Noticias

Web Hackeada

Ayer sábado 13 de diciembre al comprobar si habíais puesto cosas nuevas en la web, me encontré con que el contenido de las páginas no era el esperado. Nos habían cambiado algunas páginas de la web.

Podían haber ocurrido dos cosas,

1. Que alguien me hubiese pillado la password de administrador
2. O que hayan hackeado el servidor completo

Tras comprobar que no sólo eran las páginas de la web de la peña, si no que también las páginas del proveedor de internet las que habían sido modificadas, la solución era clara, habían hackeado al servidor completo, no sólo a nuestra web.
Por tanto abro una incidencia urgente en el departamento de soporte de la empresa que nos alquila el alojamiento, indicando que hemos sufrido un ataque y que ese ataque NO se ha producido por desidia nuestra.
Después de enviar la incidencia, intento evaluar los daños, y veo que los daños se refieren a 4 o cinco páginas solamente, pero páginas muy importantes, ya que eran las páginas índice que son las conducen al resto de páginas.
Al cabo de dos horas de abrir la incidencia recibo contestación sobre lo ocurrido, donde me confirman lo que me temía, y me dan más información sobre lo ocurrido:

Estimado Cliente:

Usted posee un alojamiento Linux con nosotros ubicado en la máquina Júpiter.

Este es el informe técnico de los problemas sufridos por su alojamiento en los últimos días:

El miércoles por la noche se comienzan las actualizaciones semestrales de todos los servidores linux con los que cuenta Sync.es para actualizar versiones viejas de ciertos scripts, con fallos de seguridad reportados, a otras versiones más recientes pero ya testeadas.

A mitad de proceso de la actualización de la máquina Júpiter, se empiezan a detectar diversas anomalías en su funcionamiento que derivan en la perdida de conectividad.

El servicio se restablece el Jueves a las 11:30 A.M. pero sin averiguarse las causas probables que provocaron la situación anterior. El servicio técnico comienza una revisión profunda del estado del servidor para evitar complicaciones posteriores.

A las 16:15 el servicio de mail deja de funcionar en la máquina Júpiter de nuevo sin que se sepan las causas aparentes. Tras una reconfiguración del sistema a las 23:15 se logra volver a restaurar el servicio.

Con nota de urgencia varios técnicos comienzan a hacer un seguimiento exhaustivo al servidor en cuestión.

A lo largo del viernes y tras una profunda investigación se descubre la posible existencia de un usuario malintencionado como causa más probable de las incidencias del día anterior. Júpiter, cuyos scripts no fueron renovados debido al incidente antes mencionado, es estudiado de cerca.

El Viernes por la noche se detecta a las 3:21 A.M la entrada de un usuario no autorizado que hackea algunos de los alojamientos que contenía Jupiter cambiando los ficheros index por otros.

A lo largo del día se realiza un proceso de restauración de los servicios de los alojamientos hackeados. De cualquier forma, Sync.es que realiza voluntariamente backups semanales de su servidor, realizó una labor de actualización con los mismos para minimizar las consecuencias de las graves acciones cometidas por esta persona. Le rogamos actualice su alojamiento con su copia más reciente.

Le invitamos, como Sync.es hará, a presentar la consiguiente denuncia en el departamento de delitos informáticos de la policia. (Tlf. 915822752)

Esto es lo que se ha averiguado:

-------------------------------- INFORMACION UTIL ----------------------------------

La IP de la persona que hackeado su web es 200.158.210.34

Un traceroute (traceo de ruta) de la IP nos dá lo siguiente:

