Comments on: Botnet en base a web servers corriendo sobre Linux

By: Juan Pablo

Juan Pablo — Mon, 21 Sep 2009 03:09:44 +0000

@Franco

Ojo… en ningun caso pretendo defender a algun SO en especial… soy usuario de Linux… pero me carga la posicion que adoptas… parece que asumes que cualquiera que haga una critica es un defensor de windows y a la vez anti-linux.. asi pierdes objetividad.

@Franco: eso no le respondiste a Luis, y es lo mismo que pienso, mal la “empezá” del artículo, es como ponerle el dedo en la llaga al tema de seguridad de Linux vs el de Windows… tampoco hay que excusarse.. las cosas son como son.

0 0

By: Marcelo

Marcelo — Fri, 18 Sep 2009 18:29:20 +0000

@Sergio

Que mas piolita que utilizar passwords legítimas para acceder a sistemas linux?. No estás explotando vulnerabilidades existentes, para que alguien se de cuenta y te bloquee despues , estás instalando tus juguetes de manera silenciosa, usando herramientas legítimas .

Por ello, me parecer que el artículo destaca bién el punto de lo rebuscado de la botnet.

0 0

By: Sergio

Sergio — Thu, 17 Sep 2009 19:57:01 +0000

@Franco de todas formas tu analisis no me convence, sucede que pruebas no existen y solo esta tu presunción de que el eslabon más debil es Windows, y hasta incluso en esa parte difiero de tu comentario porque pienso que esta claro que el eslabon más debil son los usuarios descuidados, por otro lado la intenciones de los autores de estos ataques, es pasar lo más desapercibidos posible, para insertar un codigo más adelante, por ello se toman muchas molestias en no ser evidentes aún.

0 0

By: Luis

Luis — Thu, 17 Sep 2009 16:39:45 +0000

@Franco

Ojo… en ningun caso pretendo defender a algun SO en especial… soy usuario de Linux… pero me carga la posicion que adoptas… parece que asumes que cualquiera que haga una critica es un defensor de windows y a la vez anti-linux.. asi pierdes objetividad.

Luego lo que dijiste:

“Irónicamente, la limitada funcionalidad de administración remota de Windows juega a su favor. Para instalar la mayoría de los programas de Windows necesitas tener acceso a una interfaz gráfica para aplicar next/next/finish. Hacer algo más automático requiere mayor trabajo.

En Linux se puede hacer un script que descargue, compile y ejecute todo automáticamente en forma natural.”

La verdad que me extraña un comentario asi…

Infectar un IIS para que distribuya malware/troyanos/etc es igual de sencillo que hacerlo en Linux.. si es vulnerable a algun bug o si tienes claves de user y estas frente a servidores “mal administrados” no hay mucho que hacer…

0 0

By: burrix

burrix — Thu, 17 Sep 2009 15:54:33 +0000

@franco, vamos por partes: con respecto a la confirmación del malware “it seems (al parecer)” no es una prueba válida, una prueba válida sería poner en cuarentena al bicho y demostrarlo. El link a symantec (creo) lo pusiste tu para reforzar tu propia creencia en el link k “al parecer” demuestra esto, por lo tanto no tiene ninguna validez.

Segundo, con respecto a lo “rebuscado” del método de infección Linux que comenté, te cuento que es el mismo método que se utiliza en windows: con privilegios de administrador, abrir puertos en el firewall para que el malware se comunique con sus servidores. ¿Para qué necesitar root entonces? pues para abrir dichos puertos que, como linux es muy seguro, están cerrados por defecto, y un usuario normal obviamente no puede abrirlos. Te recomiendo estudiar un poco esto para que te quede más claro.

Tercero, malware en linux? no existe claro, a menos que la misma wikipedia mienta.

Cuarto, con respecto a las facilidades espectaculares de administración en linux y la dificultad de administrar un sistema windows, ¿no conoces el slipstreaming de drivers y programas en windows? El windows UE usa este sistema para integrar en el os programas y permitir su instalación automática, de hecho la mayoría del software decente tiene instalaciones silenciosas para permitir la automatización del proceso, por lo que no es muy diferente de linux. Te doy el punto de que windows no trae compilador, pero la mayoría de sus aplicaciones ya vienen compiladas, así que no es tan terrible.

Quinto, te doy totalmente el punto de los diseñadores, aunque fijate tu que no siempre son los diseñadores los que la venden, gralmente son los fanáticos de mac que usan contraseñas fáciles…

saludos

0 0

By: Skye~

Skye~ — Thu, 17 Sep 2009 15:37:54 +0000

Franco owneando noobs en mala

0 0

By: Suikakuyu

Suikakuyu — Thu, 17 Sep 2009 14:06:21 +0000

@Franco Catrin: Por favor, puedes dar respuestas mejores. Si el punto más débil de la cadena es el pc de escritorio (o sea el que está con un usuario normal -no un geek-). Por lo tanto sea el sistema operativo que sea ese es el punto para atacar.

