Diseño, Urbanismo, TecnologÃa, FotografÃa, Cocina y más…
Te ha gustado mi blog?
Victima de un ataque de “phish”…
21Sep2007 Filed under: General Author: Fernando MarroquÃnAhora a la 1:00 A.M me llegó un correo de Mark Monitor, una empresa que se dedica a vigilar que no se den ataques de phishing a bancos especialmente, el correo me lo enviaba un empleado de MM desde el centro de operaciones y decía:
Ante estas situaciones, te pones helado y tenes que guardar la calma, afortunadamente, en ese momento aún estaba despierto estudiando y lo primero que hice fue bloquear el sitio (chero07) para evitar que el ataque continuara o que empezará pues el script acababa de subirse, me puse a revisar y efectivamente alguien habia aprovechado una vulnerabilidad de Wordpress para subir 3 carpetas y realizar phishing de tres bancos diferentes, dos en Estados Unidos y uno en UK. Guardé una copia de los scripts que el tipo subió por si la gente de Mark Monitor los necesitaba para investigar, sin embargo bastó con eliminarlos y asegurar que no los volvieran a subir, por lo que le quite permisos a la carpeta y solo deje que "root" pudiera agregar cosas a la misma, no es nada seguro tener carpetas con 777 chmod. Eliminado todo, y confirmado por la gente de MM que ya podía activar mi sitio, me encontré más tranquilo. Lamentablemente aunque un servidor esté bien asegurado, vulnerabilidades en un script no pueden ser previstas, solo corregidas.
Por lo que les recomiendo a todos que siempre revisen su cuenta y borren cualquier script que para ustedes sea desconocido, y sobre todo mantengan los scripts lo más actualizados que puedan, incluso teniendolos actualizados puede pasarnos como fue mi caso. Esta es la tercera vez que me sucede, dos veces en otro blog en PWS y ahora en este, espero que no vuelva a suceder porque sin mentirles te saca un susto y tenes que reaccionar y moverte rapidisimo para evitar que el phishing siga. Luego me puse a revisar los scripts que el tipo subió, y encontré sus correos electrónicos a donde me imagino y espero que no haya sido asi llegaron los datos de usuario y contraseña de algunos afectados que espero que no haya sido ninguno. Procedí a enviarle al tipo un correo electrónico, no oculto el e-mail de la persona porque no merece que respete su privacidad, el no lo hizo conmigo y posiblemente a más de alguien le sirva si esta persona continua realizando actividades ilegales, este es el correo que envié aproximadamente a las 4:39 A.M:
Cuatro minutos despues me responde el tipo, y todavía me dice lo siguiente:
Despues de leer el correo y sorprenderme, veo que tengo un "request" en el Google Talk, adivinen de quien era? Si, de "fast furious" como se hace llamar este personaje que me hizo perder mi tiempo y mi sueño, intercambié 17 líneas de chat con el:
Tengan cuidado, es bien desagradable verse en este tipo de situaciones y encontrase con este tipo de personas que quieren aprovecharse de las demás personas, a partir de hoy a tomar medidas de seguridad más estrictas. Saludos!
Entradas relacionadas:
- Instalando Beryl en Ubuntu 6.10
- Cómo votar en Arroba de Oro 2007?
- La gente odia a Microsoft por defecto?
- Qué pasó con el blog ayer?
- Proselitismo de ARENA desde el Min. de Seguridad?
- Documentales Online
- Cómo hacer un backup de GMail?
- Rally’08 Arquitectura UCA!
- “El Trompudo” ha sido CENSURADO
- Cambio de dominio!
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
6 Comentarios a “Victima de un ataque de “phish”…”
Dejar un comentario!
Acerca de...
Bienvenidos a mi blog. Mi nombre es Fernando (conocido como Chero07 en la red), soy de El Salvador. Y siempre he tenido un cierto interés por los temas tecnologicos e informaticos, el diseño grafico y web, asi como y el software libre, MacOS, politica, cocina, etc. Y de estos temas encontrarán básicamente en el blog, espero que lo disfruten asi como yo lo hago.
Publicidad
El espíritu de PWS es el de una compañia jóven y fresca, cuya máxima preocupación es la satisfacción TOTAL de sus clientes. Nuestra misión es que cualquier persona pueda acceder a un alojamiento o diseño web en Internet, disfrutando de su espacio sin trabas económicas...más.
princesita soñadora
21/09/07 at 19:08
y como puedo saber yo si mi sitio puede ser vulnerable a eso???
Usando
Chero07
21/09/07 at 19:18
Pues mirá, no soy experto en el tema pero puedo dar unos cuantos consejos básicos, en tu caso estás alojada en Blogger por lo que no deberÃa preocuparte mucho la seguridad pues no tenes la facilidad de conectarte vÃa FTP, subir archivos y asignarles permisos. Pero nosotros, los que tenemos acceso a los archivos de nuestro hosting debemos asegurarnos de no dejar muchos archivos con el chmod 777, y sobre todo: actualizar los plugins, modulos, o scripts que tengamos corriendo.
Usando
Jacoby Alas
21/09/07 at 19:23
Puchica vos, que jodido esta esto, checare las carpetas para ver como tengo configurados los permisos. Cuidado y gracias por el aviso.
Usando
David
21/09/07 at 23:27
La verdad hay que ponerse las pilas en la administracion de su sitio web. Ha de ser angustiante este tipo de situaciones.
Menos mal que ya no paso a mas y solucionaste el problema
Saludos!!
Usando
moyo
22/09/07 at 10:55
muy sencillo para evitar eso, aunque en realidad no creo q solo alla sido un error de wordpress, a lo mejor tambien del servidor, ya q tuvo acceso a tu ftp, y con wordpress solo tendra acceso a tu panel, a menos q sea demasiado obvio y uses el mismo password para todo.
Yo t mande un link para q actualizaras tu wordpress, recuerdas ?, pero ese exploit lo que hacia era nada mas conseguir el password del admin y luego podia modificar tu blog.
para mi lo mas conveniente es q hagas un chekeo general de tu sitio y server, usa un scanner de vulnerabilidades.
yo hice uno de tu server hace un tiempo y t pase los errores q tenia, no se si ya estan resueltos a lo mejor por ahi tambien vendria el problema.
lo mejor es q t pases siempre por paginas de seguridad y estes chekeando los problemas q hay y como evitarlos.
t acuerdas q lo mismo me paso a mi, por eso me bloquearon la primera web de el team, y eso q a mi me subieron los archivos en mi servidor en mi pc, tenia un error en el apache y el php y por eso atakaron.
ahora t recomiendo siempre chekear estas webs
http://www.milw0rm.com
http://www.securityfocus.com
y mi web q tambien estoy al tanto de todo eso con mis amigos
http://www.shadowsecurity.uni.cc
Usando
moyo
22/09/07 at 11:00
aki esta el ultimo exploit para wordpress y ataka varias versiones, la mejor seria tener la 2.2.3 y mañana q sale la 2.3 hay q estar pendiente de los errores q traera y de los que quitara.
el exploit esta hecho en ruby, nunca he usado ese programa, no se como se compila ni como se programa ahi pero pues hay q cuidarse porq muchos lo estan usando desde que salio.
http://www.milw0rm.com/exploits/4397
Usando