Todos os posts tagados deface

Plataforma da Direcção Geral do Ensino Superior comprometida

cet_dges_mctes

O defacer indonésio d3b~X –  – continua a fazer das suas em Portugal. Desta vez comprometeu a Plataforma do DGES [Direção Geral do Ensino Superior] – http://www.cet.dges.mctes.pt
Tal como em casos anteriores, o defacer colocou uma imagem gif na raiz do domínio.

http://www.cet.dges.mctes.pt/nyet.gif [Ainda online na altura da publicação deste artigo]

O mirror deste ataque informático já foi indexado pelo Zone-H .

De referir que este site está alojado na FCCN e segundo os dados do site Netcraft, corre o servidor web da Microsoft IIS 6.0.
Apenas verificando o código fonte é também possível verificar que o site foi implementado com o Microsoft Visual Studio .NET.

Sendo uma plataforma privada, apenas acedida via password, fica por saber se o defacer obteve informação confidencial.

Investiguei um pouco mais, baseando-me em alguns registos de sites comprometidos, e reparei que o d3b~X tem um modus operandis muito habitual. Pesquisa por servidores mal configurados que aceitam o método PUT sem qualquer tipo de proteção. Ou seja, a ferramenta deste defacer pesquisa por servidores vulneráveis e faz o seguinte pedido:

PUT /nyet.gif HTTP/1.1″ 200 473 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”

Se retornar o código HTTP 200, ele faz um novo pedido, mas neste caso GET que é para validar se conseguiu ou não enviar a imagem GIF. Em caso de sucesso, envia provavelmente automaticamente o deface para o Zone-H.

GET /nyet.gif HTTP/1.1″ 200 2357 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Caso o pedido PUT dê erro HTTP 404, um scan automático é utilizado para procurar outras vulnerabilidades, na maior parte, plugins vulneráveis do CMS Joomla!.

Atualização:
No mês de janeiro, ainda não terminado, o PUT /nyet.gif apareceu nos logs de um site Joomla! de um cliente cerca de 41 vezes com 38 endereços de IP diferentes [máquinas comprometidas ou proxies].
A última entrada, dia 29 de janeiro, é possível verificar que a ferramenta automática tenta encontrar vulnerabilidades conhecidas no Joomla! [exemplo: com_jce] e só depois é que tenta verificar se é possível usar o método PUT.

87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
&action=upload HTTP/1.1” 200 22 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext&
asset=com_content&author= HTTP/1.1” 404 – “-” “curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /images/jdownloads/screenshots/nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /oipm//index.php HTTP/1.1” 404 1437 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:25 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Um ponto curioso, é que posteriormente a estes varrimentos nos sites, muitos outros utilizadores maliciosos poderão utilizar a mesma falha para proveito próprio e ter acesso a informação confidencial. É bastante comum haver este tipo de atividade.

Desconheço se foi este o método utilizado para atacar este site governamental mas quem sabe…

Site da União Geral de Trabalhadores comprometido

hacked cover

Como já havia sido publicado no blogue, alguns sites portugueses são alvos de ataques informáticos por parte de um pirata, desta vez foi o site da União Geral de Trabalhadores (http://www.ugt.pt) que sofreu não um deface na pagina inicial mas uma assinatura na forma de imagem pelo hacker d3b~X.
Pode ser visto no mirror do zone-h (http://zone-h.org/mirror/id/23551669)

A imagem e a respectiva mensagem:

d3bx logo

Até a data deste artigo a imagem ainda permanece alojada no site, ainda não houve qualquer informação do sucedido nem a forma de como foi possível o upload por parte da gestão do site.

Relembro mais uma vez a importância de investir na segurança informática, de forma a preservar a integridade dos sistemas e dos dados que neles estão alojados.

Ars Technica comprometida

arstechnica

Quem é subscritor deste portal noticioso – Ars Technica – deverá mudar a sua password assim que possível.

Aparentemente um intruso conseguiu aceder a um dos servidores web da Ars e durante uma hora tentou aceder a outras máquinas. Segundo nota oficial, o intruso conseguiu acesso à informação confidencial graças a um ficheiro backup disponível num dos servidores. No dia seguinte, o utilizador malicioso fez o deface da página da Ars Technica.

Durou apenas 15 minutos até a equipa técnica da Ars conseguir tomar as medidas necessárias para prevenir que tal situação ocorra novamente. Mudaram passwords internas, certificados e melhoraram o infra-estrutura de segurança.

Os registos de acesso mostram que o intruso poderá ter copiado a base de dados dos utilizadores. Essa base de dados contêm emails e passwords. Não contém qualquer informação de pagamentos. Convém referir também que essas passwords estão cifradas. No entanto, é sempre recomendado a mudança dos dados de autenticação.

Site da Universidade de Lisboa foi comprometido

ulisboa

O site da Universidade de Lisboa foi comprometido por um grupo de defacers intitulados de Index Php. Este grupo é responsável por mais de 80.000 sites desfigurados no arquivo Zone-H.
O ataque foi registado no Zone-H no dia 6 deste mês, pelas 11:20 mas passado algumas horas a página criada pelos utilizadores maliciosos já tinha sido removida.

Existem alguns registos pela web divulgando a origem dos Index Php como sendo um grupo Indonésio que efetua ataques informáticos por diversos motivos, entre os quais políticos.
Alegadamente, os Index Php criaram a página r00t.htmhttps://www.ulisboa.pt/r00t.htm – com o nome dos membros do grupo. Sem qualquer comunicado por parte da Universidade, é impossível verificar se alguma informação sensível foi comprometida.

Associação na Hora comprometida (outra vez)

Associação na Hora comprometida

Já em maio deste ano tinha publicado aqui no blogue que o site oficial da Associação na Hora (http://www.associacaonahora.mj.pt) tinha sido comprometido. O que surpreende é que foi novamente atacado (http://zone-h.org/mirror/id/22980043) pelo mesmo utilizador malicioso.

A imagem e a respetiva mensagem do deface foi a mesma:

Hacked by d3b~X

Entretanto essa imagem já foi eliminada.

O que convém destacar é que na altura tinha mencionado que este defacer, segundo menções da sua conta no Twitter, tinha por hábito colocar backdoors nos seus ataques. Ora, posso presumir que, ou não corrigiram a falha ou alguma porta foi aberta para futuras intrusões. Isto é algo que apenas posso especular…

No entanto, espero que as entidades responsáveis tomem medidas mais corretas e averiguem a intrusão para prevenir que tal ataque aconteça novamente.

Ainda no decorrer da escrita deste artigo, mais um site governamental foi comprometido, desta vez o escolas.edu.azores.gov.pt

Hacked By ./Mr Error 404

Nunca é demais salientar que é importante investir na segurança informática em Portugal.
A confidencialidade e a integridade da informação deve ser preservada e cabe aos responsáveis pelos websites assegurar a mesma.