Seguridad inform谩tica contra todo malware

Seguridad inform谩tica contra virus, phishing y spyware, protecci贸n del correo electr贸nico y navegaci贸n segura en internet.

An谩lisis de un servidor Linux crackeado y usado como zombie



En un completo art铆culo del blogger noruego Lars Strand, explica como descubri贸 que un servidor Linux de un amigo habia sido crackeado para ser utilizado como ordenador zombie. Se llama asi a los ordenadores infectados por algun tipo de malware, pueden ser usados remotamente por una tercera persona para ejecutar actividades hostiles, enviar spam o atacar nuevos ordenadores. Este uso se produce sin la autorizaci贸n o el conocimiento del usuario del equipo.

La explicaci贸n est谩 muy detallada y es especialmente t茅cnica en la disecci贸n del crackeo, dificil de entender para quienes no est茅n muy familiarizados con entornos Linux, sean aficionados al hacking o profesionales de seguridad inform谩tica. Lo que indica el autor es que decidi贸 examinar un servidor Linux de un compa帽ero que le coment贸 que tenia un “comportamiento extra帽o”, efectivamente habia sido atacado y el autor pudo comprobarlo observando los comandos utilizados a trav茅s de la ruta “/var/log/”, en la raiz de “.bash_history”.

Al parecer el atacante utiliz贸 inicialmente un backdoor, un m茅todo que usan los distribuidores de malware para evitar la autentificaci贸n normal al conectarse remotamente a otro ordenador y mantenerse ocultos en un acceso seguro. Posteriormente us贸 un bot de IRC, llamado psotnic programado en C++.

servidor linux crackeado

Lo mejor es consultar directamente la fuente, un excelente art铆culo para personas que quieran iniciarse en Linux y en el hacking, con buenos prop贸sitos, se entiende. Seg煤n deja a entender el autor, resulta que el cracker podria haber cometido muchos errores dejando tanto rastro que se piensa por su direccion IP y por su nick que podria ser un estudiante de un instituto en Polonia. Los errores cometidos por el cracker fueron:

  1. No deshacerse de la informaci贸n en la raiz .bash_history.
  2. Borrar lo contenido en los directorios “/var/log/*”, incluyendo directorios con programas que impedian el inicio de Apache correctamente, una forma de alertar al administrador.
  3. Cambi贸 la contrase帽a de acceso root, otra forma de alertar a un sysadmin.
  4. No utilizar una contrase帽a para proteger su canal IRC lleno de otros zombies
publicidad




Temas: ,

Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:



Publicaciones relacionadas:


Dar una opini贸n

Gracias por aportar tu punto de vista al respecto.