Crónicas de mi primer ataque.

Por Luciano Laporta Podazza el 03/11/2009, en Seguridad

Hace unos meses atrás varios grupos de defacers(la mayoría de países arabes y del oriente) atacaron masivamente(aproximadamente 40.000 intentos de ataques) la web de Hack-IT, en resumen tenemos 2 webs, la web de business y este blog, luego tenemos un sector donde probamos sistemas nuevos y cosas así(el cual no publicaremos por cuestiones obvias) y en un descuido teniamos una carpeta “home” en la raiz del sitio, osea www.hack-it.com.ar/home/ (ni se molesten en entrar, ya no existe ).

En esta carpeta “home” teniamos un joomla para pruebas y lo dejamos ahí abandonado por falta de tiempo, el cual se fue desactualizando y dejado a través del paso de los meses.

Obviamente que esa carpeta no era algo público y no tuvimos la delicadeza de, como mínimo, protegerla aunque sea con un auth basic, ergo fue fácil de enumerar aunque nadie supiese que estaba ahí.

Lo que sucedió fue que intentaron atacar la web de business y fracasaron, luego el blog(wordpress) y lo mismo, fracasaron. Asique luego de enumerar directorios, dieron con la carpeta “home” donde estaba el joomla super desactualizado(ergo con decenas de bugs) y lograron entrar.

Una vez que accedieron se limitaron a defacear los index de la raiz del sitio, el home y el titulo del blog.

Lo interesante de todo esto es que los atacantes defaceaban sitios y luego colgaban archivos maliciosos(lease shells en php, bots, scripts en php de information gathering, etc) y luego utilizaban a los mismos scripts para incluirlos en futuras webs vulnerables y seguir “infectandolas”.

Una vez que tuvieron éxito(a través de un bug en joomla) y como era de esperarse, dejaron la típica “firma” de que estuvieron aquí, y como no acompañada de algún que otro mail del “super hacker”(con cuentas en hotmail, claro, son re “hackers”) me dispuse a rastrear el ataque y la manera en que lograron entrar…

Cuando me dispuse a leer las chorrocientas líneas de logs del apache surgió la necesidad de tener alguna herramienta que me facilitara la visualización y detección del ataque, es por ello que me puse a googlear un buen rato y había poca info al respecto, hasta que encontre esto.

Esta herramienta me ayudo a visualizar bastante cómo pudo darse el ataque, que tipos de ataques intentaron, etc. Me arme tan solo de los filtros de php-ids y listo.

Lo más gracioso del asunto es que en los logs figuraban todas las webs que esta gente ya había vulnerado y con sus respectivos scripts escondidos en alguna carpetita olvidada de por ahí.

En las mismas se encontraban no solo los típicos scripts para atacar webs, si no además los bots en php… con sus respectivos passwords (en texto plano) , que usaban este grupo de “super hackers”(espero se haya entendido la ironía) para conectarse al servidor maestro.

Como algo personal les comento que era de esperarse que en algún momento alguien intentara darnos vuelta la web y para ser sincero yo pensaba que eso provocaria mi enfado, pero al contrario me emocionó mucho(que masoquista que soy eh? ), realmente represento una aventura desafiante y muy grata.

Entonces en resumen(si, me voy muy por las ramas), la información que tenía en mi poder eran los nicks, mails, scripts en php, passwords de bots y la curiosidad de hablar con los atacantes . Entonces me decidí a agregar a mi cuenta de msn a uno de los atacantes y felicitarlo por la hazaña(realmente fue así), pero una vez más, como era de esperarse, contestaron con la soberbia y arrogancia de un lamer.

Lamentablemente no poseo la charla que tuve con el atacante porque estaba probando unas distros de GNU/Linux en mi portatil y me olvide salvarla xD, pero en resumen el defacer se hacía el “ocupado” y me respondía sutilmente “dejate de molestar que tengo cosas más importantes que hacer que hablar con vos”, asi que decidi(sí, se que estuvo mal de mi parte) hacerle un copy&paste de los accesos al servidor maestro de su red de bots que controla por el IRC, acto seguido el atacante me borró de sus contactos de msn y al cabo de unas horas cambió todos los passwords y accesos por miedo a que pueda hacer algo en contra de él… como si realmente me importara, yo si tengo cosas más importantes que hacer, construir en vez de destruir .

