Tema: Ataque al servidor de mundodvd

Enhorabuena a los administradores por haber realizado tan estupendo trabajo y en tan poco tiempo. Estos ataques no son muy faciles de parar una vez que te han "zumbado" la contraseña, pero parece que lo habeis hecho muy bien.

Yo me dedico a la informatica y una parte de mi trabajo es la seguridad de redes y sistemas. Y os puedo asegurar que un ataque de estas caracteristicas podria habernos dejado literalmente sin foros si no se tiene copia actualizada del site y de su BDD. Ya me contareis quien ha sido el maquina que lo ha solucionado, porque es pesado y arduo de cojones.


Con el permiso del administrador creo que puedo contaros como se realizan los ataques donde se inserta codigo malicioso en las paginas web y asi estar un poco mas informados que nunca viene mal.

Este metodo consiste en introducir el código a los archivos index y a todos los archivos con extensión .html y htm.
En un 99% de los casos dicha alteracion la han realizado accediendo al ftp de la cuenta de administracion del host.

El como se obtiene dicha clave de acceso es bastante controvertido, ya que hay mucha especulacion por internet acerca de este tema. Lo mas extendido es un determinado virus que afecta a los navegadores (como no a IE), que lo que hace es que cuando te logueas en determinado site detecta tu user y pass y lo envia automaticamente a los hackers. El resto ya os lo podeis imaginar...

Tambien lei hace tiempo, aunque creo que es un bulo, que hay un soft de cuteftp pirata (que todos conocemos) que ya viene "preparado" con un troyano para enviar los users y los pass de los sites a los hackers.

Antes de despedirme y como recomendacion si teneis el site alojado en una maquina vuestra con ISS (se que estais en Madrid segun me dice mi soft de Trace Route, lo que no se si estais dentro de un datacenter en condiciones) o algo similar, es que pongais algun soft de auditoria en tiempo real de terceros o algun sniffer de red. Todo esto obviando que esteis detras de un buen firewall.


EDITO porque se me olvidaba: Os recomiendo a TODOS que instaleis en vuestros PCs un programa (para mi el mejor sin dudarlo) para detectar malware. El programa es gratuito y se llama MalwareBytes Antimalware. Yo he quitado con este programa bichos absolutamente infames y utilizarlo en conjunto con tu antivirus "realtime" como NOD32 (que es el mejor) y con hijackthis es perfecto.


Un cordial saludo y gracias de nuevo por mantener arriba este pedazo de foro.

Pues a mi creo que me han jodido... Tengo el denominado "virus del doble acento" Es decir, que en lugar de escribir "camión", escribo "cami´´on" (en el navegador me va bien, pero en Word no ).

Llevo desde ayer por la noche intentando quitarlo y nada... He pasado hoy varias veces dos antimalware y el antivirus y no me detecta nada (ayer sí). Me conectaré lo menos posible por si las moscas hasta que pueda solucionarlo

PD: precisamente ahora que estoy liada con la tesina...

Iniciado por CaRnAgE

Amigo El Nota, eso siempre ha pasado, pasa y pasará pero no solo a favor del G DATA sino a favor y en contra de todos. Encontrarás quien diga lo mismo que tú pero a la inversa en favor del Nod o Kaspersky diciendo que el G DATA no los detectó. Por eso no debe uno aferrarse a nada

Tienes razón, no hay que aferrarse y pero..., ya fue casualidad que en dos equipos con distintos antivirus escaneados previamente por Kaspersky y Eset Internet Securtiy no detectaran un par de troyanos que en cuanto instalé el G DATA salieron a la luz. El problema es que ya no me daban confianza ninguno de los antivirus que estaba usando hasta entonces. Además, en las webs independientes que chequean software antivirus siempre obtiene unos resultados excelentes.

Iniciado por Jane

Pues a mi creo que me han jodido... Tengo el denominado "virus del doble acento" Es decir, que en lugar de escribir "camión", escribo "cami´´on" (en el navegador me va bien, pero en Word no ).

