SpamSpam.info, antispam, antiphishing, antivirus, antispyware: seguridad informática contra todo malware.

Historia y actualidad sobre el spam, el bombardeo publicitario no deseado. Seguridad informática con métodos para combatir los virus en nuestros equipos, el spam y garantizar la protección del correo electrónico y la navegación segura en internet.

Análisis de un servidor Linux crackeado y usado como zombie



Escrito por on 9/27/07 • Categoria Seguridad Informática

En un completo artículo del blogger noruego Lars Strand, explica como descubrió que un servidor Linux de un amigo habia sido crackeado para ser utilizado como ordenador zombie. Se llama asi a los ordenadores infectados por algun tipo de malware, pueden ser usados remotamente por una tercera persona para ejecutar actividades hostiles, enviar spam o atacar nuevos ordenadores. Este uso se produce sin la autorización o el conocimiento del usuario del equipo.

La explicación está muy detallada y es especialmente técnica en la disección del crackeo, dificil de entender para quienes no estén muy familiarizados con entornos Linux, sean aficionados al hacking o profesionales de seguridad informática. Lo que indica el autor es que decidió examinar un servidor Linux de un compañero que le comentó que tenia un “comportamiento extraño”, efectivamente habia sido atacado y el autor pudo comprobarlo observando los comandos utilizados a través de la ruta “/var/log/”, en la raiz de “.bash_history”.

Al parecer el atacante utilizó inicialmente un backdoor, un método que usan los distribuidores de malware para evitar la autentificación normal al conectarse remotamente a otro ordenador y mantenerse ocultos en un acceso seguro. Posteriormente usó un bot de IRC, llamado psotnic programado en C++.

servidor linux crackeado

Lo mejor es consultar directamente la fuente, un excelente artículo para personas que quieran iniciarse en Linux y en el hacking, con buenos propósitos, se entiende. Según deja a entender el autor, resulta que el cracker podria haber cometido muchos errores dejando tanto rastro que se piensa por su direccion IP y por su nick que podria ser un estudiante de un instituto en Polonia. Los errores cometidos por el cracker fueron:

  1. No deshacerse de la información en la raiz .bash_history.
  2. Borrar lo contenido en los directorios “/var/log/*”, incluyendo directorios con programas que impedian el inicio de Apache correctamente, una forma de alertar al administrador.
  3. Cambió la contraseña de acceso root, otra forma de alertar a un sysadmin.
  4. No utilizar una contraseña para proteger su canal IRC lleno de otros zombies
Etiquetas: ,

publicidad




Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:

Canales para compartir






Dar una opinión

Gracias por aportar tu punto de vista al respecto.