[1-5] Pasos anteriores de salida de intranet a ADSL de Telefónica
6 210.Red-80-58-96.pooles.rima-tde.net (80.58.96.210) 85.582 ms 80.990 ms 81.532 ms
7 18.Red-80-58-74.pooles.rima-tde.net (80.58.74.18) 82.899 ms 85.900 ms 122.436 ms
8 GE4-1-0-0-grtmadrr1.ri.telefonica-data.net (213.140.50.125) 96.257 ms 91.631 ms 108.441 ms
9 So6-1-0-0-grtmadpe1.ri.telefonica-data.net (213.140.36.125) 92.439 ms 91.349 ms 104.392 ms
10 GE5-0-0-0-grtmadpe2.ri.telefonica-data.net (213.140.36.182) 115.837 ms * GE6-0-0-0-grtmadpe2.ri.telefonica-data.net (213.140.36.186) 81.784 ms
11 So2-3-0-0-grtmiatc2.ri.telefonica-data.net (213.140.37.37) 197.698 ms 201.115 ms *
12 GE5-0-0-0-grtmiatc1.ri.telefonica-data.net (213.140.37.222) 167.804 ms GE4-1-0-0-grtmiatc1.ri.telefonica-data.net (213.140.36.222) 172.372 ms GE5-0-0-0-grtmiatc1.ri.telefonica-data.net (213.140.37.222) 173.213 ms
13 So3-0-0-0-grtsaoco1.ri.telefonica-data.net (213.140.37.138) 276.043 ms 278.415 ms 275.720 ms
14 telempresas-5-0-3-0-grtsaoco1.ri.telefonica-data.net (213.140.50.182) 289.523 ms 281.648 ms 285.871 ms
15 200.207.252.217 (200.207.252.217) 298.900 ms 290.783 ms 290.836 ms
16 200-148-160-78.bbone.tdatabrasil.net.br (200.148.160.78) 287.450 ms 275.950 ms 277.545 ms
17 POS-0-0-0-br-spo-pe-ra1.bbone.telesp.net.br (200.205.255.182) 285.234 ms 291.749 ms 311.339 ms
18 * 200-171-0-138.dsl.telesp.net.br (200.171.0.138) 283.880 ms 346.952 ms
19 200-158-210-34.dsl.telesp.net.br (200.158.210.34) 322.163 ms 303.842 ms 300.094 ms

Un nslookup nos dá lo siguiente:
Non-authoritative answer:
34.210.158.200.in-addr.arpa name = 200-158-210-34.dsl.telesp.net.br.

Authoritative answers can be found from:
210.158.200.in-addr.arpa nameserver = dnsqipbr2.telesp.net.br.
210.158.200.in-addr.arpa nameserver = dnsqipbr1.telesp.net.br.
dnsqipbr1.telesp.net.br internet address = 200.204.0.9
dnsqipbr2.telesp.net.br internet address = 200.204.0.139

Además los logs de apache investigados del ataque nos proporcionan que se realizó la llamada al script con un navegador Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1).

Por tanto, parece ser que algún usuario con Windows XP, desde Brasil, ha realizado el ataque.

El ataque lo realizó a través del fallo de seguridad de My Gallery que está reportado oficialmente en:
http://securityfocus.org/bid/9113
http://www.securityfocus.com/archive/1/345790
http://www.securityfocus.com/archive/1/346007

Utilizó un basepath ubicado en http://www.unseklab.hpg.com.br, que es un alojamiento gratuito del portal brasileño http://www.hpg.com.br (donde alojó el exploit necesario para hackear la máquina), por tanto la información del usuario "unseklab" también es determinante para conocer la posible identidad del hacker.

Con ello consiguió ejecutar un script, con el que realizó el ataque en cuestión, que consistió en aplicar a todos los index.* (es decir, index.html y index.php principalmente) el contenido de http://www.cimentsorigny.com/dog.htm

Por tanto puede resultar útil también saber el propietario de ese dominio cimentsorigny.com que puede encontrar en la página
http://registrar.verisign-grs.com/cgi-bin/whois?whois_nic=cimentsorigny.com&type=domain

------------------------------------------------------------------------------------

Sync.es intenta brindar el mejor de los servicios, pero en los alojamientos virtuales, como es su caso, es imposible garantizar la misma. Esto es debido a que numerosos usuarios comparten la máquina, ejecutan scripts e instalan programas que pueden tener reportados fallos de seguridad como en el caso de My Gallery.

Rogamos sea consciente que alguien experimentado siempre puede entrar en cualquier máquina, no sólo en alojamiento virtuales, sino en bancos, hospitales o archivos policiales.

Desde Sync.es queremos intentar compensar lo máximo posible a los clientes que han sufrido este ataque y por eso, hasta el 15 de Enero de 2004, le ofrecemos un 20% de reducción en las compras que realice en Sync.es al introducir el codigo JUP-*********

Esperamos que sepa ver que desde Sync.es se han establecido inmediatamente todas las gestiones y movimientos necesarios para minimizar las repercusiones de estos actos sobre nuestros clientes de la máquina Júpiter y para impedir que se vuelvan a repetir.

Sin otro particular,

Agradeciendo su confianza,

Atentamente,

Enviado por davidrf el Diciembre 14, 2003 06:57 PM