Para concluir les comento que fue una experiencia inolvidable y muy divertida, hasta podría decirles que espero que pronto alguien tenga éxito en el ataque, asi sepa en que debo mejorar .

Como “perlita” les dejo todos los archivos que los atacantes usaron, muchos son similares pero que les fueron cambiando los créditos para que parezca que los hizo X grupo y no otro(cof cof lamers cof cof) asique les dejo todo.

Script de information gathering

Este esta copado, almenos se tomaron el trabajo de ofuscarlo un poco

Más de info gathering

Más gathering

Más de lo mismo pero con la firma del grupo

Mismo code pero con firma

Aquí el bot con su respectivo user, pass, irc address, etc.

Más scripts, este en italiano parece :S jaja

Algunos mails de los atacantes hablenles en inglés, porque son arabes :

Xo2@Hotmail.Com, php-c0de@homail.com

Algunas webs vulneradas(si van a la raíz de la carpeta pueden hacer directory listing y ver los scripts):

http://www.gsmch.org/club/chi.txt

http://www.noasc.com/components/index.txt?

http://elgallitoingles.com/images/products/hk?

Y eso es todo si la memoria no me falla, de todas formas está de más comentarles que todo el tiempo estan atacandome, obvio que un 90% de los ataques son realizados con herramientas automatizadas y exploits automatizados, pero no tienen éxito .

Un saludo a mis querídos lectores(a ver si comienzan a dejar saluditos asi los voy conociendo eh? )

Luciano Laporta Podazza.

:crackers, curiosidades, cyber crimen, defacing, Forensics, Hack-IT, lamers, Seguridad, vulnerabilidades, wordpress

6 Comments for this entry

pablo
November 3rd, 2009 on 6:48
Muy interesante….pero tiene un final triste, cuando lei que dejaron todas sus contraseñas pense que ivas a devolver los ataques
Luciano Laporta Podazza
November 3rd, 2009 on 16:19
Jajaja, no, a lo sumo hubiese sido divertido adueñarme de la red de bots , pero no vale la pena sinceramente, por lo general los dueños del hosting que es atacado no le dan bola a este tipo de ataques, por que les vive pasando por descuidos de sus usuarios, pero hay casos (mira este link) donde los admins se tomaron las cosas enserio y al poco tiempo se les acabo el jueguito de lamers a estos pendex que estan tan al pedo y no tienen mejores cosas que hacer que andar molestando.

Un abrazo!
Santiago Frías
November 3rd, 2009 on 20:39
Ahora sí Luciano, parece que era un bug del navegador de la oficina (Explorer de win$).
Con respecto a tu post la verdad es para sentirse orgulloso por dos motivos.
1- Por elegirte para el ataque.
2- Comprobar que tu seguridad anda bien.
Nuevamente te felicito y adelante.
syntex
November 4th, 2009 on 11:15
Antes que nada mis felicitaciones por tu web, tiene una buena información y por lo boletines que me llega Gracias.
Bueno regresando al tema:

(1)
——————————————————
Por Luciano Laporta Podazza:

….de algún que otro mail del “super hacker”(con cuentas en hotmail, claro, son re “hackers”)….

RTSA:
Bueno solo una cosa,que tenga alguien ejemplo ” juacking@superexpert.gov” eso no quiere decir que es un súper Juacker,

(2)
——————————————————
Por Luciano Laporta Podazza:

…pero una vez más, como era de esperarse, contestaron con la soberbia y arrogancia de un lamer…

RSTA:
Jaja, Bueno claro era la única de las respuestas que era de esperar(con eso no habla de todos los defacers,porque algunos son respetables) ya que los defacers principiantes lo único que hacen y su misión es romper el “index” y meter su mierda de firma para así hacerse llamar “súper juanckers”. a diferencia de que otros, claro y muy respetados por la mayoría, que se dedican a vulnerar webs y reportarlo al administrador.