Llevo desde ayer por la noche intentando quitarlo y nada... He pasado hoy varias veces dos antimalware y el antivirus y no me detecta nada (ayer sí). Me conectaré lo menos posible por si las moscas hasta que pueda solucionarlo

PD: precisamente ahora que estoy liada con la tesina...

Unos posts más arriba comenté el problema que tuve con el portatil de mi mujer. Lo intenté todo y no detectaba nada. Ni el G DATA, ni el Malwarebytes, ni el PC Tools Spyware Doctor, ni el Spy Sweeper encontraban nada.

Al final siguiendo los consejos del foro InfoSpyware descargué la herramienta ComboFix, la ejecuté, detectó el archivo malicioso y se terminó el problema. De todas formas, úsalo con precaución porque es una herramienta potente que podría dañar el sistema operativo si no se usa adecuadamente.

Saludos, El Nota.

Gracias El Nota, precisamente ha sido esa herramienta la que me ha salvado! No sabía que fuera tan peligrosa Suerte que ha ido bien la cosa!

Gracias a los administradores por actuar tan rápidamente!

Iniciado por Jane

Gracias El Nota, precisamente ha sido esa herramienta la que me ha salvado! No sabía que fuera tan peligrosa Suerte que ha ido bien la cosa!

Gracias a los administradores por actuar tan rápidamente!

Jane, no olvides ejecutar un limpiador del registro como el CCleaner que es gratuito y funciona de maravilla.

Saludos, El Nota.

Iniciado por El Nota

Jane, no olvides ejecutar un limpiador del registro como el CCleaner que es gratuito y funciona de maravilla.

Saludos, El Nota.

Tampoco se cómo utilizar este programa porque, al no entender ni jota, siempre tengo miedo de cargarme algo necesario para el funcionamiento del ordenador. Para esto que comentas, ¿hay que seleccionar Limpiador/Windows/Avanzada/Archivos de registro IIS? ¿es conveniente seleccionar alguna otra cosa que borrar?

Iniciado por Huw Morgan

Tampoco se cómo utilizar este programa porque, al no entender ni jota, siempre tengo miedo de cargarme algo necesario para el funcionamiento del ordenador. Para esto que comentas, ¿hay que seleccionar Limpiador/Windows/Avanzada/Archivos de registro IIS? ¿es conveniente seleccionar alguna otra cosa que borrar?

Cuando abres el programa te aparecen en la parte izquierda cuatro figuritas: Limpiador (una brocha), registro (un montón de cuadraditos), herramientas (una llave) y opciones. Selecciona la segunda, "Registro", la del montón de cuadraditos de color azul y le das a "buscar problemas" en la parte inferior de la pantalla. Te preguntará si quieres hacer una copia de seguridad de lo que vas a borrar, y a continuación procederá a la limpieza del registro.

Como una imagen vale más que mil palabras, edito el post para colgarte una imagen de lo que te explicaba más arriba. Está en inglés y es de una versión anterior del programa pero creo que se entiende perfectamente.



Saludos, El Nota.

Antes de nada, agradecer a los administradores del foro su buen hacer en la gestión de este incidente.

Complementando la información proporcionada por el compañero JLennon y como responsable técnico de una casa antivirus que ya habeis mencionado, os puedo comentar que este tipo de ataques son muy frecuentes últimamente. Como muy bien se ha explicado ya, se trata de inyectar lineas en el códgio fuente de la web de manera que, cuando un usuario accede a la misma, se descarga, de forma transparente, un malware.

Lamentablemente, el 99% de los usuarios tiene permisos de admnistrador en su sistema, por lo que el archivo descargado se ejecuta sin mayor dificultad. Las ultimas muestras que estoy analizando son del tipo bot (concretamente de la familia Zbot) y su tarea es abrir una puerta trasera en vuestro sistema para que, quien quien haya incluido el malware en la web, pueda controlarlo remotamente, entrando vuestro ordenador a formar parte de una red de ordeandores zombies o botnet.