0 0

By: Patricio

Patricio — Thu, 17 Sep 2009 12:29:30 +0000

Debido a aquellos que profesan que en linux no hay virus, y la nueva de campaña de marketing de microsoft, es que comenzaremos a vernos plagados de noticias de virus en linux.
Cuenta una mentira 100 veces… y seguira siendo mentira
Cuenta una mentira 1000 veces… y ésta será verdad.

Hay que abstraerse hasta que pase lo de la campaña

0 0

By: Federico Sayd

Federico Sayd — Thu, 17 Sep 2009 12:18:11 +0000

El cof cof… genial

La plata que ganaría esta gente si se dedicara a desarrollar sistemas legales. O el crimen paga más?
No sé pero a veces te da ganas de aplaudir su genialidad. Hasta que tienes que limpiar un virus en una máquina Windows o poner un antispam en el correo y los odias.

0 0

By: jado92mx

jado92mx — Thu, 17 Sep 2009 06:26:29 +0000

graziaz windows, por ser tan debil y permitir qe esto pase :@

JaD!

0 0

By: SERGO

SERGO — Thu, 17 Sep 2009 05:54:37 +0000

CASI TODOS LAS PC ESTÁN INFECTADAS, AUNQUE EN MUCHOS EL ANTIVIRUS NO LAS ENCUENTREN AUNQUE ESTÉN IDENTIFICADOS EN LA BASE DE DATOS TOTALMENTE, PORQUE ESTÁN ESCONDIDOS COMO OCULTOS Y DEL SISTEMA, YO LOS QUITO BOOTEANDO DE UN CD Y BORRO LOS ARCHIVOS DEL VIRUS DE DONDE ESTÉN. PARA MÍ ES FACIL PROQUE USO FAT32

0 0

By: Nicolas

Nicolas — Thu, 17 Sep 2009 04:34:41 +0000

@Luis
Porque no es tan facil correr una aplicacion tipo nginx en un Windows. Requiere mas pruebas… es más facil programarla para un Linux.

Igual, las maquinas infectadas no tenian un buen firewall, eso seguro, “se supone” que uno al instalar una maquina, cierra todo, y despues abre lo que necesita. Entonces, un usuario con una cuenta normal.. si bien podria bindear el puerto 8080 no podria enviar/recibir nada….

0 0

By: Luis

Luis — Thu, 17 Sep 2009 03:53:56 +0000

@Franco

Algo no me convence de tu articulo…. algo me dice que estas asumiendo muchas cosas que en este caso se desconocen aun (por lo poco que lee del tema… no tengo tiempo hoy para seguir viendolo.. hay que ir a las ramadas jejeje)

Porque solo los webserver usados en esta botnet solo corren Apache/Linux…?¿ si robaran user ftp perfectamente podrian robar user y password de algun servidro windows, o no?¿?¿

Estoy de acuerdo que la botnet distribuye malware contra target windows…. pero me huele a que esto es una botnet un poquito mas compleja de lo que se ve.. y peor… tal vez solo es una prueba de concepto para algo mayor…

0 0

By: burrix

burrix — Thu, 17 Sep 2009 03:42:41 +0000

Con respecto a lo que dice andrés, tiene razón, si la máquina tiene cerrado el 8080 con un cortafuegos, los clientes no pueden acceder a ese puerto (no, un iframe no vale porque es la misma petición http normal). Por lo tanto, para permitir acceso a clientes, debe pasar 1 de las siguientes:

a) el puerto 8080 estaba abierto desde antes (poco probable, las distribuciones por lo gral vienen con un iptables preconfigurado, sobre todo en el caso de las distros para servidores)
b) un “programa” modifica la configuración de iptables para abrir el 8080

en el caso b, el “programa” requeriría acceso como root… hmm programa que tiene acceso como administrador y abre puertos.. me suena a TROYANO! por lo tanto, sí, pueden haber troyanos en linux

0 0

By: burrix

burrix — Thu, 17 Sep 2009 03:35:59 +0000

@franco, no soy yo el que tiene que mostrar evidencia, sino tu, el autor del artículo, quien tiene que mostrar datos irrefutables. Pero para amenizar, por mientras te cuento que tus fuentes muestran inconsistencias. Por una parte, no veo de dónde sacaste cual es el troyano que se distribuye (no lo encuentro en tus fuentes). Por otra, tus mismas fuentes se contradicen: “The strange thing is that the malicious domains currently doesn’t serve any kind of exploits/malware.” y otra dice que sí distribuyen malware.

Finalmente, si se comprometieron claves de Linux por culpa de Windows como planteas, eso no es culpa de ninguno de los dos OS, sino culpa de los l33t us3rs de linux que andan chillando LIBERTAD en la red, pero que aún tienen su partición windows y que no tienen idea de asegurar ninguno de los dos sistemas.

Yo no soy fanático de ninguno de los dos, los uso como la ocasión amerite, y puedo admitir sin problemas que ambos tienen fallas. Echarle compulsivamente la culpa a otros es el comportamiento clásico de un freetard. Espero no lo seas.

