Todos os posts tagados hightech

Cerca de 60 sites do PCP comprometidos

Cerca de 60 sites do PCP comprometidos

O grupo brasileiro HighTech comprometeu cerca de 60 sites do Partido Comunista Português. Algo que já tinha ocorrido em Agosto de 2012.

Tudo aponta que uma falha no servidor ou numa conta de alojamento que terá sido explorada para ganhar acesso root. Digo isto, porque essa informação foi divulgada nos sites desfigurados:

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10
Linux pcp03.xxxxxxxxx.com 2.6.18-xxx.x.x.el5 #1 SMP Tue Jul 14 06:36:37 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Entre os sites comprometidos estão:

  • jcp-pt.org
  • editorial-avante.pcp.pt
  • braga.pcp.pt
  • evora.pcp.pt
  • ovar.pcp.pt
  • www.aljustrel.pcp.pt
  • www.alcacerdosal.pcp.pt
  • santamariadafeira.pcp.pt
  • aveiro.pcp.pt
  • cdumadeira.org
  • emigracao.pcp.pt
  • leiria.pcp.pt
  • paredes.pcp.pt
  • vianadocastelo.pcp.pt
  • www.algarve.pcp.pt
  • www.castelo-branco.pcp.pt
  • www.cduacores.net
  • www.cidadedoporto.pcp.pt
  • www.coimbra.pcp.pt
  • www.drupal2.pcp.pt
  • www.ges.pcp.pt
  • www.guarda.pcp.pt
  • www.marco.pcp.pt
  • www.setubal.pcp.pt
  • www.sjm.pcp.pt
  • www.ofaisca.pcp.pt
  • www.quiosque.pcp.pt
  • www.marinhagrande.pcp.pt
  • www.portalegre.pcp.pt
  • www.santarem.pcp.pt
  • www.porto.cdu.pt
  • www.viseu.pcp.pt
  • jcp.pcp.pt
  • m.pcp.pt
  • www.baga.pcp.pt
  • www.braag.pcp.pt
  • www.bragaa.pcp.pt
  • www.bragga.pcp.pt
  • www.brga.pcp.pt
  • www.festadovante.pcp.pt
  • www.litalentejano.pcp.pt
  • www.madeira.pcp.pt
  • www.militante.pcp.pt
  • www.moura.pcp.pt
  • www.poito.pcp.pt
  • www.raga.pcp.pt
  • www.serpa.pcp.pt
  • www.xn--santarm-gya.pcp.pt
  • mertola.pcp.pt
  • forum.pcp.pt
  • www.ggeral.pcp.pt
  • gondomar.pcp.pt
  • litoralalentejano.pcp.pt
  • castelobranco.pcp.pt
  • coimbra.cdu.pt
  • acores.pcp.pt
  • beja.pcp.pt
  • concelhopalmela.pcp.pt
  • cuba.pcp.pt

Desconhecendo as definições atuais do servidor de alojamento, pela informação divulgada pelo grupo no site desfigurado, a versão do kernel utilizada é vulnerável a uma falha local que permite obter acesso root utilizando o sock_sendpage. Um acesso a uma conta neste alojamento e posteriormente o upload do exploit local poderá ter levado ao mass-deface.
Muitos defacers, posteriormente, vendem e trocam informação comprometida.
Um grupo brasileiro vendeu recentemente, no IRC, um alojamento português com acesso root por $20. Esses servidores comprometidos têm como finalidade diversas atividades ilícitas, tais como:

Espero que a situação já tenha sido resolvida pelos responsáveis.

Dezenas de sites do CDU e do PCP comprometidos

Dezenas de sites do CDU e do PCP comprometidos

Dezenas de sites pertencentes ao CDU e ao PCP foram comprometidos, segundo o Zone-H no dia 31.
Ainda é possível ver praticamente online todos os sites comprometidos.

O grupo que modificou a página de abertura é intitulado de HighTech e são oriundos do Brasil. No próprio deface é possível ler o objectivo do grupo:

Em apoio ao ativismo português

Na lista de sites comprometidos estão presentes os seguintes:

www.vfx.pcp.pt
www.concelhosetubal.pcp.pt
www.montijo.pcp.pt
www.evora.cdu.pt
www.porto.cdu.pt
www.beja.cdu.pt
www.coimbra.cdu.pt
www.ovar.pcp.pt
www.dorl.pcp.pt
www.quiosque.pcp.pt
www.portalegre.pcp.pt
www.litoralalentejano.pcp.pt
www.leiria.pcp.pt
www.emigracao.pcp.pt
www.editorial-avante.pcp.pt
www.coimbra.pcp.pt
www.beja.pcp.pt
www.santamariadafeira.pcp.pt www.algarve.pcp.pt
www.braga.pcp.pt
www.castelo-branco.pcp.pt
www.cidadedoporto.pcp.pt
www.evora.pcp.pt
www.guarda.pcp.pt
www.ofaisca.pcp.pt
www.sjm.pcp.pt
www.vianadocastelo.pcp.pt
www.aveiro.pcp.pt
www.aljustrel.pcp.pt

A página modificada (espelho da página) é sempre a mesma e contém imagens do grupo, membros do grupo, vídeo do Youtube e a frase referido em cima.
Até à data deste artigo as páginas ainda estão modificadas e não contém qualquer vestigio de malware.

Enviei email aos responsáveis alertar do problema mas ainda aguardo feedback.