¿Y que beneficio obtienen?, pues bastantes. Capacidad de proceso gigantesca. Imaginaos miles de ordenadores actuales con sus procesadores de 2 o mas nucleos trabajando en paralelo para vuestro uso y disfrute. Una maravilla para descifrar claves a coste cero.

También pueden hacer uso de vuestro disco duro sin que os entereis para albergar por ejemplo, software ilegal (cracks, warez), archivos multimedia (videos, música) o, en el peor de los casos, archivos pornográficos y pedófilos. Así se evitan que se les pueda acusar de tenencia de este material en sus ordenadores, ya que lo tienen distribuido por las máquinas infectadas.

Y no nos olvidemos de vuestra conexión a Internet, que puede ser usada para enviar millones de correos spam desde vuestra máquina o realizar ataques de denegación de servicio contra otros servidores webs.

Todos estos servicios pueden alquilarlos por precio y se obtiene un gran beneficio tan solo controlando el panel de administración de una botnet, generando nuevos códigos malicioso e inyectandolos en webs. y cuando digo webs me refiero a toda clase de webs. A mi me a tocado analizar y avisar a los webmasters de Paramount España, Kellogg's España o Metro de Madrid para que veais unos cuantos ejemplos de como está el patio.

¿Y ante estos ataques que podemos hacer? Pues sabiendo que la mayoría se aprovechan de vulnerabilidades en el sistema, navegador o aplicaciones de terceros (programas de Adobe, por ejemplo) es fundamental mantenerlos actualizados, contar con un antivirus que sea capaz de reaccionar a tiempo, ejecutar nuestro sistema con los mínimos privilegios posible (y esto afecta a Windows, Linux y Mac OS) y, sobretodo, usar nuestro sentido común cuando veamos algo extraño.

Espero que este ladrillo os haya servido para comprender un poco más la situación.

Saludos

Iniciado por JLennon

EDITO porque se me olvidaba: Os recomiendo a TODOS que instaleis en vuestros PCs un programa (para mi el mejor sin dudarlo) para detectar malware. El programa es gratuito y se llama MalwareBytes Antimalware. Yo he quitado con este programa bichos absolutamente infames y utilizarlo en conjunto con tu antivirus "realtime" como NOD32 (que es el mejor) y con hijackthis es perfecto.


Un cordial saludo y gracias de nuevo por mantener arriba este pedazo de foro.

Gracias Lennon por la explicación

Por cierto, subscribo al 100% tu recomendación del "Malwarebytes" y aunque no tengo ni idea de informática, me ha sacado de más de un lío. Puede con casi todo, es un auténtico pitbull...

Saludos...

Xusi, lo de Paramount lo conocía, era en la web de prensa, ¿verdad? De hecho mi Nod32 lo detectó y me puse en contacto con unos y con otros, quizás sepas algo del tema ;)
Pues nada, que mientras todo esto avanza cosa mala, espero que por el lado que contrarresta eso también esté avanzando a pasos agigantados.

Correcto Carnage. Fue en la web de prensa y en dos ocasiones con un mes de diferencia.

No te quepa duda que en el campo de la seguridad informatica se avanza en ambos lados. El problema actual es que se genera tanto malware (entre 100 y 200 mil mestras únicas diarias según compañías) que es imposible mitigarlo todo. Esto, unido a vectores de ataque cada vez mas elaborados y la profesionalización de los creadores de malware (ya se gana mas creando malware que con el tráfico de armas y drogas) hace que esto se parezca, cada vez más, a una cyber-guerra.

Y mejor no os digo nada de los ataques exitosos contra infraestructuras críticas para que no deseís emigrar a una base antartica :p

xusi gracias por la info!!!

A mi como informático me interesa este tema no estoy muy puesto en esto de los malwares y demás pero lo de las redes zombis si que lo conocía.