Bueno dejándome de chorradas…

mis felicitaciones por su webs mi querido amigo Luciano Laporta Podazza , y gracias por sus boletines xd !.

salud0′s
Luciano Laporta Podazza
November 4th, 2009 on 15:26
Muchas gracias por tus palabras querido amigo ! me levantan el ánimo porque justo estoy pasando por una situación difícil en lo personal… gracias
Luciano Laporta Podazza
November 4th, 2009 on 16:09
Hola syntex!, con respecto a tus observaciones:
1.- En realidad a lo que apuntaba era a que no muestran un mail de sus propios servidores, por que si son “tan hackers” deberían estar confiados de mostrar sus mails verdaderos y que no les puedan dar vuelta sus servers, pero es obvio que no pueden, por que es más fácil destruir que construir(y securizar!), ergo usan mails de hotmail que son anónimos como cualquier otro servicio.

2.- En mi opinión, hay un pequeño error con respecto a ese argumento:
2.a- En primer lugar defacear una web es ilegal y está penado, bajo ningún punto de vista esta bien(aunque personalmente a veces estoy a favor cuando se lo hacen a quien se lo merece).

2.b- No hace falta violar un sistema ajeno para reportar la vulnerabilidad y hacerse famoso y conseguir un trabajo por “el mérito”(ese es el modelo de toda la vida).
En realidad uno puede probar con sus propios sistemas las vulnerabilidades y reportarlas de otra manera mucho mejor(y hasta ganar un buen dinero y reputación). Defacear por X motivo, no es más que una excusa para decir: “Miren que groso que soy, penetre la web del gobierno, su seguridad es una mierda y yo soy Dios!”…. y es lo único que saben hacer, no hacen nada más que destuir… lo dificil es construir (siempre hago incapié en eso) la seguridad es una utopía, podemos lograr niveles de seguridad aceptables pero nunca un sistema 100% seguro.

Es mi humilde opinión, puedo estar equivocado, muchas gracias por tus comentarios Syntex!!! un abrazo y espero que sigas visitandonos!!

3 Trackbacks / Pingbacks for this entry

Luciano Laporta Podazza | Hack-IT Community (hackitblog) 's status on Tuesday, 03-Nov-09 05:47:59 UTC - Identi.ca
November 3rd, 2009 on 2:48
[...] http://www.hack-it.com.ar/blog/2009/11/cronicas-de-mi-primer-ataque/ [...]
Luciano Laporta Podazza | Hack-IT Community (hackitblog) 's status on Tuesday, 03-Nov-09 05:50:04 UTC - Identi.ca
November 3rd, 2009 on 2:50
[...] "Crónicas de mi primer ataque", todo lo que sucedió hace unos meses: http://www.hack-it.com.ar/blog/2009/11/cronicas-de-mi-primer-ataque/ [...]
Tweets that mention Crónicas de mi primer ataque. | Hack-IT Community -- Topsy.com
November 4th, 2009 on 10:21
[...] This post was mentioned on Twitter by hack-it, hack-it. hack-it said: http://www.hack-it.com.ar/blog/2009/11/cronicas-de-mi-primer-ataque/ [...]

RSS feed for this post (comments)

Bienvenidos al Blog de Hack-IT!
Aquí podrán encontrar todo lo relevante sobre seguridad informática, artículos, noticias, tutoriales, etc. Espero les sea de su agrado y comenten en los posts!.
Cualquier inquietud que tengan pueden enviarnos un mensaje a los mails en el enlace de Contacto en el menu de arriba. Saludos!!!

Podes suscribirte a las noticias también por mail:
Lista de correo de Hack-IT

Registrate y comenza a formar parte de una comunidad de hackers que desean compartir conocimiento, ideas, hacer reuniones y pasar un buen rato haciendo amigos, hacklabs y mucho más!!!.

Suscribirte a Hack-IT

Correo electrónico:

Consultar este grupo
Seguinos en Twitter e Identi.ca
Feeds
Artículos más populares
Espiando fotos de extraños en Facebook: “FQL” (31)
Richard Stallman en FLISOL 2009 (18)
Tips para proteger tu Blog (WordPress y otros CMS) (9)
Crónicas de mi primer ataque. (9)
Hack-IT busca colaboradores (7)

Richard Stallman en FLISOL 2009

Video de Richard Stallman para el FLISOL 2009
Luciano Laporta Podazza