2010/06/18  

Empresa de hosting de la península iberica o ¿TurkeyHost?

Hola!

Muy buenas a todos/as!

A la hora de contratar un servicio de hosting normalmente esperamos que, si estamos pagando por ello, nos ofrezcan un servicio de calidad y que, nos pongan las actualizaciones y que estén preparados para un plan de respuesta antes incidentes.

Dicho esto os voy a contar una historia, leyendo por Internet me he encontrado con un problema que tuvo un usuario con su problema de Hosting contratado.

Este proveedor de hosting tuvo en 2 semanas 2 Mass defacements,

Tuvieron 2 problemas que causaron el Mass Defacements,

1-El atacante solo ha accedido via ftp a una web de un cliente consiguiendo así acceso al servidor apache y modificando con un programa los parámetros de los index

2-La segunda vez que volvieron a entrar introducieron un r00tkit que, además comprometió todo el Servidor.

Cuando te hackean la web siempre apareces en Zone-h, podemos ver un ejemplo aquí:

Zone-h

El protagonista de este mal servicio por parte de su proveedor de hosting pidió un informe de seguridad y lo que recibió fue:

vemos un aviso al mostrar los procesos. Al lanzar un "ps" aparece en primera línea.

# ps >/dev/null
Unknown HZ value! (166) Assume 100.

Es un error en el paquete "procps".
Hemos intentado actualizar dicho paquete:
# rpm -qa|grep procps
procps-3.2.7-8.1.el5
# yum -y install procps

No se instala, da el siguiente error:
Running Transaction
Updating : procps 1/2
Error unpacking rpm package procps-3.2.7-16.el5.x86_64
error: unpacking of archive failed on file /bin/ps: cpio: rename

Failed:
procps.x86_64 0:3.2.7-16.el5

Por lo que intentamos averiguar si el binario ps ha sido modificado en sus atributos (es de suponer que un atacante):
# lsattr /bin/
s---ia------- /bin//ps
s---ia------- /bin//ls
s---ia------- /bin//netstat

Efectivamente, el servidor ha sido comprometido con un rootkit por lo que no es necesario que hayan subido ningún script, simplemente tienen el control de su servidor y de esa forma han podido modificar sus ficheros index.html.

Los hackers hacen siempre esta manipulación: instalan su comando y cambian los permisos de ejecución para evitar las actualizaciones.

Cambiamos los atributos a los binarios:
# chattr -suSiadAc /bin/*

y volvemos a actualizar procps:
[root@nombreMakina ~]# yum -y install procps

De nuevo error:
Running Transaction
Updating : procps 1/2
Error unpacking rpm package procps-3.2.7-16.el5.x86_64
error: unpacking of archive failed on file /bin/ps: cpio: rename

Failed:
procps.x86_64 0:3.2.7-16.el5

Vemos que otros binarios del sistema también han sido "rootkiteados":
# lsattr /usr/bin/*
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/find
s---ia------- /usr/bin/locate
s---ia------- /usr/bin/md5sum
s---ia------- /usr/bin/pstree
s---ia------- /usr/bin/slocate
s---ia------- /usr/bin/top
s---ia------- /usr/bin/updatedb

Volvemos a cambiar atributos:
# chattr -suSiadAc /usr/bin/*

y volvemos a actualizar procps:
[root@nombreMakina ~]# yum -y install procps

y ahora sí se reinstala correctamente el paquete.

Hemos reparado el sistema reinstalando todos los binarios que el rootkit había sobreescrito.

Posteriormente, hemos comprobado que el Sistema Operativo del servidor se encontraba sin actualizar (posiblemente desde que se hizo la instalación del mismo), por lo que hemos procedido con la actualización de todos los paquetes, incluyendo el del propio kernel.

Lo que podemos ver una vez leído el reporte es:

  • Desde cuando una empresa de hosting no actualiza el sistema para evitar este tipo de errores.
  • Desde cuando una empresa de hosting tarda 24 horas en poner el sitio online, además de que cuando lo ponen online se olvidan de configurar el módulo PHP, el fichero .htaccess. Cuando entrabas en la web te podías descargar cualquier fichero PHP.

Si quieres obtener información de un dominio es muy fácil porque hay muchos datos públicos que te dan esa información. Sólo haciendo las consultas pertinentes.

Os pondré un ejemplo, he cogido un proveedor de hosting al azar y he echo unas consultas que son de carácter público y he obtenido la siguiente información

Direcciones IP del hosting en cuestión

Ver IP

Dominios relacionados con el Hosting

Ver dominios

Servidores del Hosting

Ver Servidores

Así que ya podéis ver cuanta información he sido capaz de obtener mediante consultas públicas.

Esta historia es cierta le paso aa un amigo de un amigo y él ahora siempre me dice.

A la hora de contratar un hosting, ten mucho cuidado.

Un saludo

Etiquetas:

Acerca de Marc Rivero López

Si alguien quiere saber como soy que se preocupe por averiguarlo.

Deja un comentario

Fill in your details below or click an icon to log in:

Gravatar
Logo de WordPress.com

You are commenting using your WordPress.com account. Log Out / Cambiar )

Twitter picture

You are commenting using your Twitter account. Log Out / Cambiar )

Facebook photo

You are commenting using your Facebook account. Log Out / Cambiar )

Cancelar

Connecting to %s