[Solar-general] Descubierto el primer Botnet de servidores web
Linux, botnet en base a web servers corriendo sobre Linux
José Ignacio Pedrini
duxjipd en gmail.com
Mie Sep 16 23:36:09 CEST 2009
>
> Botnet en base a web servers corriendo sobre LinuxPublicado hace 1 hora
> por * Franco Catrin <http://www.fayerwayer.com/author/Franco/>*
>
> (cc) Sophos D/A/CH Presseinfo
>
> Antes de que los fans anti-Linux se emocionen, lamento decirles que no se
> trata de un problema de seguridad atribuible al sistema operativo libre e
> involucra a sistemas Windows y servidores de DNS dinámicos.
>
> Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una
> cadena: Es tan fuerte como su eslabón más débil. Esto quiere decir que no
> importa qué tan fuerte sean todos los elementos de seguridad que usemos,
> basta un punto débil y ahí se producirán los problemas. Por ejemplo nada
> puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una
> password débil, cof cof…
>
> Con el uso de troyanos en Windows<http://vil.nai.com/vil/content/v_187912.htm>,
> se ha producido un robo masivo de cuentas FTP usadas para administrar el
> contenido de servidores web en Linux. Con este acceso FTP, los intrusos han
> modificado algunos sitios web para incluir un iframe hacia otro sitio web.
> Este iframe contiene una referencia a una URL que apunta a un nombre de host
> servido por un sistema de DNS dinámico y el servidor final causa que el
> usuario descargue una variante del troyano Bredolab.gen, con el que se puede
> repetir el proceso.
>
> Los nombres de hosts utilizados apuntan a un segundo servidor web instalado
> entre los mismos servidores afectados. Este servidor se instala con la
> misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en
> el servidor y con él descargar, compilar y ejecutar un segundo servidor.
> Según lo que se ha investigado, el servidor secundario utilizado es nginx y
> queda corriendo en el puerto 8080, un puerto que no requiere permisos de
> administrador para ser utilizado.
>
> El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada
> servidor involucrado se crea una gran red balanceada y dinámica, lo que
> dificulta su detección y bloqueo. Por ahora, los proveedores de DNS
> dinámico han bloqueado los dominios usados en esta botnet.
>
> El hecho de distribuir troyanos para Windows, que posteriormente se usan
> para controlar tales computadores, hace que el problema sea difícil de
> detener incluso teniendo el apoyo de los servicios de DNS dinámicos. Para
> empeorar la situación, estos mismos troyanos en Windows son usados para
> seguir robando cuentas FTP legítimas.
>
> *Links:*
> - Linux webserver botnet pushes malware<http://www.theregister.co.uk/2009/09/12/linux_zombies_push_malware/>
> *(The Register)*
> - Dynamic DNS and botnet of zombie web servers<http://blog.unmaskparasites.com/2009/09/11/dynamic-dns-and-botnet-of-zombie-web-servers/>
> *(Unmask Parasites)*
> - Drive-by campaign using Dynamic DNS domains<http://www.abuse.ch/?p=1801>
> *(Abuse.ch)*
>
>
> **
> Se detectó una botnet de servidores Linux<http://www.neoteo.com/se-detecto-una-botnet-de-servidores-linux.neo>
> Por: Lisandro Pardo<http://www.neoteo.com/Portada/tabid/54/sa/7506/Default.aspx> @ martes, 15 de septiembre de 2009 Nota vista 2315 veces
>
> ¿Cómo? Eso suena más a plataformas Windows, en eso todos estamos de
> acuerdo, pero recientes informes de varios sitios diferentes han revelado la
> existencia de unabotnet que ha tomado bajo su control a aproximadamente cien
> *servidores Linux* de diferentes distros. La *botnet* estaría infectando a
> sistemas Windows, entregando contenido a través de un servidor web que
> utiliza el puerto 8080. Muchos se han apresurado a decir que *Linux* al
> final *no es tan seguro* como sus usuarios dicen, pero lo cierto es que
> sólo una cosa puede haber provocado que cien servidores terminen infectados,
> y es *un mal administrador de sistema*. Si siempre se preguntaron por qué
> las distros insisten en no usar la cuenta *root* para tareas mundanas,
> esta es una de las razones.
>
> La situación es muy poco clara, pero trataremos de pasarla en limpio lo
> mejor posible. Aparentemente, un total de cien *servidores Linux*ejecutando Apache y conteniendo páginas web legales fueron penetrados de
> forma tal que fueron infectados con un segundo servidor conocido como *
> ngnix*, y comenzaron a distribuir malware a través del puerto 8080. La
> gran pregunta que mantiene en velo a los expertos es cómo fue que estos
> servidores terminaron siendo infectados desde el principio. De acuerdo a la
> robustez de las plataformas *Linux* y de su inmunidad ante la gran mayoría
> de los virus existentes, todos están aplicando un poco de la *Navaja de
> Occam* aquí, llegando a la conclusión más sencilla: La culpa fue de los
> administradores de sistema.
