Todos os posts tagados deface

Plataforma da Direcção Geral do Ensino Superior comprometida

por David Sopas em 28 de Janeiro de 2015 em Artigos com 3 Comentários Tweet

O defacer indonésio d3b~X - - continua a fazer das suas em Portugal. Desta vez comprometeu a Plataforma do DGES [Direção Geral do Ensino Superior] - http://www.cet.dges.mctes.pt
Tal como em casos anteriores, o defacer colocou uma imagem gif na raiz do domínio.

http://www.cet.dges.mctes.pt/nyet.gif [Ainda online na altura da publicação deste artigo]

O mirror deste ataque informático já foi indexado pelo Zone-H .

De referir que este site está alojado na FCCN e segundo os dados do site Netcraft, corre o servidor web da Microsoft IIS 6.0.
Apenas verificando o código fonte é também possível verificar que o site foi implementado com o Microsoft Visual Studio .NET.

Sendo uma plataforma privada, apenas acedida via password, fica por saber se o defacer obteve informação confidencial.

Investiguei um pouco mais, baseando-me em alguns registos de sites comprometidos, e reparei que o d3b~X tem um modus operandis muito habitual. Pesquisa por servidores mal configurados que aceitam o método PUT sem qualquer tipo de proteção. Ou seja, a ferramenta deste defacer pesquisa por servidores vulneráveis e faz o seguinte pedido:

PUT /nyet.gif HTTP/1.1″ 200 473 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”

Se retornar o código HTTP 200, ele faz um novo pedido, mas neste caso GET que é para validar se conseguiu ou não enviar a imagem GIF. Em caso de sucesso, envia provavelmente automaticamente o deface para o Zone-H.

GET /nyet.gif HTTP/1.1″ 200 2357 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Caso o pedido PUT dê erro HTTP 404, um scan automático é utilizado para procurar outras vulnerabilidades, na maior parte, plugins vulneráveis do CMS Joomla!.

Atualização:
No mês de janeiro, ainda não terminado, o PUT /nyet.gif apareceu nos logs de um site Joomla! de um cliente cerca de 41 vezes com 38 endereços de IP diferentes [máquinas comprometidas ou proxies].
A última entrada, dia 29 de janeiro, é possível verificar que a ferramenta automática tenta encontrar vulnerabilidades conhecidas no Joomla! [exemplo: com_jce] e só depois é que tenta verificar se é possível usar o método PUT.

87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
&action=upload HTTP/1.1” 200 22 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext&
asset=com_content&author= HTTP/1.1” 404 - “-” “curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /images/jdownloads/screenshots/nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “PUT /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “GET /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “GET /oipm//index.php HTTP/1.1” 404 1437 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “PUT /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:25 +0000] “GET /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Um ponto curioso, é que posteriormente a estes varrimentos nos sites, muitos outros utilizadores maliciosos poderão utilizar a mesma falha para proveito próprio e ter acesso a informação confidencial. É bastante comum haver este tipo de atividade.

Desconheço se foi este o método utilizado para atacar este site governamental mas quem sabe…

Site da União Geral de Trabalhadores comprometido

por Gonçalo Pires em 20 de Janeiro de 2015 em Artigos com 0 comentários Tweet

Como já havia sido publicado no blogue, alguns sites portugueses são alvos de ataques informáticos por parte de um pirata, desta vez foi o site da União Geral de Trabalhadores (http://www.ugt.pt) que sofreu não um deface na pagina inicial mas uma assinatura na forma de imagem pelo hacker d3b~X.
Pode ser visto no mirror do zone-h (http://zone-h.org/mirror/id/23551669)

A imagem e a respectiva mensagem:

Até a data deste artigo a imagem ainda permanece alojada no site, ainda não houve qualquer informação do sucedido nem a forma de como foi possível o upload por parte da gestão do site.

Relembro mais uma vez a importância de investir na segurança informática, de forma a preservar a integridade dos sistemas e dos dados que neles estão alojados.

Ars Technica comprometida

por David Sopas em 18 de Dezembro de 2014 em Curtas com 0 comentários Tweet

Quem é subscritor deste portal noticioso - Ars Technica - deverá mudar a sua password assim que possível.

Aparentemente um intruso conseguiu aceder a um dos servidores web da Ars e durante uma hora tentou aceder a outras máquinas. Segundo nota oficial, o intruso conseguiu acesso à informação confidencial graças a um ficheiro backup disponível num dos servidores. No dia seguinte, o utilizador malicioso fez o deface da página da Ars Technica.

Durou apenas 15 minutos até a equipa técnica da Ars conseguir tomar as medidas necessárias para prevenir que tal situação ocorra novamente. Mudaram passwords internas, certificados e melhoraram o infra-estrutura de segurança.

Os registos de acesso mostram que o intruso poderá ter copiado a base de dados dos utilizadores. Essa base de dados contêm emails e passwords. Não contém qualquer informação de pagamentos. Convém referir também que essas passwords estão cifradas. No entanto, é sempre recomendado a mudança dos dados de autenticação.

Site da Universidade de Lisboa foi comprometido

por David Sopas em 9 de Dezembro de 2014 em Artigos com 0 comentários Tweet

O site da Universidade de Lisboa foi comprometido por um grupo de defacers intitulados de Index Php. Este grupo é responsável por mais de 80.000 sites desfigurados no arquivo Zone-H.
O ataque foi registado no Zone-H no dia 6 deste mês, pelas 11:20 mas passado algumas horas a página criada pelos utilizadores maliciosos já tinha sido removida.

Existem alguns registos pela web divulgando a origem dos Index Php como sendo um grupo Indonésio que efetua ataques informáticos por diversos motivos, entre os quais políticos.
Alegadamente, os Index Php criaram a página r00t.htm - https://www.ulisboa.pt/r00t.htm - com o nome dos membros do grupo. Sem qualquer comunicado por parte da Universidade, é impossível verificar se alguma informação sensível foi comprometida.

Associação na Hora comprometida (outra vez)

por David Sopas em 8 de Outubro de 2014 em Artigos com 3 Comentários Tweet

Já em maio deste ano tinha publicado aqui no blogue que o site oficial da Associação na Hora (http://www.associacaonahora.mj.pt) tinha sido comprometido. O que surpreende é que foi novamente atacado (http://zone-h.org/mirror/id/22980043) pelo mesmo utilizador malicioso.

A imagem e a respetiva mensagem do deface foi a mesma:

Hacked by d3b~X

Entretanto essa imagem já foi eliminada.

O que convém destacar é que na altura tinha mencionado que este defacer, segundo menções da sua conta no Twitter, tinha por hábito colocar backdoors nos seus ataques. Ora, posso presumir que, ou não corrigiram a falha ou alguma porta foi aberta para futuras intrusões. Isto é algo que apenas posso especular…

No entanto, espero que as entidades responsáveis tomem medidas mais corretas e averiguem a intrusão para prevenir que tal ataque aconteça novamente.

Ainda no decorrer da escrita deste artigo, mais um site governamental foi comprometido, desta vez o escolas.edu.azores.gov.pt

Hacked By ./Mr Error 404

Nunca é demais salientar que é importante investir na segurança informática em Portugal.
A confidencialidade e a integridade da informação deve ser preservada e cabe aos responsáveis pelos websites assegurar a mesma.