Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon 0-day en PHP: borran 6.500 sitios de la Dark Web en un solo ataque


Uno de los servicios de alojamiento web más populares en la Dark Web, el Hosting de Daniel, fue hackeado cuando la semana pasada cuando los atacantes limpiaron alrededor de 6,500 servicios. El administrador dice que se han ido para siempre. Al parecer el ataque se realizó gracias a una nueva vulnerabilidad en la función imap_open en PHP que permite el bypass de funciones deshabilitadas y prohibidas por motivos de seguridad en PHP. Aunque también podría haber sido explotando vulnerabilidades en phpMyAdmin 4.6.6 y/o Adminer 4.6.3.





El administrador de Daniel´s Hosting es un desarrollador de software alemán llamado Daniel Winzen, quien reconoció el ataque al portal del proveedor de alojamiento. Winzen dijo que sucedió el jueves por la noche, un día después de que se filtró un exploit de PHP de día cero. Aprovecha una vulnerabilidad en la librería-biblioteca IMAP bastante antigua. El parámetro SSH-oProxyCommand permite ejecutar una shell antigua (rssh) que en algunos sistemas basados en Debian hay un enlace simbólico de/usr/bin/rsh hacia /usr/bin/ssh  lo que permite obtener una shell de comandos.


Se recomienda añadir la función php imap_open a las funciones deshabilitas por motivos de seguridad.

  php_admin_value[disable_functions] imap_open,[..]

El servicio probablemente regresará en diciembre, dijo, pero incluso la cuenta "root" se ha eliminado, y todos los datos de esos 6,500 sitios están brindados:

  No hay manera de recuperarse de este hackeo todos los datos se han ido. Volveré a habilitar el servicio una vez que se haya encontrado la vulnerabilidad, pero ahora mismo primero necesito encontrarla.

¿Copias de seguridad? Olvídalo. Esta es la web oscura. Winzen le dijo a ZDNet que no existe tal cosa como copias de seguridad en el Hosting de Daniel, por diseño:

    Desafortunadamente, todos los datos se pierden y por diseño, no hay copias de seguridad.

A partir de la semana pasada, Winzen dijo que su prioridad era hacer un análisis completo de los archivos de registro. Había determinado que los atacantes habían obtenido derechos de base de datos administrativos, pero parece que no obtuvieron acceso total al sistema. Algunas cuentas y archivos que no formaban parte de la configuración de alojamiento quedaron "intactos", dijo.

    Aparte de la cuenta root no se tocaron las cuentas no relacionadas con el alojamiento y tampoco se tocaron los archivos no relacionados en / home /. A partir de ahora no hay indicios de un mayor acceso al sistema y lo clasificaría como una violación de "solo base de datos", sin acceso directo al sistema. De los registros es evidente que tanto adminer como phpmyadmin se han utilizado para ejecutar consultas en la base de datos.


Según Dark Owl, cuando los atacantes eliminaron a Daniel's Hosting, borraron más del 30% de los servicios ocultos operativos y activos en Tor y el Invisible Internet Project (I2P), una capa de red anónima que permite la resistencia a la censura. Comunicación de igual a igual. Catalin Cimpanu de ZDNet tuiteó el lunes por la noche que esto coincidía con sus propios cálculos.

Los atacantes también eliminaron más de seis millones de documentos que DarkOwl, un proveedor de contenido y herramientas de red oscura, así como también de defensas de seguridad informática, habían archivado en la red oscura.

Esto es lo que el mundo perdió cuando Daniel Hosting se vino abajo, Dark Owl dice:

  •     657 de los servicios ocultos tenían el título "Sitio alojado por el servicio de alojamiento de Daniel" y poco más (pero puede haber sido utilizado para algo más que para servir contenido web).
  •     La mayoría (más de 4900) estaban en inglés, 54 en ruso y dos de los más antiguos en portugués.
  •     457 de los servicios ocultos contienen contenido relacionado con piratería y / o desarrollo de malware.
  •     304 han sido clasificados como foros.
  •     148 de ellas son salas de chat.
  •     136 incluyen palabras clave específicas de drogas.
  •     109 contienen contenido relacionado con falsificaciones.
  •     54 mencionan específicamente información específica del cardado.
  •     Más de 20 contienen contenido que incluye armas y palabras clave relacionadas con explosivos.

Para bien o para mal, el derribo de Daniel Hosting significa que se ha demolido un "pilar de la comunidad de Darknet" que sirvió una sala de chat y una lista de enlaces en línea, de forma gratuita, dice Dark Owl.

    Por ejemplo, su lista de enlaces en línea está referenciada por casi otros 500 servicios ocultos, lo que la convierte en la segunda lista de directorios más comúnmente referida (detrás de Fresh Onions) y proporciona un punto de partida fundamental para los nuevos usuarios que navegan en Tor.

Dark Owl tiene algunas teorías sobre quién podría haber estado detrás del ataque. Podrían haber sido piratas informáticos rusos, quienes recientemente describieron los detalles técnicos de la explotación de la función imap_open () de PHP para extraer hashes de contraseña para cuentas privilegiadas, como una alternativa a los ataques por fuerza bruta.

Por otra parte, podría haber sido cualquiera que esté en contra de la fácil publicación y el intercambio de imágenes de abuso infantil. Dark Owl informa que Winzen, en 2016, hizo la vida más fácil para que las personas compartan esas imágenes en Tor sin exponer sus identidades:

    Como resultado, el código LE-Chat de Daniel se convirtió en una plataforma popular para la comunidad de pedofilia de Darknet y en el hogar de muchas salas de chat de intercambio de pornografía infantil, como Tabooless, Camp Fire y Child Priori.

Fuentes:
https://nakedsecurity.sophos.com/2018/11/21/hacker-erases-6500-sites-from-the-dark-web/
https://www.zdnet.com/article/popular-dark-web-hosting-provider-got-hacked-6500-sites-down/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.