El viejo sitio turco  http://r57.gen.tr/ aloja diferentes shells listas para usar y descargar. El sitio fué creado en octubre del 2008 pero si miramos las estadísticas podemos ver que en éste año 2011, es cuando más tráfico ha recibido, indicativo de la explotación de sitios web PHP mediante RFI está todavía muy de moda. La web es a día de hoy muy utilizada desde Indonesia (por ejemplo), y algunas shells son utilizadas directamente desde el mismo sitio. Read the rest of this entry

Mirror en zone-h de luctus.es hace un momento, así como de las otras webs alojadas en la misma IP: http://www.zone-h.org/archive/ip=64.37.52.138

El servidor donde se aloja luctus.es ha sido comprometido y se está exponiendo la información de todas las webs vulneradas por una comunidad de junakers árabes (Algeria y Aarabia Saudí). Hoy, al intentar acceder al sitio hemos visto la desfiguración, así que lo primero que hemos hecho es revisar toda la instalación del sistema que utilizamos para publicar, (WordPress.) Solo han sido modificados los index, y no se han eliminado los demás archivos de la instalación, así que después de reestablecer todos los index afectados (Página principal, página de login del Dashboard Wordpres…etc) hemos intentado loguearnos, pero no hemos podido hacerlo porque el password del administrador había sido modifiado. Después de corregir ésto reestableciendo el password directamente en la base de datos (vía phpMyAdmin) y poder acceder otra vez al sistema, revisamos las últimas conexiones:

(Click para ampliar)

Una de las últimas conexiones realizadas a la web. Alguien accede al dashboard de luctus como Administrador. Si vamos a la URL que aparece como referer, ya podemos ver el percal. Read the rest of this entry

Se regalan botnets desde Indonesia. Para más información lee el resto de la entrada.

Read the rest of this entry

Saben los administradores de éstos sitios que sus webs están infectadas y que están siendo utilizadas para atacar y a su vez seguir vulnerando mas websites, o simplemente lo ignoran?
Algunos como veréis hacen sus primeros pinitos montando un servidor propio. Los “menos tontos” vulneran webs ajenas a diestro y siniestro utilizándolas con diferentes fines.
Juzgad vosotros mismos:

El ya ultra-magreado e incesable escáner Feel CoMz

De ejemplo algunas de las webs vulneradas y atacantes en los últimos días:

• http://ecohearth.com

• http://ecohearth.com/tmp/id.txt??

-Click en la  imagen para ampliarla- Read the rest of this entry

Para ampliar las imágenes, haga click sobre las mismas

La web captureflags, a día de hoy ha sufrido ésta desfiguración, causada por una personaje que responde al nick de  c0m37 o “h311c0m3 1337″. Ésto se podría entender viendo la siguiente captura de la misma web (Caché del googlebot) donde se puede ver que el sitio alojaba una shell (Con publicidad incluida!!). Google, posee un Bot realmente potente, el cual nos hace capturas instantaneas de las webs (dónde tiene permisos, claro), ésto puede ser una ventaja a la hora de localizar malhechores, si cuentas con ésta información:

Para ampliar las imágenes, haga click sobre las mismas

Dorks: Mediante la colocación de estos “codigos” en google (o cualquier otro buscador) obtendremos algunos resultados interesantes para después poder conseguir información de los usuarios que han creado, modificado y/o utilizado estas herramientas desfasadas pero aún efectivas para webs escritas en PHP. Son muy usados por los defacers en listados .txt extensos, automatizando mediante otros scripts PHP la búsqueda de vulnerabilidades.

Algunos de los dorks usados para encontrar Shells en Goolge podrían ser los siguientes:

Read the rest of this entry

La siguiente comunidad seguro es bién conocida por el que tiene un CMS como wordpress, Joomla o parecido, o cualquier web escrita en PHP. La interfaz de sus shells e instrumentária  reza: -=| Re-Coding by JATIMCOM |. Aquí su  (blog personal ) Y (web personal). Éstos chavales utilizan escáners RFI para automatizar los ataques. Si os queréis hacer una idea de la interfaz de las shells que utilizan éstos usuarios con intenciones maliciosas,  podéis mirar la caché de google de ésta págnia www.zerozon.co.kr, donde podréis ver ésto:

(Click en la imágen para ampliar)

Ésta es utilizada por usuarios maliciosos de ésta comunidad, para dejar un Backdoor en el server, robo de passwords,  y la más común de todas y la que están intentando en ésta web sin parar, con diferentes IP de diferentes países, es desfigurar el índex poniendo:  “H4ck3d by C1b3r L4m3r” o algo parecido.

(<?php /* ZFxID */ echo(“Jatim”.”Com”); die(“Jatim”.”Com”); /* ZFxID */ ?>)  *Código incluido en algunos de éstos archivos:  id1.txt id2.txt.

Podéis encontrar en google, miles de ataques hechos desde ésta y otras webs en los logs de muchos servers. Seguramente tienen experiéncia haciendo desfiguraciones web, sólo hay que mirar el aspecto de su rádio. Read the rest of this entry