0 0

By: burrix

burrix — Thu, 17 Sep 2009 03:13:08 +0000

ayayay franco, franco… te pasas la mitad del artículo echándole la culpa a windows. Si en Windows existen usuarios descuidados que corren como admin y bajan troyanos mezclados con porno, le echas la culpa a windows. Si se hackean linux supuestamente por culpa de estos troyanos, también es culpa de windows? mmm

Como decía sergio, no hay nada mas que ESPECULACIONES en los links que enviaste, probablemente también escritas por fanáticos del pinguino que, como tú, son incapaces de aceptar que es un so escrito por humanos y que TAL VEZ A LO MEJOR PUEDA tener alguna falla y no sea perfecto.

Fíjate que en la cadena de hackeo a servidores windows también hay máquinas linux de por medio, ¿es culpa de linux entonces?

0 0

By: X_X

X_X — Thu, 17 Sep 2009 02:08:56 +0000

Es cierto, la cadena se corta por el lado mas debil (wincof cof cof).

0 0

By: evelio

evelio — Wed, 16 Sep 2009 22:46:54 +0000

Que descache de Francisco Catrin (me encantan sus entradas ) pero considero que el título debería ser “Botnet con base en servidores web” puede que afecte a GNU/Linux pero también se podría “explotar” en otros OS para servidores web, pues el chiste esta en capturar las cuentas FTP de los usuarios de Windows infectados por un troyano

0 0

By: Andres

Andres — Wed, 16 Sep 2009 22:33:10 +0000

No se si es aplicable aquí el caso de la cadena, ya que
1) con un cortafuegos bien configurado, el servidor web secundario no deberia tener salida, es decir el servidor tiene habilitados solo los puertos que se utilizan, no bloqueados los que pueden ser mal usados.
2) las cuentas ftp, tengan acceso restringido a un directorio donde no puedan ejecutarse aplicaciones, como un servidor web.
3) un archivo subido mediante ftp, no deberia tener permisos de ejecucion
4) Mmm… hay varias más, pero en general un servidor con un cortafuegos, cuentas ftp, servidor web y ssh bien configurados no deberia tener problemas contra este tipo de botnet

0 0

By: Suikakuyu

Suikakuyu — Wed, 16 Sep 2009 22:15:54 +0000

@Franco Catrin: En realidad bastaría con colocar un troyano en linux… sea como sea, si todos los usuarios usuran linux, no faltaría el usuario que lo usará by default con la cuenta root…

0 0

By: Mr. X

Mr. X — Wed, 16 Sep 2009 22:00:22 +0000

en tre los libros esta un kamasutra gay

0 0

By: Pedro

Pedro — Wed, 16 Sep 2009 21:55:43 +0000

@sergio

Windows es el SO donde se ejecuta el cliente FTP, el cual tiene corriendo un Troyano que roba los users y claves cuando los escribes. Captas ahora??

Saludos

0 0

By: pedregalux

pedregalux — Wed, 16 Sep 2009 21:51:33 +0000

muy buen artículo como siempre

0 0

By: sergio

sergio — Wed, 16 Sep 2009 21:33:02 +0000

it just occurred to me that hackers may simple have root passwords from those hacked servers,… …., and the admins were dumb enough to use the root account for (S)FTP operations and even dumber to store their root passwords in FTP program settings. Having a database of thousands of stolen FTP credentials, hackers just need to search for entries with username “root“. Insisto, revise el segundo link y dice: se me ocurre que… hay Administradores burros que almacenaron sus pass de root…. no veo la relación con Windows…

0 0

By: sergio

sergio — Wed, 16 Sep 2009 21:21:05 +0000

@Cabezon totalmente de acuerdo con la opinión sobre Dennise Malebrán, ella si hace lobby con politicos y amenaza a la gente de la concertación con dejarlos sin show en epocas de elecciones con tal de lograr leyes que favorezcan a su cartel de musicos, es tiempo de oponerse

0 0

By: reflexiones

reflexiones — Wed, 16 Sep 2009 21:21:00 +0000

Creo que la unica manera de que roben la informacion del FTP es cuando dejan el nombre de usuario y clave de acceso “pegados” alli

0 0

By: inyaka

inyaka — Wed, 16 Sep 2009 21:18:50 +0000

Leo prieto password débil, cof cof…

XD eso en un post de betazeta

¿como es que paso el filtro? XD

0 0

By: sergio

sergio — Wed, 16 Sep 2009 21:18:41 +0000

Con respecto al otro tema, creo que hay que ser pro-activos y acosar ahora a nuestros legisladores y decirles que si aprueban leyes como esa, se les realizara un boicot, en época de elecciones son bastante abiertos a las sugerencias de las masas…

0 0

By: Cabezon

Cabezon — Wed, 16 Sep 2009 21:11:39 +0000

@Mocosillo: Por obra, lobby y gracia de nuestra querida y nunca bién ponderada perra ctm y la que la pa..ó Dennise Malebrán, ahora todos somos delincuentes.

0 0

By: Suikakuyu

Suikakuyu — Wed, 16 Sep 2009 21:08:39 +0000

Si bien la noticia es interesante… creo que a la linea editorial de fayerwayer le está faltando un balanceador de carga. A veces tiran noticias ultralight, y otras se tiran noticias que para alguien que no tenga el bagaje de conocimiento especializado le suenan con sánscrito…

0 0