La siguiente comunidad seguro es bién conocida por el que tiene un CMS como wordpress, Joomla o parecido, o cualquier web escrita en PHP. La interfaz de sus shells e instrumentária  reza: -=| Re-Coding by JATIMCOM |. Aquí su  (blog personal ) Y (web personal). Éstos chavales utilizan escáners RFI para automatizar los ataques. Si os queréis hacer una idea de la interfaz de las shells que utilizan éstos usuarios con intenciones maliciosas,  podéis mirar la caché de google de ésta págnia www.zerozon.co.kr, donde podréis ver ésto:

(Click en la imágen para ampliar)

Ésta es utilizada por usuarios maliciosos de ésta comunidad, para dejar un Backdoor en el server, robo de passwords,  y la más común de todas y la que están intentando en ésta web sin parar, con diferentes IP de diferentes países, es desfigurar el índex poniendo:  “H4ck3d by C1b3r L4m3r” o algo parecido.

(<?php /* ZFxID */ echo(“Jatim”.”Com”); die(“Jatim”.”Com”); /* ZFxID */ ?>)  *Código incluido en algunos de éstos archivos:  id1.txt id2.txt.

Podéis encontrar en google, miles de ataques hechos desde ésta y otras webs en los logs de muchos servers. Seguramente tienen experiéncia haciendo desfiguraciones web, sólo hay que mirar el aspecto de su rádio.

Estas redes utilizan y/o mantienen su própia cópia de Milw0rm. Jatimcom prodecen de Indonésia (entre los cuáles seguramente haya algún programador) y están realmente activos en éstos momentos, tienen varias webs en sus fauces desde donde realizan los ataques. La verdad es que no me explico como las autoridades de su país no los han “cojido” ya, con la súcia metodología que úsan.  Hasta en Glastopf.org hay rastros de ellos y su actividad. Algunas de sus, suponemos, víctimas ya están archivados en Malwaredomainlist.com. Los Nicks usados por los creadores de la comunidad en cuestión:   cimpli, jatimcom, GaaR4, thoriqil.hollow y jerinx.

* Otros screenshots guardados por el bot de google de la interfaz utilizada para atacar Luctus y miles de webs:   caché1caché2 o caché3

*Su web traducida a Español AQUÍ, se mueven en comunidades como éstas:

Algunas otras webs  frecuentadas por éstos grupos de Indonesia y dónde participan activamente: 1 - 23 - 4 - 56 - 78

Tienen Lemas como: No discriminamos el  color de la piel, ni étnicamente, ni las razas o religiónes, queremos  alcanzar una meta, compartir e Intercambiar conocimientos. Estamos aquí, para aprender… para convertirnos en… una pandilla gigante de Script Kiddies? (Me pregunto yo).

Desde Luctus, lo único que podemos hacer es dar grácias a 000webhost, por mantener actualizados y seguros sus Servers, las BD,  el PHP…, hasta en los planes gratuitos, pués comunidades como éstas siempre las habrá, y por lo visto,  cada vez existen más.

Entre algunas webs infectadas (http://eclipse-movies.com/)he encontrado el código de la shell que utilizan. Lo podéis descargar aquí.

También el código de FeeLCoMz AI PHPBot , uno de los escáners y Bots que están utilizando así como parecidos.

Aquí lo podéis ver todavía: (http://womancamp.co.kr/cms/sex/dossex.txt??).

IRC bots?: #jatimcom server: irc.mildnet.org – Users:28   / #jatimcom server: irc.dal.net – Users:4

Tagged with:

Fichero archivado: VulnerabilidadesWeb

Le gusto este articulo? Subscribete a mi RSS feed y obtener mas descargas!