Telepieza´s Weblog

Un amigo mío ha recibido un e-mail por vía de su proveedor ISP indicando de su dominio o website está pidiendo datos confidenciales de los clientes de un banco americano. Mi amigo está haciendo phishing en su website.

Los correos electrónicos enviados tanto por el ISP pidiendo ser cerrado el sitio de acceso como el e-mail del propio banco son confidenciales, pero puedo extraer parte del documento cambiando alguna cosilla del e-mail y es :

We have detected a website hosted on your network that purports to be a Bank XXXXXXX website. We confirmed that this webpage is NOT authorized by Bank XXXXXXX and appears to be an unauthorized attempt to obtain our customers’ confidential information. Please send us any server logs or server side scripts that are associated with this fraudulent site. We request that you please assist us in shutting down the website:

URL = http://diminio.com/weblog/template/Boa/data/s.update/u.security/index.html

IP Address – 192.168.1.100

Please forward this message with your response, directly to anti-phishing@bancoenvioemail.com

While the unauthorized site is no longer a threat to our customers after your assistance with shutting it down, we also suggest that you replace your standard ‘shut down’ page with a redirect to our Bank XXXXXXXX

Page using the attached redirect code. By doing this, many ISPs have joined us in educating the public about Phishing and working toward combating the Phishing problem on the internet.

<html> <head>
<meta http-equiv=”REFRESH” content=”0;
URL=https://www.bankXXXXXXXX.com/privacy/Control.XXXXX?body=XXXXXX”>
</head> <body> </body> </html>

If you are unable to replace your shut down page with our redirect, we thank you in advance for taking action to shut down the unauthorized Bank XXXXXXXXX site.

Cómo mi amigo no se dedica a realizar phishing, me pidío ayuda y empece a indagar cómo le habían hackeado su web una pandilla de chorizos. Si investigas cómo actúan puedes saber más del mundo del hacker y de los phishing.

Según la indicación del e-mail del banco se han colocado en su blog y en la zona de template. La pregunta obligada es : ¿Qué distribución tienes de Weblog? La respuesta es : Serendipity y la siguiente pregunta ¿Qué sistema operativo utiliza? y la respuesta es : Linux distribución Red Hat.

El blog Serendipity es una distribución Open Source, cualquier inmortal con conocimientos de informática conoce su estructura de carpetas, la composición de las tablas de la Base de Datos y su vulnerabilidad en las carpetas temporales por ser de escritura y lectura como la carpeta template o template_c para grabar las páginas cache del blog.

La primera acción es colocar permisos de sólo lectura a dichas carpetas, y claro deja de funcionar el blog por falta de permisos.

La segunda acción es borrar la página web colocada por esos descerebrados y buscar más páginas como esas. Los hacker habian inundado de dicha páginas otros directorios escondidos dependientes de la carpeta raiz template o template_c.

La tercera acción es ir a buscar en la página web de Serendipity una nueva versión para ver si ha solucionado el agujero de seguridad y nos damos cuenta la inexistencia de dichas relises.

La cuarta acción es salvar la información de la Base de Datos y borrar con un rm -rf weblog todo el blog y todos sus directorios para cerrar el sitio por ser inseguro y de facíl acceso por los chorizos.

Cómo diria mi amigo “Matado el perro se acabo la rabia”.

Al ser un blog con copias de seguridad de Base de Datos todos los días, el sitio se volvera abrir en breve con otro tipo de distribución Open Source, la de Serendipity es muy mala para los blogueros y muy buena para los hacker.

Una vez dentro los hacker y localizado la estructura de las carpetas del sitio por no instalar bien el producto (Linux y Serendipity) , la única solución es eliminar y cerrar el blog, para volverlo a montar de nuevo con todas las garantias de seguridad. Eso significa formater el servidor y volver a empezar de nuevo instalando todos los productos con la maxima seguridad a nivel de permisos para no dar facilidades a los hacker.

¿Cómo Funcionan los hacker a nivel de Phishing en un sitio hackeado?

Ante todo tengo son muy listos, pero su forma de actuar es :

• Buscan un servidor con agujeros de seguridad tanto en el linux , apache o php.
• Una vez localizado a la victima (Website), intentan entrar por el puerto 80 y analizar las carpetas temporales de escritura y lectura para inyectar sus páginas index.html.
• Esperan unos días , semanas o meses y cuando ya están seguros de no ser pillados, empiezan a enviar e-mail a todo el mundo con la dirección del banco pero realmente es la dirección de la página web colocada en tú ordenador.
• Si algún infeliz teclea sus datos bancarios en el formulario, son enviados a los hacker dicho informe, pero el que queda constancia de hacer phishing es la página web hackeada.
• Los hacker de esa forma consiguen dos cosas, la primera no ser localizados y la segunda utilizar las líneas de comunicaciones de dichos website.

NOTA DE TELEPIEZA

Recomiendo a todo el mundo si instalan productos Open Source de colocar en todas las carpetas una página index.html realizado por vosotros, de esa forma es imposible de detectar la estructura de los directorios de vuestro WebSite.

Si trabajáis con PHP mirar la directiva “safe_mode = on” , se aconseja estar en on y no en off, algunas distribuciones de linux viene por defecto a off , del fichero de configuración php.ini del php

Saludos de Telepieza.

Esta entrada fue escrita el Domingo, 1 de junio de 2008 a las 0:10 y archivada en Seguridad. Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio web.