Ataque a DreamHost: SPAM y distribucion de malware

Escrito el 8 junio 2007, 07:02am en Seguridad

Importante: Algunas de las URLs citadas pueden estar activas y contener malware (virus, troyanos, etc) por lo que se recomienda precaución, y de ninguna manera me hago cargo por los problemas que pudiese causar el ingreso de algún usuario a las mismas.

Aparentemente ciertos individuos habrían logrado tener acceso a cuentas de 3.500 usuarios de esta empresa de hosting, que no es cualquier empresa, la misma aloja actualmente 500.000 dominios.

Según dicen, solo habrían sido modificados los archivos del 20% de esas 3.500 cuentas, lo que dejaría un numero de 0.15% de usuarios afectados de entre el total de alojados en DreamHost.

Muchos archivos fueron utilizados para spam, colocando enlaces ocultos hacia otras webs, que a su vez habían sido hackeadas para colocar paginas y contenidos relacionados a ventas de Cialis, etc.

jun4-spamlinks.gif

Otros, con menos suerte, fueron víctima de la distribución de malware con la inclusión de un iframe que tenia como objetivo un servidor alojado en Malasia.

La mayoría de los iframes han sido dirigidos a esta IP en hexadecimal. El acceso al mismo parece no estar funcionando bien, pero si entramos directamente con la IP “normal” 203.223.158.12, se puede ver un falso mensaje, aunque la URL “http : / / 203 . 223 . 158. 12 / t” sigue en pie y con el exploit.

Al ingresar a la misma, somos redirigidos hacia “http : / / 203 . 223 . 158. 12 / s” en donde al parecer se trata de agregar cierta información a una base de datos MySQL, la cual devuelve un error en la conexión, de todas formas el exploit en Javascript es mostrado.

cmd > GET /t/ HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
cmd > Host: 203.223.158.12
cmd > Pragma: no-cache
cmd >
cmd > GET /s HTTP/1.0
cmd > Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
cmd > User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
cmd > Host: 0xcb.0xdf.0x9e.0x0c
cmd > Pragma: no-cache
cmd >
RequestDone Error = 0
StatusCode = 302
hdr>HTTP/1.0 301 Moved Permanently
hdr>Date: Fri, 08 Jun 2007 09:50:22 GMT
hdr>Content-Length: 350
hdr>Content-Type: text/html; charset=iso-8859-1
hdr>Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a PHP/5.2.1
hdr>Location: http://203.223.158.12/t/
hdr>HTTP/1.0 302 Found
hdr>Date: Fri, 08 Jun 2007 09:50:22 GMT
hdr>Content-Length: 0
hdr>Content-Type: text/html
hdr>Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a PHP/5.2.1
hdr>X-Powered-By: PHP/5.2.1
hdr>Set-Cookie: country=AR
hdr>Set-Cookie: UniqueVis=bb; expires=Fri, 15-Jun-2007 09:50:22 GMT
hdr>Location: http://0xcb.0xdf.0x9e.0x0c/s

No solo DreamHost ha sido víctima de este ataque, sino también algunos sitios rusos alojados en otros servidores han sido modificados presuntamente por las mismas personas.

Ahora mas que nunca a leer la naranja numero 15 de la cruzada de Segu-Info.com.ar 😛

Enlaces relacionados:

Security Breach:
http://www.dreamhoststatus.com/2007/06/06/security-breach/

Dreamhost Leaks 3500 FTP Passwords, Sites Get Hacked Big Time!:
http://digg.com/security/Dreamhost_Leaks_3500_FTP_Passwords_Sites_Get_Hacked_Big_Time

Внимание (Warning):
http://forum.kaspersky.com/index.php?showtopic=40148

Unsettling:
http://mezzoblue.com/archives/2007/06/05/unsettling/

Webmasters: Las otras víctimas del Fraude en línea:
http://www.segu-info.com.ar/cruzada/consejo-15.html

Comentarios (2)

  1. danielsemper — junio 8, 2007 a las 5:07 pm

    Buena recopilación de información hiciste, efectivamente he tenido ambos problemas, el código con el URL hexadecimal que baja virus que aniquilan a windows y el de un listado gigante de spam.

Los comentarios están cerrados para este artículo.