Todos os posts tagados deface

Google na Indonésia comprometido

por David Sopas em 7 de Outubro de 2014 em Artigos com 0 comentários Tweet

Ontem, o grupo paquistanês MaDLeeTs comprometeu diversos sites do Google na Indonésia. O ataque foi divulgado no site Zone-H e está a ter bastante impacto devido ao cariz do ataque ter sido motivado por questões político-sociais.

Nos sites afetados é possível ver:

google.co.id
map.google.co.id
local.google.co.id
groups.google.co.id
accounts.google.co.id
directory.google.co.id
image.google.co.id
print.google.co.id
mobile.google.co.id
sms.google.co.id

O ataque já foi confirmado pelos autores, na página oficial do grupo no Facebook, como sendo do tipo DNS poisoning. Foi referido que obtiveram ao acesso ao Domain Register of Indonesia - pandi.or.id e atualizaram os servidores DNS do google.co.id.
O grupo MaDLeeTs trocou os IP dos DNS e redireccionou o tráfego para uma página desfigurada - 167.114.12.10.

Nos media ainda surgiram algumas notas que o ataque poderia ter sido originado pela popular falha no bash mas rapidamente foi desmentido pelo Google e pelo grupo MaDLeeTs.

A situação foi prontamente resolvida em algumas horas.

Mais 2 sites governamentais hackados

por David Sopas em 11 de Maio de 2014 em Artigos com 0 comentários Tweet

O site do GID - Gestão Integrada da Saúde - gid.min-saude.pt e o site da Associação na Hora - associacaonahora.mj.pt foram comprometidos por um defacer indonésio intitulado de d3b~X.

O deface (desfiguração) ainda está online e pode ser visto nas seguintes páginas:

http://gid.min-saude.pt/nyet.gif
http://www.associacaonahora.mj.pt/nyet.gif

Ambos os sites já estão indexados no Zone-H como deface em http://zone-h.org/mirror/id/22340152 e http://zone-h.org/mirror/id/22340076.

O defacer obteve permissão para fazer o upload de imagens e enviou a seguinte mensagem:

Hacked by d3b~X

Este utilizador malicioso é conhecido, tal como podemos confirmar na conta Twitter do mesmo, por fazer upload de sistemas de backdoor. Esta operação permite que fique uma “porta aberta” para futuras intrusões.

Informação confidencial pode ter sido comprometida e só após verificações de segurança é que se pode chegar a uma conclusão dos danos deste ataque a estes sites governamentais.

Convém referir que, até à data deste artigo, na página principal não foi encontrado malware.

Depois dos ataques lançados pelos Anonymous Portugal, penso que é mais um aviso para os responsáveis de sites críticos para investirem em segurança e desta forma salvaguardar a informação que poderá afectar todos os portugueses.

Taguspark com Joomla comprometido

por David Sopas em 24 de Janeiro de 2014 em Artigos com 0 comentários Tweet

Taguspark, Parque de Ciência e Tecnologia, foi comprometido pelo defacer Hmei7.
Até à data deste artigo, a página ainda está presente na pasta de /images. O HTML apenas apresenta o seguinte texto:

hacked by Hmei7

Mirror no Zone-H - http://zone-h.org/mirror/id/21633726
De referir que o site taguspark.pt corre o Joomla!.

Além do deface, o site da Taguspark está com Spamdexing presente no no código fonte.

Spamdexing serve para manipular e indexar certas palavras chave nos motores de busca usando como plataforma websites com maior visibilidade. Na maioria dos casos, este código HTML é apenas visível no código fonte devido há implementação de propriedades CSS, como por exemplo, display:none ou visibility:hidden para ocultar o texto da página web.
Geralmente é resultado de um ataque, bem sucedido, a um servidor ou a uma aplicação web vulnerável, de referir novamente que o taguspark.pt corre Joomla!. Este CMS requer uma actualização constante devido aos diversos alertas de segurança que ocorrem regularmente.

Enviei uma notificação com esta informação aos responsáveis e aguardo feedback.

Site Direcção-Geral da Administração e do Emprego Público foi atacado

por David Sopas em 28 de Dezembro de 2013 em Artigos com 1 Comentário Tweet

O site da DGAEP - Direcção-Geral da Administração e do Emprego Público foi atacado e ainda apresenta a página do deface do grupo Cyber Hats.

