Botnet en base a web servers corriendo sobre Linux
Publicado el 16-9-2009 a las 15:30 por 
Franco Catrin
Franco Catrin 
(cc) Sophos D/A/CH Presseinfo
Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.
Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil. Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas. Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…
Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux. Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web. Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.
Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados. Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor. Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.
El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo. Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.
El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos. Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.
Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)
Publicado por Franco Catrin el 16 de September 2009 en la categoría Destacados, Software con los tags Botnet, DNS, Linux, Malware, Troyanos, Windows. Tiene 60 comentarios.
Compartir60 Comentarios
Botnet en base a web servers corriendo sobre Linux
7CarlosMC dijo el 16-9-2009 a las 15:39:
ingenioso sistema.. aunque algo complejo de entender…
pero no me quedo claro cual es la finalidad de esta botnet?
Ver Comentario... Cósty dijo el 16-9-2009 a las 15:41 ...
10RJ-45 dijo el 16-9-2009 a las 15:43:
wuajajajajaja no pude evitar reirme con lo de “…nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…” xD LoL
Ver Comentario... lol dijo el 16-9-2009 a las 15:44 ...
31SargentoPimienta dijo el 16-9-2009 a las 15:45:
Por suerte problemas como este son sólo cosa de ciencia ficción, ya que nadie en su sano juicio utilizaría una clave como asdf o macoy123 en algo “importante”, ¿cierto? =)
-1Fredy H. dijo el 16-9-2009 a las 15:45:
Me gusto el cof, cof, me acorde de algo…….
Leo prieto….. video……. Culo entre las manos
Hackeo…….
Password publicadas en la misma pagina…….
Ver Comentario... sergio dijo el 16-9-2009 a las 15:49 ...
2LaPeGa dijo el 16-9-2009 a las 15:54:
@sergio: Windows encaja en la parte donde se ejecutan los troyanos y los elementos ‘malignos’ que están en los iFrames (leáse IE)
Franco Catrin dijo el 16-9-2009 a las 16:00:
10@sergio
Para capturar esas passwords por la red, tienes que instalar un sniffer en esa red, y es ahí en donde juega su papel el troyano.
Ver Comentario... sergio dijo el 16-9-2009 a las 16:01 ...
7supreme dijo el 16-9-2009 a las 16:03:
OFF TOPIC: VEAN ESTO LOS CHILENOS Ley para suspender internet a quienes bajen musica, etc..
0NadaPU dijo el 16-9-2009 a las 16:30:
me recuerda a Leo Prieto.. y su contraseña que todos sabemos xD
entodo caso se hackea mas rapido a un windows que a linux
Ver Comentario... Tezeract dijo el 16-9-2009 a las 16:43 ...
-2Mocosillo dijo el 16-9-2009 a las 17:02:
OFF TOPIC:
Qué onda esto loco!!!
http://cl.invertia.com/noticias/noticia.aspx?idNoticia=200909161908_INV_78394885
-2Suikakuyu dijo el 16-9-2009 a las 17:08:
Si bien la noticia es interesante… creo que a la linea editorial de fayerwayer le está faltando un balanceador de carga. A veces tiran noticias ultralight, y otras se tiran noticias que para alguien que no tenga el bagaje de conocimiento especializado le suenan con sánscrito…
3Cabezon dijo el 16-9-2009 a las 17:11:
@Mocosillo: Por obra, lobby y gracia de nuestra querida y nunca bién ponderada perra ctm y la que la pa..ó Dennise Malebrán, ahora todos somos delincuentes.
1sergio dijo el 16-9-2009 a las 17:18:
Con respecto al otro tema, creo que hay que ser pro-activos y acosar ahora a nuestros legisladores y decirles que si aprueban leyes como esa, se les realizara un boicot, en época de elecciones son bastante abiertos a las sugerencias de las masas…
0inyaka dijo el 16-9-2009 a las 17:18:
Leo prieto password débil, cof cof…
XD eso en un post de betazeta
¿como es que paso el filtro? XD
0reflexiones dijo el 16-9-2009 a las 17:21:
Creo que la unica manera de que roben la informacion del FTP es cuando dejan el nombre de usuario y clave de acceso “pegados” alli
0sergio dijo el 16-9-2009 a las 17:21:
@Cabezon totalmente de acuerdo con la opinión sobre Dennise Malebrán, ella si hace lobby con politicos y amenaza a la gente de la concertación con dejarlos sin show en epocas de elecciones con tal de lograr leyes que favorezcan a su cartel de musicos, es tiempo de oponerse
0sergio dijo el 16-9-2009 a las 17:33:
it just occurred to me that hackers may simple have root passwords from those hacked servers,… …., and the admins were dumb enough to use the root account for (S)FTP operations and even dumber to store their root passwords in FTP program settings. Having a database of thousands of stolen FTP credentials, hackers just need to search for entries with username “root“. Insisto, revise el segundo link y dice: se me ocurre que… hay Administradores burros que almacenaron sus pass de root…. no veo la relación con Windows…
1Pedro dijo el 16-9-2009 a las 17:55:
@sergio
Windows es el SO donde se ejecuta el cliente FTP, el cual tiene corriendo un Troyano que roba los users y claves cuando los escribes. Captas ahora??
Saludos
Franco Catrin dijo el 16-9-2009 a las 18:04:
30@Pedro
Complementando tu comentario, y usando un contrajemplo: Si no se pudiera utilizar un troyano de Windows para hacer sniffing, entonces tendrían que intervenir uno de los servidores Linux, pero si pudieran hacer eso entonces no necesitarían robar ninguna password en primer lugar.
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →
Deja tu Comentario
Artículos Relacionados
Navegador Chromium es más rápido en Linux
Video: La carrera por el inicio rápido entre Linux y Windows
Futurología: El ejército de Estados Unidos se cambia a hardware de Apple
Cliente de Hive Rise gratis para Windows y Linux
Descubierta vulnerabilidad en Adobe Reader
Descarga guía gratuita de Ubuntu (para Windowseros)
Linux sale mal parado en benchmark de JavaScript
Sistemas Operativos de distintos sabores en Enero 2009
¿Niños prefieren Sugar a Windows XP?
Así se verá Firefox 3
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →