sábado, noviembre 27, 2010

Servidores sin actualizar como spammers

Habitualmente los servidores sin actualizar que almacenan software con vulnerabilidades conocidas, suelen ser utilizados masivamente para las mismas cosas:

- Hospedar malware, como le pasó a Apple.com en Agosto.
- Hospedar kits de phishing para simular sitios web falsos.
- Ser utilizados para spammear nuevas víctimas.

El viernes le eché el ojo a un spam que me había llegado de Apple, para ver desde donde procedía. Tras analizarlo, vi que venía de un servidor con unos bonitos paneles de control, y un compañero en el SOCTano econtró en Internet el que sería el posible bug utilizado para hacerlo. Un bug de LFI (Local File Inclusion) ¡del año 2007! en uno de los software utilizados. El artículo quedó gracioso pero, como trataba de temas Apple, decidí publicarlo en Seguridad Apple en lugar de ponerlo en El lado del Mal.

Así había quedado la cosa, pero ayer viernes volví a recibir un spam similar, en este caso de Facebook.


Figura 1: Spam de Facebook

Al mirar desde qué servidor había sido enviado, me sorprendió descubrir que venía exactamente de uno del mismo dominio.


Figura 2: Origen del mensaje de Spam

Por supuesto, al comprobar si tenía esa vulnerabilidad, volvía a estar disponible el mismo fallo de LFI.


Figura 3: /etc/passwd del FreeBSD con el sw sin parchear

Al final, los Spammers suelen utilizar los mismos trucos. Cuentas de hotmail robadas, - si te llega un spam de un amigo de hotmail... dile que cambie la password, se ponga un antivirus y por la dudas aplique "Fuego Purificador" - máquinas troyanizadas en una botnet - les cuesta cada día más meter spam en los servidores corporativos - o un servidor vulnerado.

Además, en el caso de Facebook, a diferencia de Apple.com, su dominio marca una política -all en el registro SPF, por lo que, como podéis ver en el mail, el dominio es más falso que un Euro de madera.


Figura 4: Registro SPF de Facebook.com

Saludos Malignos!

3 comentarios:

  1. Chema, que nivel mas o menos va a tener la charla esa patrocinada por movistar? Tampoco es cuestion de ir y aburrirme aunque contigo de ponente eso es dificil (guiño guiño)

    ResponderEliminar
  2. Se que no tiene nada que ver, pero ya que eres especialista de seguridad, hechale un vistazo a el certificado de seguridad de la biblioteca nacional, que esta caducado, el del govierno de españa etc etc. Luego nos quejamos de inseguridad. Aunque yo use Xpeta XD.

    ResponderEliminar