivirus que estaba usando hasta entonces. Además, en las webs independientes que chequean software antivirus siempre obtiene unos resultados excelentes.

Iniciado por Jane

Pues a mi creo que me han jodido... Tengo el denominado "virus del doble acento" Es decir, que en lugar de escribir "camión", escribo "cami´´on" (en el navegador me va bien, pero en Word no ).

Llevo desde ayer por la noche intentando quitarlo y nada... He pasado hoy varias veces dos antimalware y el antivirus y no me detecta nada (ayer sí). Me conectaré lo menos posible por si las moscas hasta que pueda solucionarlo

PD: precisamente ahora que estoy liada con la tesina...

Unos posts más arriba comenté el problema que tuve con el portatil de mi mujer. Lo intenté todo y no detectaba nada. Ni el G DATA, ni el Malwarebytes, ni el PC Tools Spyware Doctor, ni el Spy Sweeper encontraban nada.

Al final siguiendo los consejos del foro InfoSpyware descargué la herramienta ComboFix, la ejecuté, detectó el archivo malicioso y se terminó el problema. De todas formas, úsalo con precaución porque es una herramienta potente que podría dañar el sistema operativo si no se usa adecuadamente.

Saludos, El Nota.

Gracias El Nota, precisamente ha sido esa herramienta la que me ha salvado! No sabía que fuera tan peligrosa Suerte que ha ido bien la cosa!

Gracias a los administradores por actuar tan rápidamente!

Iniciado por Jane

Gracias El Nota, precisamente ha sido esa herramienta la que me ha salvado! No sabía que fuera tan peligrosa Suerte que ha ido bien la cosa!

Gracias a los administradores por actuar tan rápidamente!

Jane, no olvides ejecutar un limpiador del registro como el CCleaner que es gratuito y funciona de maravilla.

Saludos, El Nota.

Antes de nada, agradecer a los administradores del foro su buen hacer en la gestión de este incidente.

Complementando la información proporcionada por el compañero JLennon y como responsable técnico de una casa antivirus que ya habeis mencionado, os puedo comentar que este tipo de ataques son muy frecuentes últimamente. Como muy bien se ha explicado ya, se trata de inyectar lineas en el códgio fuente de la web de manera que, cuando un usuario accede a la misma, se descarga, de forma transparente, un malware.

Lamentablemente, el 99% de los usuarios tiene permisos de admnistrador en su sistema, por lo que el archivo descargado se ejecuta sin mayor dificultad. Las ultimas muestras que estoy analizando son del tipo bot (concretamente de la familia Zbot) y su tarea es abrir una puerta trasera en vuestro sistema para que, quien quien haya incluido el malware en la web, pueda controlarlo remotamente, entrando vuestro ordenador a formar parte de una red de ordeandores zombies o botnet.

¿Y que beneficio obtienen?, pues bastantes. Capacidad de proceso gigantesca. Imaginaos miles de ordenadores actuales con sus procesadores de 2 o mas nucleos trabajando en paralelo para vuestro uso y disfrute. Una maravilla para descifrar claves a coste cero.

También pueden hacer uso de vuestro disco duro sin que os entereis para albergar por ejemplo, software ilegal (cracks, warez), archivos multimedia (videos, música) o, en el peor de los casos, archivos pornográficos y pedófilos. Así se evitan que se les pueda acusar de tenencia de este material en sus ordenadores, ya que lo tienen distribuido por las máquinas infectadas.

Y no nos olvidemos de vuestra conexión a Internet, que puede ser usada para enviar millones de correos spam desde vuestra máquina o realizar ataques de denegación de servicio contra otros servidores webs.

Todos estos servicios pueden alquilarlos por precio y se obtiene un gran beneficio tan solo controlando el panel de administración de una botnet, generando nuevos códigos malicioso e inyectandolos en webs. y cuando digo webs me refiero a toda clase de webs. A mi me a tocado analizar y avisar a los webmasters de Paramount España, Kellogg's España o Metro de Madrid para que veais unos cuantos ejemplos de como está el patio.

¿Y ante estos ataques que podemos hacer? Pues sabiendo que la mayoría se aprovechan de vulnerabilidades en el sistema, navegador o aplicaciones de terceros (programas de Adobe, por ejemplo) es fundamental mantenerlos actualizados, contar con un antivirus que sea capaz de reaccionar a tiempo, ejecutar nuestro sistema con los mínimos privilegios posible (y esto afecta a Windows, Linux y Mac OS) y, sobretodo, usar nuestro sentido común cuando veamos algo extraño.

Espero que este ladrillo os haya servido para comprender un poco más la situación.

Saludos

Iniciado por JLennon

EDITO porque se me olvidaba: Os recomiendo a TODOS que instaleis en vuestros PCs un programa (para mi el mejor sin dudarlo) para detectar malware. El programa es gratuito y se llama MalwareBytes Antimalware. Yo he quitado con este programa bichos absolutamente infames y utilizarlo en conjunto con tu antivirus "realtime" como NOD32 (que es el mejor) y con hijackthis es perfecto.


Un cordial saludo y gracias de nuevo por mantener arriba este pedazo de foro.

Gracias Lennon por la explicación

Por cierto, subscribo al 100% tu recomendación del "Malwarebytes" y aunque no tengo ni idea de informática, me ha sacado de más de un lío. Puede con casi todo, es un auténtico pitbull...

Saludos...

Xusi, lo de Paramount lo conocía, era en la web de prensa, ¿verdad? De hecho mi Nod32 lo detectó y me puse en contacto con unos y con otros, quizás sepas algo del tema ;)
Pues nada, que mientras todo esto avanza cosa mala, espero que por el lado que contrarresta eso también esté avanzando a pasos agigantados.

Correcto Carnage. Fue en la web de prensa y en dos ocasiones con un mes de diferencia.

No te quepa duda que en el campo de la seguridad informatica se avanza en ambos lados. El problema actual es que se genera tanto malware (entre 100 y 200 mil mestras únicas diarias según compañías) que es imposible mitigarlo todo. Esto, unido a vectores de ataque cada vez mas elaborados y la profesionalización de los creadores de malware (ya se gana mas creando malware que con el tráfico de armas y drogas) hace que esto se parezca, cada vez más, a una cyber-guerra.

Y mejor no os digo nada de los ataques exitosos contra infraestructuras críticas para que no deseís emigrar a una base antartica :p