Para todos lo que siempre le digo a mis amigos y conocidos que el mejor antivirus es el sentido común. Eso no quita que nos la puedan colar pero con sentido común te puedes ahorrar más de un disgusto.

Saludetes!!!

Iniciado por JLennon

Enhorabuena a los administradores por haber realizado tan estupendo trabajo y en tan poco tiempo. Estos ataques no son muy faciles de parar una vez que te han "zumbado" la contraseña, pero parece que lo habeis hecho muy bien.

Yo me dedico a la informatica y una parte de mi trabajo es la seguridad de redes y sistemas. Y os puedo asegurar que un ataque de estas caracteristicas podria habernos dejado literalmente sin foros si no se tiene copia actualizada del site y de su BDD. Ya me contareis quien ha sido el maquina que lo ha solucionado, porque es pesado y arduo de cojones.


Con el permiso del administrador creo que puedo contaros como se realizan los ataques donde se inserta codigo malicioso en las paginas web y asi estar un poco mas informados que nunca viene mal.

Este metodo consiste en introducir el código a los archivos index y a todos los archivos con extensión .html y htm.
En un 99% de los casos dicha alteracion la han realizado accediendo al ftp de la cuenta de administracion del host.

El como se obtiene dicha clave de acceso es bastante controvertido, ya que hay mucha especulacion por internet acerca de este tema. Lo mas extendido es un determinado virus que afecta a los navegadores (como no a IE), que lo que hace es que cuando te logueas en determinado site detecta tu user y pass y lo envia automaticamente a los hackers. El resto ya os lo podeis imaginar...

Tambien lei hace tiempo, aunque creo que es un bulo, que hay un soft de cuteftp pirata (que todos conocemos) que ya viene "preparado" con un troyano para enviar los users y los pass de los sites a los hackers.

Antes de despedirme y como recomendacion si teneis el site alojado en una maquina vuestra con ISS (se que estais en Madrid segun me dice mi soft de Trace Route, lo que no se si estais dentro de un datacenter en condiciones) o algo similar, es que pongais algun soft de auditoria en tiempo real de terceros o algun sniffer de red. Todo esto obviando que esteis detras de un buen firewall.


EDITO porque se me olvidaba: Os recomiendo a TODOS que instaleis en vuestros PCs un programa (para mi el mejor sin dudarlo) para detectar malware. El programa es gratuito y se llama MalwareBytes Antimalware. Yo he quitado con este programa bichos absolutamente infames y utilizarlo en conjunto con tu antivirus "realtime" como NOD32 (que es el mejor) y con hijackthis es perfecto.


Un cordial saludo y gracias de nuevo por mantener arriba este pedazo de foro.

Está perfectamente explicado , con la salvedad de que en este caso habían modificado únicamente archivos .js y templates basados en .php internos, dejando los archivos principales sin tocar (imagino que para intentar evitar que usuarios no demasiado avanzados encontrasen referencias a los scripts en los ficheros más conocidos). Reconozco que al recibir el primer aviso y revisar la web pensé que se debía a un código de publicidad (a veces se muestran como códigos maliciosos para según qué antivirus) porque en los códigos principales no encontré ninguna referencia, pero al ver que tenía dos avisos al respecto todas las alarmas se dispararon. Gran parte del mérito de la solución fueron esos rápidos avisos iniciales (gracias devotee, CaRnAgE ).

Han sido unas cuantas horas algo pesadas, pero vuestros agradecimientos y que el foro siga en marcha compensan con creces

Yo he pasado el antivirus y me ha detectado un troyano. He instalado el programa que ha recomendado JLennon y estoy haciendo varias exploraciones.

Y aunque me salga todo como limpio, no estaré tranquilo, siempre me quedará la duda de si hay algo que las exploraciones han detectado... :diu

Swearenger, vuestra actuación ha sido ejemplar, bloqueando el foro para evitar nuevas infecciones y avisando a los usuarios de lo ocurrido. Hacen falta más administradores así en sitios de supuesto más renombre.

Saludos