Todos os posts tagados backdoor

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Muitos responsáveis por sites portugueses e brasileiros ignoram alertas que o site está desfigurado (defaced) ou a propagar malware. Isto é uma situação que tenho reparado nestes últimos anos.
Por vezes simplesmente repõem ou colocam novamente a página original e esquecem-se de analisar e corrigir a vulnerabilidade que originou o deface. Alguns por pouco conhecimento técnico, outros por puro comodismo.
De fato, maioria dos defacers apenas querem aumentar o seu rank em tabelas ou propagar mensagens políticas.
Mas esta situação está a mudar… para pior.

Alguns defacers de topo (presentes no TOP 20 do ranking do Zone-H.org), estão a começar a colocar backdoors no site. Adicionam exploit kits para infetar utilizadores e roubar informação confidencial.
Após monitorizar algumas contas Twitter e canais de conversação no IRC destes defacers foi possível concluir que, estes grupos trocam acessos de servidores e, dependendo da vítima, vendem informação.

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Defaces podem causar danos maiores

Entre os alvos favoritos, encontram-se diversos sites governamentais e outros de grande tráfego.

Outros grupos de utilizadores maliciosos preferem seguir listas de mirroring de defaces, não para re-deface mas sim para colocar malware. Escolhem principalmente sites Joomla 1.5 vulneráveis e fazem o upload de shells. Alguns ainda tentam correr exploits locais para conseguir obter o acesso root ou admin dos servidores.

Um dos utilizadores do WebSegura.net teve recentemente o seu site comprometido e requisitou a minha colaboração para averiguar qual foi a falha que permitiu a entrada dos defacers. No public_html foi possível encontrar diversos ficheiros index com defaces de grupos diferentes. Ou seja, foi alvo de deface por diversas vezes.
Numa breve análise nos logs, e após verificação de um scan automático a componentes vulneráveis do Joomla, foi possível verificar que a vulnerabilidade estava presente num componente nativo do Joomla 1.5! que permitia o upload de ficheiros remotamente. Trata-se de uma falha pública e com exploit disponível para o público em geral.
Este ataque permite aos utilizadores maliciosos fazer o upload de um PHP shell e explorar a conta local no servidor alheio.

O backdoor é colocado em diversos locais. No COPYRIGHT.PHP (porque é um ficheiro que pode passar por despercebido porque faz parte dos Joomla) e nos ficheiros index.php|html.
Alguns dos backdoors encontrados foram:

  • Web Shell By Black-ID ,based On Php,Ajax Posts,Css3 (que após descodificação fica assim)
  • WeBaCoo (um backdoor que tem uma baixa taxa de detecção por parte dos antivirus, NIDS, IDS, WAF, etc.)

Em algumas referências nas redes sociais é possível também concluir que muitos defacers apoiam causas como os Anonymous e Wikileaks, e fornecem alguma informação comprometida para essas entidades. Como referi acima, a criação de botnets também permite disponibilizar armas para lançar ataques DDoS – um dos ataques típicos dos Anonymous.

O que de fato parece ser um inofensivo deface, pode ser o inicio de um grande ataque que pode infectar milhões de utilizadores.

É uma prioridade, em caso de deface de site ou site comprometido, analisar exaustivamente a segurança do mesmo. Imaginem a informação confidencial em mãos erradas…

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

O site governamental da Secretaria-Geral da Presidência do Conselho de Ministros – www.sg.pcm.gov.pt – foi comprometido pelo grupo QLQ TABUK HacKeR.

O ataque não aparenta ser directo ao governo português porque o grupo modificou a página inicial colocando conteúdos pró-islâmicos.
Se formos investigar os últimos defaces deste grupo podemos concluir que a mensagem é quase sempre a mesma.
Claro que isto não implica que os QLQ TABUK HacKeR não coloquem alguma backdoor no sistema para posterior utilização em futuros ataques.

O site, alojado pela NOVIS Telecom, corre Joomla! e esta pode ter sido uma das possíveis origens do ataque (algo muito comum quando não são feitas as devidas actualizações do core e das extensões utilizadas).

Entretanto a situação já foi restabelecida. Só espero que o departamento técnico tenha efectuado as devidas investigações e análises de segurança para prevenir novos ataques.

Fica por saber se alguma informação confidencial possa ter ido parar as mãos erradas.

Site do WHMCS comprometido

Site do WHMCS comprometido

Um dos maiores WebHosts Managers da actualidade – WHMCS – teve o seu site comprometido e alguma informação confidencial foi publicada por utilizadores maliciosos.
Isto significa que, quem adquiriu produtos à WHMCS, deverá mudar assim que possível os seus dados de acesso e ter, por enquando, algum cuidado nas actualizações dos produtos pois estes poderão estar infectados com algum backdoor.

Segundo o blogue oficial da empresa, a seguinte informação poderá estar em risco:

  • A base de dados do site
  • Dados de acesso dos clientes (embora encriptadas por default)
  • Informação dos cartões de crédito dos clientes (encriptados)
  • Dados do sistema de tickets (podem incluir dados de acesso aos servidores dos clientes)

Até à data deste artigo, o site continua a sofrer constatemente ataques DDoS.
Podem acompanhar esta situação no blogue oficial do WHMCS.

Tsunami, um novo backdoor para Mac OS X

Segundo o blogue da ESET, programadores de malware alteraram um  código antigo de um backdoor , desenvolvido para Linux, e modificaram-no para funcionar e infectar utilizadores do Mac OS X.

O Tsunami é controlado via IRC e contem uma lista de servidores e canais de IRC onde a vítima se vai conectar automaticamente.

 

WordPress alerta para alguns plugins com ‘backdoor’

No site oficial do WordPress, li que alguns backdoors foram encontrados em plugins bastante utilizados, entre eles:

  • AddThis
  • WPtouch
  • W3 Total Cache

É aconselhável verificar os plugins e verificar se está tudo correcto.