Cerca de 60 sites do PCP comprometidos

Cerca de 60 sites do PCP comprometidos

O grupo brasileiro HighTech comprometeu cerca de 60 sites do Partido Comunista Português. Algo que já tinha ocorrido em Agosto de 2012.

Tudo aponta que uma falha no servidor ou numa conta de alojamento que terá sido explorada para ganhar acesso root. Digo isto, porque essa informação foi divulgada nos sites desfigurados:

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10
Linux pcp03.xxxxxxxxx.com 2.6.18-xxx.x.x.el5 #1 SMP Tue Jul 14 06:36:37 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Entre os sites comprometidos estão:

  • jcp-pt.org
  • editorial-avante.pcp.pt
  • braga.pcp.pt
  • evora.pcp.pt
  • ovar.pcp.pt
  • www.aljustrel.pcp.pt
  • www.alcacerdosal.pcp.pt
  • santamariadafeira.pcp.pt
  • aveiro.pcp.pt
  • cdumadeira.org
  • emigracao.pcp.pt
  • leiria.pcp.pt
  • paredes.pcp.pt
  • vianadocastelo.pcp.pt
  • www.algarve.pcp.pt
  • www.castelo-branco.pcp.pt
  • www.cduacores.net
  • www.cidadedoporto.pcp.pt
  • www.coimbra.pcp.pt
  • www.drupal2.pcp.pt
  • www.ges.pcp.pt
  • www.guarda.pcp.pt
  • www.marco.pcp.pt
  • www.setubal.pcp.pt
  • www.sjm.pcp.pt
  • www.ofaisca.pcp.pt
  • www.quiosque.pcp.pt
  • www.marinhagrande.pcp.pt
  • www.portalegre.pcp.pt
  • www.santarem.pcp.pt
  • www.porto.cdu.pt
  • www.viseu.pcp.pt
  • jcp.pcp.pt
  • m.pcp.pt
  • www.baga.pcp.pt
  • www.braag.pcp.pt
  • www.bragaa.pcp.pt
  • www.bragga.pcp.pt
  • www.brga.pcp.pt
  • www.festadovante.pcp.pt
  • www.litalentejano.pcp.pt
  • www.madeira.pcp.pt
  • www.militante.pcp.pt
  • www.moura.pcp.pt
  • www.poito.pcp.pt
  • www.raga.pcp.pt
  • www.serpa.pcp.pt
  • www.xn--santarm-gya.pcp.pt
  • mertola.pcp.pt
  • forum.pcp.pt
  • www.ggeral.pcp.pt
  • gondomar.pcp.pt
  • litoralalentejano.pcp.pt
  • castelobranco.pcp.pt
  • coimbra.cdu.pt
  • acores.pcp.pt
  • beja.pcp.pt
  • concelhopalmela.pcp.pt
  • cuba.pcp.pt

Desconhecendo as definições atuais do servidor de alojamento, pela informação divulgada pelo grupo no site desfigurado, a versão do kernel utilizada é vulnerável a uma falha local que permite obter acesso root utilizando o sock_sendpage. Um acesso a uma conta neste alojamento e posteriormente o upload do exploit local poderá ter levado ao mass-deface.
Muitos defacers, posteriormente, vendem e trocam informação comprometida.
Um grupo brasileiro vendeu recentemente, no IRC, um alojamento português com acesso root por $20. Esses servidores comprometidos têm como finalidade diversas atividades ilícitas, tais como:

Espero que a situação já tenha sido resolvida pelos responsáveis.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    2 Comentários em "Cerca de 60 sites do PCP comprometidos"

    1. Pedro diz:

      De facto o problema foi a utilização de sistema operativo, kernel e software bastante antigos, já com diversas vulnerabilidades conhecidas. A empresa que fazia o serviço foi comprada à pouco tempo por um grupo maior..mas já a muito tempo que os serviços estavam ao “abandono”. :)

    2. nesse caso, foi por pura diversão
      comunismo de cu é rola!

      Grato
      SynchrONize
      Familia HighTech Brazil

    Que tal participar com o seu comentário?