Todos os posts tagados sock_sendpage

Cerca de 60 sites do PCP comprometidos

Cerca de 60 sites do PCP comprometidos

O grupo brasileiro HighTech comprometeu cerca de 60 sites do Partido Comunista Português. Algo que já tinha ocorrido em Agosto de 2012.

Tudo aponta que uma falha no servidor ou numa conta de alojamento que terá sido explorada para ganhar acesso root. Digo isto, porque essa informação foi divulgada nos sites desfigurados:

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10
Linux pcp03.xxxxxxxxx.com 2.6.18-xxx.x.x.el5 #1 SMP Tue Jul 14 06:36:37 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Entre os sites comprometidos estão:

  • jcp-pt.org
  • editorial-avante.pcp.pt
  • braga.pcp.pt
  • evora.pcp.pt
  • ovar.pcp.pt
  • www.aljustrel.pcp.pt
  • www.alcacerdosal.pcp.pt
  • santamariadafeira.pcp.pt
  • aveiro.pcp.pt
  • cdumadeira.org
  • emigracao.pcp.pt
  • leiria.pcp.pt
  • paredes.pcp.pt
  • vianadocastelo.pcp.pt
  • www.algarve.pcp.pt
  • www.castelo-branco.pcp.pt
  • www.cduacores.net
  • www.cidadedoporto.pcp.pt
  • www.coimbra.pcp.pt
  • www.drupal2.pcp.pt
  • www.ges.pcp.pt
  • www.guarda.pcp.pt
  • www.marco.pcp.pt
  • www.setubal.pcp.pt
  • www.sjm.pcp.pt
  • www.ofaisca.pcp.pt
  • www.quiosque.pcp.pt
  • www.marinhagrande.pcp.pt
  • www.portalegre.pcp.pt
  • www.santarem.pcp.pt
  • www.porto.cdu.pt
  • www.viseu.pcp.pt
  • jcp.pcp.pt
  • m.pcp.pt
  • www.baga.pcp.pt
  • www.braag.pcp.pt
  • www.bragaa.pcp.pt
  • www.bragga.pcp.pt
  • www.brga.pcp.pt
  • www.festadovante.pcp.pt
  • www.litalentejano.pcp.pt
  • www.madeira.pcp.pt
  • www.militante.pcp.pt
  • www.moura.pcp.pt
  • www.poito.pcp.pt
  • www.raga.pcp.pt
  • www.serpa.pcp.pt
  • www.xn--santarm-gya.pcp.pt
  • mertola.pcp.pt
  • forum.pcp.pt
  • www.ggeral.pcp.pt
  • gondomar.pcp.pt
  • litoralalentejano.pcp.pt
  • castelobranco.pcp.pt
  • coimbra.cdu.pt
  • acores.pcp.pt
  • beja.pcp.pt
  • concelhopalmela.pcp.pt
  • cuba.pcp.pt

Desconhecendo as definições atuais do servidor de alojamento, pela informação divulgada pelo grupo no site desfigurado, a versão do kernel utilizada é vulnerável a uma falha local que permite obter acesso root utilizando o sock_sendpage. Um acesso a uma conta neste alojamento e posteriormente o upload do exploit local poderá ter levado ao mass-deface.
Muitos defacers, posteriormente, vendem e trocam informação comprometida.
Um grupo brasileiro vendeu recentemente, no IRC, um alojamento português com acesso root por $20. Esses servidores comprometidos têm como finalidade diversas atividades ilícitas, tais como:

Espero que a situação já tenha sido resolvida pelos responsáveis.