>
> <http://www.neoteo.com/Portals/0/imagenes/cache/8DEFx1500y1500.jpg>
> Un servidor Linux puede ser muy seguro, siempre y cuando quien está
> frente al teclado haga las cosas bien
>
> Todavía no se sabe con exactitud si esto fue llevado a cabo para probar que
> es posible llevarlo a término, o si realmente es un malware que persigue un
> fin comercial, pero si realmente este nodo de servidores esclavizados se
> encuentra diseminando malware, entonces se deberían esperar reacciones que
> estén en sintonía con la infección. Una de las teorías menciona que los
> asaltantes lograron tener acceso debido a que algún administrador despistado
> habilitó el acceso abierto al FTP para el usuario *root*. Los hackers sólo
> tuvieron que obtener la contraseña del root a través del FTP, y el resto es
> más o menos historia conocida.
>
> El malware utiliza sistemas como DynDNS.com<http://www.neoteo.com/configura-una-ip-fija-a-partir-de-una-13792.neo>y No-IP.com, dos sitios que ya han respondido de forma adecuada para
> contrarrestar los efectos de la botnet<http://www.neoteo.com/invasion-hay-mas-zombis-que-nunca-13958.neo>.
> Pero todos concuerdan con que no se debe tomar como una emergencia ni nada
> parecido. La botnet apenas cuenta con cien ordenadores, muy pequeña en
> comparación con otras botnets, por eso es tan fuerte la teoría de algún
> experimento hecho por un hacker. Sin embargo, esto nos recuerda el grado de
> responsabilidad que debemos tener con nuestros sistemas operativos, ya sean
> Windows, Mac OS o alguna distro de Linux. Contraseñas fuertes y no
> almacenadas ayudan mucho, al igual que utilizar el perfil de usuario
> correspondiente, en vez de estar jugando con la cuenta *root*.
> Enlaces Lo vimos en: The Register<http://www.theregister.co.uk/2009/09/12/linux_zombies_push_malware/>
> Más información: Computerworld<http://blogs.computerworld.com/14723/no_more_linux_security_bragging_botnet_discovery_worry>
> *
> Extraído de:*
> http://www.neoteo.com/se-detecto-una-botnet-de-servidores-linux.neo
>
>
> Descubierto el primer Botnet de servidores web Linux
>
> - Por *vivab0rg* en Eventos <http://www.vivalinux.com.ar/eventos/> el
> 13/09/2009.
> - 10:25
> - 3 comentarios<http://www.vivalinux.com.ar/eventos/botnet-de-servidores-web-linux#disqus_thread>
>
> Un investigador ruso descubrió un clúster de servidores Linux infectados y
> convertidos en un *botnet* <http://es.wikipedia.org/wiki/Botnet> para
> distribuir *malware* <http://es.wikipedia.org/wiki/Malware> a navegantes
> desprevenidos usando Windows. Se trataría del primer *botnet* de *servidores
> web* conectados con un centro de control común para distribuir software
> malicioso que, en adición, estaría conectado a *otro* *botnet* de
> computadoras personales.
>
> Cada uno de los servidores infectados, dedicados o virtuales, ejecuta un
> servidor web Apache <http://www.apache.org/> legítimo en el puerto 80,
> pero además también otro servidor nginx <http://nginx.net/> furtivo en el
> puerto 8080 que distribuye el *malware* con ayuda de proveedores de
> servicios de DNS dinámicos como DynDNS <https://www.dyndns.com/> y No-IP<http://www.no-ip.com/>
> .
>
> Con sólo 100 nodos el *botnet* es relativamente pequeño, por lo que
> todavía no está claro cuáles son las intentenciones reales de sus creadores.
> *Denis Sinegubko*, quien realizó el descubrimiento, se aventura a
> conjeturar que:
>
> “Probablemente es algún tipo de prueba de concepto para los hackers. O tal
> vez tienen muchos más servidores comprometidos esperando por su turno”.
>
>
> - Artículo completo en The Register<http://www.theregister.co.uk/2009/09/12/linux_zombies_push_malware/>via
> Slashdot<http://linux.slashdot.org/story/09/09/12/1413246/First-Botnet-of-Linux-Web-Servers-Discovered?from=rss>
> .
>
> *
> *
>
> *Extraído de:*
>
> http://www.vivalinux.com.ar/eventos/botnet-de-servidores-web-linux
> **
>
*
*
--
José Ignacio (Nacho) Pedrini.
Free Software activist.
Free Culture activist.
Pirate Party (Piratpartiet) activist.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: /pipermail/solar-general/attachments/20090916/d2fb508c/attachment.html
Más información sobre la lista de distribución Solar-general