O modus operandi deste ataque ao DGAEP poderá estar relacionado com uma falha no ColdFusion publicada em Maio deste ano, que explorada com sucesso permite obter dados confidenciais e comprometer o servidor web utilizado. Basicamente fundamento esta possibilidade dado à linguagem de programação utilizada no site www.dgaep.gov.pt e o directório comprometido CFIDE.

Os Cyber Hats são um grupo de origem brasileira e que começaram a publicar os seus defaces recentemente (meio de Dezembro deste ano), teve a sua página de Facebook bloqueada devido a conteúdos ilegais e contra os termos legais da rede social do Mark Zuckerberg.

Na conta Twitter dos Cyber Hats, é possível verificar que muita informação confidencial, encontrada nos websites comprometidos, são colocados no Pastebin. Resta saber se alguma informação confidencial do DGAEP foi adquirida.

A página afectada com o deface é http://www.dgaep.gov.pt/CFIDE/ (não contém conteúdo malicioso até à data deste artigo).
O mirror da mesma já está indexado pelo site Zone-H em http://zone-h.org/mirror/id/21395036.

De referir que o deface ocorreu em 21 de Dezembro e mantém-se a página modificada ainda hoje dia 27.

Enviei um contacto com esta informação via formulário do site e até à data não recebi qualquer resposta.

Cerca de 60 sites do PCP comprometidos

por David Sopas em 11 de Setembro de 2013 em Artigos com 2 Comentários Tweet

O grupo brasileiro HighTech comprometeu cerca de 60 sites do Partido Comunista Português. Algo que já tinha ocorrido em Agosto de 2012.

Tudo aponta que uma falha no servidor ou numa conta de alojamento que terá sido explorada para ganhar acesso root. Digo isto, porque essa informação foi divulgada nos sites desfigurados:

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10
Linux pcp03.xxxxxxxxx.com 2.6.18-xxx.x.x.el5 #1 SMP Tue Jul 14 06:36:37 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

Entre os sites comprometidos estão:

jcp-pt.org
editorial-avante.pcp.pt
braga.pcp.pt
evora.pcp.pt
ovar.pcp.pt
www.aljustrel.pcp.pt
www.alcacerdosal.pcp.pt
santamariadafeira.pcp.pt
aveiro.pcp.pt
cdumadeira.org
emigracao.pcp.pt
leiria.pcp.pt
paredes.pcp.pt
vianadocastelo.pcp.pt
www.algarve.pcp.pt
www.castelo-branco.pcp.pt
www.cduacores.net
www.cidadedoporto.pcp.pt
www.coimbra.pcp.pt
www.drupal2.pcp.pt
www.ges.pcp.pt
www.guarda.pcp.pt
www.marco.pcp.pt
www.setubal.pcp.pt
www.sjm.pcp.pt
www.ofaisca.pcp.pt
www.quiosque.pcp.pt
www.marinhagrande.pcp.pt
www.portalegre.pcp.pt
www.santarem.pcp.pt
www.porto.cdu.pt
www.viseu.pcp.pt
jcp.pcp.pt
m.pcp.pt
www.baga.pcp.pt
www.braag.pcp.pt
www.bragaa.pcp.pt
www.bragga.pcp.pt
www.brga.pcp.pt
www.festadovante.pcp.pt
www.litalentejano.pcp.pt
www.madeira.pcp.pt
www.militante.pcp.pt
www.moura.pcp.pt
www.poito.pcp.pt
www.raga.pcp.pt
www.serpa.pcp.pt
www.xn--santarm-gya.pcp.pt
mertola.pcp.pt
forum.pcp.pt
www.ggeral.pcp.pt
gondomar.pcp.pt
litoralalentejano.pcp.pt
castelobranco.pcp.pt
coimbra.cdu.pt
acores.pcp.pt
beja.pcp.pt
concelhopalmela.pcp.pt
cuba.pcp.pt

Desconhecendo as definições atuais do servidor de alojamento, pela informação divulgada pelo grupo no site desfigurado, a versão do kernel utilizada é vulnerável a uma falha local que permite obter acesso root utilizando o sock_sendpage. Um acesso a uma conta neste alojamento e posteriormente o upload do exploit local poderá ter levado ao mass-deface.
Muitos defacers, posteriormente, vendem e trocam informação comprometida.
Um grupo brasileiro vendeu recentemente, no IRC, um alojamento português com acesso root por $20. Esses servidores comprometidos têm como finalidade diversas atividades ilícitas, tais como: