Global 
Tommy Jordan se refiere al "asesinato" del note...
Futurología: La nueva Xbox podría incluir mando...
8 cámaras clásicas de Kodak, ahora que dejará d...
Alemania dice que no firmará ACTA (al menos por...
México: Sujeto intentó subastar un bebé en Merc...
10 regalos geek para tu media naranja en este D...
2012: IPv6, odisea en el (ciber)espacio
España ya no está en los planes de NetflixBotnet en base a web servers corriendo sobre Linux
(cc) Sophos D/A/CH Presseinfo
Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.
Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil. Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas. Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…
Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux. Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web. Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.
Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados. Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor. Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.
El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo. Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.
El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos. Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.
Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)
47 Comentarios
Botnet en base a web servers corriendo sobre Linux
Es cierto, la cadena se corta por el lado mas debil (wincof cof cof).
Responderayayay franco, franco... te pasas la mitad del artículo echándole la culpa a windows. Si en Windows existen usuarios descuidados que corren como admin y bajan troyanos mezclados con porno, le echas la culpa a windows. Si se hackean linux supuestamente por culpa de estos troyanos, también es culpa de windows? mmm
ResponderComo decía sergio, no hay nada mas que ESPECULACIONES en los links que enviaste, probablemente también escritas por fanáticos del pinguino que, como tú, son incapaces de aceptar que es un so escrito por humanos y que TAL VEZ A LO MEJOR PUEDA tener alguna falla y no sea perfecto.
Fíjate que en la cadena de hackeo a servidores windows también hay máquinas linux de por medio, ¿es culpa de linux entonces?
@franco, no soy yo el que tiene que mostrar evidencia, sino tu, el autor del artículo, quien tiene que mostrar datos irrefutables. Pero para amenizar, por mientras te cuento que tus fuentes muestran inconsistencias. Por una parte, no veo de dónde sacaste cual es el troyano que se distribuye (no lo encuentro en tus fuentes). Por otra, tus mismas fuentes se contradicen: "The strange thing is that the malicious domains currently doesn’t serve any kind of exploits/malware." y otra dice que sí distribuyen malware.
ResponderFinalmente, si se comprometieron claves de Linux por culpa de Windows como planteas, eso no es culpa de ninguno de los dos OS, sino culpa de los l33t us3rs de linux que andan chillando LIBERTAD en la red, pero que aún tienen su partición windows y que no tienen idea de asegurar ninguno de los dos sistemas.
Yo no soy fanático de ninguno de los dos, los uso como la ocasión amerite, y puedo admitir sin problemas que ambos tienen fallas. Echarle compulsivamente la culpa a otros es el comportamiento clásico de un freetard. Espero no lo seas.
Con respecto a lo que dice andrés, tiene razón, si la máquina tiene cerrado el 8080 con un cortafuegos, los clientes no pueden acceder a ese puerto (no, un iframe no vale porque es la misma petición http normal). Por lo tanto, para permitir acceso a clientes, debe pasar 1 de las siguientes:
Respondera) el puerto 8080 estaba abierto desde antes (poco probable, las distribuciones por lo gral vienen con un iptables preconfigurado, sobre todo en el caso de las distros para servidores)
b) un "programa" modifica la configuración de iptables para abrir el 8080
en el caso b, el "programa" requeriría acceso como root... hmm programa que tiene acceso como administrador y abre puertos.. me suena a TROYANO! por lo tanto, sí, pueden haber troyanos en linux
@Franco
ResponderAlgo no me convence de tu articulo.... algo me dice que estas asumiendo muchas cosas que en este caso se desconocen aun (por lo poco que lee del tema... no tengo tiempo hoy para seguir viendolo.. hay que ir a las ramadas jejeje)
Porque solo los webserver usados en esta botnet solo corren Apache/Linux...?¿ si robaran user ftp perfectamente podrian robar user y password de algun servidro windows, o no?¿?¿
Estoy de acuerdo que la botnet distribuye malware contra target windows.... pero me huele a que esto es una botnet un poquito mas compleja de lo que se ve.. y peor... tal vez solo es una prueba de concepto para algo mayor...
@Luis
ResponderPorque no es tan facil correr una aplicacion tipo nginx en un Windows. Requiere mas pruebas... es más facil programarla para un Linux.
Igual, las maquinas infectadas no tenian un buen firewall, eso seguro, "se supone" que uno al instalar una maquina, cierra todo, y despues abre lo que necesita. Entonces, un usuario con una cuenta normal.. si bien podria bindear el puerto 8080 no podria enviar/recibir nada....
CASI TODOS LAS PC ESTÁN INFECTADAS, AUNQUE EN MUCHOS EL ANTIVIRUS NO LAS ENCUENTREN AUNQUE ESTÉN IDENTIFICADOS EN LA BASE DE DATOS TOTALMENTE, PORQUE ESTÁN ESCONDIDOS COMO OCULTOS Y DEL SISTEMA, YO LOS QUITO BOOTEANDO DE UN CD Y BORRO LOS ARCHIVOS DEL VIRUS DE DONDE ESTÉN. PARA MÍ ES FACIL PROQUE USO FAT32
Respondergraziaz windows, por ser tan debil y permitir qe esto pase :@
ResponderJaD!
El cof cof... genial
ResponderLa plata que ganaría esta gente si se dedicara a desarrollar sistemas legales. O el crimen paga más?
No sé pero a veces te da ganas de aplaudir su genialidad. Hasta que tienes que limpiar un virus en una máquina Windows o poner un antispam en el correo y los odias.
Debido a aquellos que profesan que en linux no hay virus, y la nueva de campaña de marketing de microsoft, es que comenzaremos a vernos plagados de noticias de virus en linux.
ResponderCuenta una mentira 100 veces... y seguira siendo mentira
Cuenta una mentira 1000 veces... y ésta será verdad.
Hay que abstraerse hasta que pase lo de la campaña
@Franco Catrin: Por favor, puedes dar respuestas mejores. Si el punto más débil de la cadena es el pc de escritorio (o sea el que está con un usuario normal -no un geek-). Por lo tanto sea el sistema operativo que sea ese es el punto para atacar.
ResponderFranco owneando noobs en mala :D
Responder@franco, vamos por partes: con respecto a la confirmación del malware "it seems (al parecer)" no es una prueba válida, una prueba válida sería poner en cuarentena al bicho y demostrarlo. El link a symantec (creo) lo pusiste tu para reforzar tu propia creencia en el link k "al parecer" demuestra esto, por lo tanto no tiene ninguna validez.
ResponderSegundo, con respecto a lo "rebuscado" del método de infección Linux que comenté, te cuento que es el mismo método que se utiliza en windows: con privilegios de administrador, abrir puertos en el firewall para que el malware se comunique con sus servidores. ¿Para qué necesitar root entonces? pues para abrir dichos puertos que, como linux es muy seguro, están cerrados por defecto, y un usuario normal obviamente no puede abrirlos. Te recomiendo estudiar un poco esto para que te quede más claro.
Tercero, malware en linux? no existe claro, a menos que la misma wikipedia mienta.
Cuarto, con respecto a las facilidades espectaculares de administración en linux y la dificultad de administrar un sistema windows, ¿no conoces el slipstreaming de drivers y programas en windows? El windows UE usa este sistema para integrar en el os programas y permitir su instalación automática, de hecho la mayoría del software decente tiene instalaciones silenciosas para permitir la automatización del proceso, por lo que no es muy diferente de linux. Te doy el punto de que windows no trae compilador, pero la mayoría de sus aplicaciones ya vienen compiladas, así que no es tan terrible.
Quinto, te doy totalmente el punto de los diseñadores, aunque fijate tu que no siempre son los diseñadores los que la venden, gralmente son los fanáticos de mac que usan contraseñas fáciles...
saludos
@Franco
ResponderOjo... en ningun caso pretendo defender a algun SO en especial... soy usuario de Linux... pero me carga la posicion que adoptas... parece que asumes que cualquiera que haga una critica es un defensor de windows y a la vez anti-linux.. asi pierdes objetividad.
Luego lo que dijiste:
"Irónicamente, la limitada funcionalidad de administración remota de Windows juega a su favor. Para instalar la mayoría de los programas de Windows necesitas tener acceso a una interfaz gráfica para aplicar next/next/finish. Hacer algo más automático requiere mayor trabajo.
En Linux se puede hacer un script que descargue, compile y ejecute todo automáticamente en forma natural."
La verdad que me extraña un comentario asi...
Infectar un IIS para que distribuya malware/troyanos/etc es igual de sencillo que hacerlo en Linux.. si es vulnerable a algun bug o si tienes claves de user y estas frente a servidores "mal administrados" no hay mucho que hacer...
@Franco de todas formas tu analisis no me convence, sucede que pruebas no existen y solo esta tu presunción de que el eslabon más debil es Windows, y hasta incluso en esa parte difiero de tu comentario porque pienso que esta claro que el eslabon más debil son los usuarios descuidados, por otro lado la intenciones de los autores de estos ataques, es pasar lo más desapercibidos posible, para insertar un codigo más adelante, por ello se toman muchas molestias en no ser evidentes aún.
Responder@Sergio
ResponderQue mas piolita que utilizar passwords legítimas para acceder a sistemas linux?. No estás explotando vulnerabilidades existentes, para que alguien se de cuenta y te bloquee despues :), estás instalando tus juguetes de manera silenciosa, usando herramientas legítimas :).
Por ello, me parecer que el artículo destaca bién el punto de lo rebuscado de la botnet.
@Franco: eso no le respondiste a Luis, y es lo mismo que pienso, mal la "empezá" del artículo, es como ponerle el dedo en la llaga al tema de seguridad de Linux vs el de Windows... tampoco hay que excusarse.. las cosas son como son. Responder
Deja tu Comentario