Ataque a dreamhost spam y distribucion de malware

Estado
Cerrado para nuevas respuestas

marga

Colaboradora en las Redes Sociales.
Super Moderador
#1
Ataque a dreamhost spam y distribucion de malware

Importante: Algunas de las URLs citadas pueden estar activas y contener malware (virus, troyanos, etc) por lo que se recomienda precaución, y de ninguna manera me hago cargo por los problemas que pudiese causar el ingreso de algún usuario a las mismas.

Aparentemente ciertos individuos habrían logrado tener acceso a cuentas de 3.500 usuarios de esta empresa de hosting, que no es cualquier empresa, la misma aloja actualmente 500.000 dominios.

Según dicen, solo habrían sido modificados los archivos del 20% de esas 3.500 cuentas, lo que dejaría un numero de 0.15% de usuarios afectados de entre el total de alojados en DreamHost.

Muchos archivos fueron utilizados para spam, colocando enlaces ocultos hacia otras webs, que a su vez habían sido hackeadas para colocar paginas y contenidos relacionados a ventas de Cialis, etc.



Otros, con menos suerte, fueron víctima de la distribución de malware con la inclusión de un iframe que tenia como objetivo un servidor alojado en Malasia.



La mayoría de los iframes han sido dirigidos a esta IP en hexadecimal. El acceso al mismo parece no estar funcionando bien, pero si entramos directamente con la IP “normal” 203.223.158.12, se puede ver un falso mensaje, aunque la URL “http : / / 203 . 223 . 158. 12 / t” igue en pie y con el exploit.

Al ingresar a la misma, somos redirigidos hacia “http : / / 203 . 223 . 158. 12 / s” en donde al parecer se trata de agregar cierta información a una base de datos MySQL, la cual devuelve un error en la conexión, de todas formas el exploit en Javascript es mostrado.

Insertar CODE, HTML o PHP:
cmd > GET /t/ HTTP/1.0

cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

cmd > Host: 203.223.158.12

cmd > Pragma: no-cache

cmd >

cmd > GET /s HTTP/1.0

cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

cmd > Host: 0xcb.0xdf.0×9e.0×0c

cmd > Pragma: no-cache

cmd >

RequestDone Error = 0

StatusCode = 302

hdr>HTTP/1.0 301 Moved Permanently

hdr>Date: Fri, 08 Jun 2007 09:50:22 GMT

hdr>Content-Length: 350

hdr>Content-Type: text/html; charset=iso-8859-1

hdr>Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a PHP/5.2.1

hdr>Location: http://203.223.158.12/t/

hdr>HTTP/1.0 302 Found

hdr>Date: Fri, 08 Jun 2007 09:50:22 GMT

hdr>Content-Length: 0

hdr>Content-Type: text/html

hdr>Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a PHP/5.2.1

hdr>X-Powered-By: PHP/5.2.1

hdr>Set-Cookie: country=AR

hdr>Set-Cookie: UniqueVis=bb; expires=Fri, 15-Jun-2007 09:50:22 GMT

hdr>Location: http://0xcb.0xdf.0×9e.0×0c/s

No solo DreamHost ha sido víctima de este ataque, sino también algúnos sitios rusos alojados en otros servidores han sido modificados presuntamente por las mismas personas.

Ahora mas que nunca a leer la naranja numero 15 de la cruzada de Segu-Info.

Enlaces relacionados:

Security Breach:

http://www.dreamhoststatus.com/2007/06/06/security-breach/

Dreamhost Leaks 3500 FTP Passwords, Sites Get Hacked Big Time!:

http://digg.com/security/Dreamhost_Leaks_3...Hacked_Big_Time

Внимание (Warning):

http://forum.kaspersky.com/index.php?showtopic=40148

Unsettling:

http://mezzoblue.com/archives/2007/06/05/unsettling/
Webmasters: Las otras víctimas del Fraude en línea:http://www.segu-info.com.ar/cruzada/consejo-15.html
 

JPablo

Miembro Activo
Miembro
#2
Que desastre por favor. Es igual que dattatec. Te quejas y te mandan una carta en donde te "intimidan" o si no te eliminan...

Esto ya da asco. Acaso guardan las contraseñas de los FTP en texto plano? Esto es una falta de responsabilidad... Y dudo en que alguien sabía algo de esto... Quisiera cambiar de parecer, pero no puedo...

Noticia importante! Gracias Margarita...
 
Estado
Cerrado para nuevas respuestas
Arriba Pie