Skip navigation

El día de ayer, mientras Navegaba por Bikemontt.cl, mi firma, la cual cargaba una imagen desde imageshack.us, era totalmente distinta.

Esta mostraba el mensaje ya visto por la mayoría del grupo anti-sec
Lo interesante de esto, más que el hackeo al sitio de imageshack, es lo que publico anti-sec en su pagina sobre como era el procedimiento de su hack.

anti-sec:~/pwn# perl img-scan.pl
Found img1.imageshack.us – lighttpd/1.4.18 – SSH-1.99-OpenSSH_4.5
[snip]
Found img998.imageshack.us – lighttpd/1.4.18 – SSH-1.99-OpenSSH_4.5

anti-sec:~/pwn# perl mass-pwn.pl
Connecting…

Linux worf.imageshack.us 2.6.15-1.2054_FC5 #1 SMP Tue Mar 14 15:48:20 EST 2006 x86_64 x86_64 x86_64 GNU/Linux

Replacing images…

Eso parece al 100% una conexión ssh, la cual me hace pensar que el bullado exploit 0-day de ssh que esta gente dice tener.

¿Y cual es el gran problema de esto?
La mayoría de los Sysadmin usan el protocolo ssh para la administración de sus servidores, y muchos Sysadmin dejan este servicio abierto al publico, ya que confían en que siempre se ha dicho que es un protocolo inviolable.

¿Que pasa si el exploit es liberado por la gente de anti-sec?
La Internet estaría llena de lammers entrando a servidores y tirándolos al piso, y el problema es que desde esos servidores podrían llegar a otros sin necesidad de que esos estuviesen abiertos al publico.

Si que ya saben señores, permitir los accesos ssh sólo a ciertas ips, cambiar el puerto de ssh, y no dejar que el usuario root loguee, y si nos queremos poner paranoicos, que el usuario a loguear sea sólo uno, sin ni un sólo permiso, sólo un su para recién de esa forma obtener permisos en la maquina.

Saludos!

Anuncios

3 Comments

  1. se nota que no entendiste ni carajo lo que mostraba el screen, nunca fue un bug o vulnerabilidad de SSH, estaban usando un script en perl, lea bien antes de salpicar barro como en el cerro

    ps.- el XC hace mal para la mente 😛

    • Y se nota que tu tampoco entendiste “un carajo” del post.

      Es obvio que es un script perl, pero por el banner de uname -a hace ver que es una conexión ssh.

      El post era relacionado al rumor del 0day exploit de ssh que se había anunciado (por el mismo grupo que hizo el hack de imageshack)

      como un script de ssh, puede modificar archivos en los servidores de imageshack :s

      Antes de postear, mejor leer bien.

      Saludos “http://none/”


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: