Tutoriales
Programación
C ++
Seguridad
Bugs-Exploits
Web
Wireless
Ingeniería Inversa
Tools
Auditorías Web
Linux
Distros
Windows
Tips-Soluciones
Noticias
Ciencia
Sitios
ThoughtsByMichelle
ChocolatesEBÜ
Contacto
4uxx
Feeds
La operación Windigo, fue llamada a uno de los cyber ataques con enorme expansión a nivel mundial, si bien es cierto hasta hace poco se le hizo el "boom" no es nuevo, pero tal fue la magnitud de 500,000 usuarios infectados de windows, mac, freebsd, linux, entre 10 y 25 mil servidores infectados linux - unix( fuentes no oficiales). De esta gran cantidad de servidores en nuestro continente americano paises como EE.UU, México, Brasil, Argentina entre otros han sido vulnerados.
Funcionamiento de Windigo:
Se les puede echar la culpa a empresas como ESSET y CERT-Bund de haber lanzado este cyber ataque, pero según ellos lo hicieron para calcular los daños alcanzados por troyanos, entre otros( saben cuando les vamos a creer verdad? ejejjeje). El ataque ha infectado servidores generando el envío de millones de e-mails de spam. El malware está conformado por sofisticados componentes que están diseñados para secuestrar servidores, infectar a los equipos que los visitan y robar información. De esta forma, una vez que los servidores son infectados, son capaces de enviar 35 millones de mensajes de spam con exploits kits o avisos publicitarios, que finalmente generarán la redirección de más de 500.000 usuarios de forma diaria.
Si bien los sitios web afectados por Windigo intentan infectar computadoras con Windows a través de exploits, para los usuarios de Mac aparecen anuncios de sitios de citas y quienes usan iPhone son redirigidos a contenido pornográfico online.
El Laboratorio de Investigación de ESET, que dejó al descubierto la Operación Windigo, publicó un documento técnico donde presenta los resultados de las investigaciones y del análisis del malware. En el documento, también se proporciona la información necesaria para saber si un sistema ha sido afectado y cuáles son las medidas a seguir para eliminar el código malicioso.
En el siguiente enlace les dejo un PDF con la explicación sobre dicho ataque con un análisis en servidores y sus credenciales:
welivesecurity.com
Posibles detecciones en servidores Linux(Fuente forosla.com):
Linux/Ebury es un rootkit/backdoor para linux, que permite privilegios elevados en el sistema, para ver si nuestro sistema está infectado en la terminal escribir o copiar lo siguiente:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "Sistema Limpio" || echo "Sistema infectado"
Si el mensaje es "Sistema Limpio" pues no hay problema, si bien es cierto este cyber ataque está mas orientado a usuarios de Windows y OS de Mac, los usuarios de Linux debemos estar prevenidos y si tenemos un servidor por qué no echarle un vistazo xD!
Linux/CDorked es un Troyano cuya función es la de abrir una puerta trasera en el servidor infectado. Infecta servidores Web Apache replicando un fichero binario del mismo de unos 1,731,266 bytes.
Puedes diagnosticar tu servidor con:
curl -i http://mi-servidor/favicon.ico | grep “Location:”
Tu servidor está comprometido si el sistema devuelve la siguiente respuesta:
Location: http://google.com/
Bueno ojalá todo esto se solucione sin comprometer mas la seguridad de usuarios en la red, forola, me recordó precisamente igual el ataque a kernel.org donde hasta la fecha nos quedan muchas dudas jejejeje, me suscribo de ustedes by 4uxx
0 comentarios :
Publicar un comentario