Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1026
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
noviembre
(Total:
21
)
- Incidente de Seguridad en tienda Dell.com
- Servicio de Correos Americano (USPS) expone datos ...
- Alemania quiere regular los routers que usan los u...
- Congreso Español aprueba el cierre de páginas web ...
- 0-day en PHP: borran 6.500 sitios de la Dark Web e...
- Ministro Ciberseguridad Japonés nunca ha usado un ...
- Herramientas y recursos de seguridad en Amazon Web...
- Seguridad informática con Raspberry Pi
- Crean huellas dactilares maestras capaces de engañ...
- Firefox avisa cuando entras a una web que haya sid...
- ISP Nigeriano redirecciona por error tráfico de Go...
- Actualización de seguridad para Plugin WordPress p...
- Bot crea parches en GitHub bajo pseudónimo humano ...
- CAINE 10 - Computer Aided Investigative Environmen...
- Valve recompensa con 20 mil dólares descubridor bu...
- Copia de Seguridad de WhatsApp en Google Drive
- PHP 5 y 7.0 dejarán de tener soporte a finales de año
- Manual JavaScript quiere que aprendas el 80% de to...
- Samsung anuncia su primer smartphone con pantalla ...
- Vulnerabilidades críticas en el cifrado nativo de SSD
- Hackers vinculados a Corea del Norte roban millone...
-
▼
noviembre
(Total:
21
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
0-day en PHP: borran 6.500 sitios de la Dark Web en un solo ataque
viernes, 23 de noviembre de 2018
|
Publicado por
el-brujo
|
Editar entrada
Uno de los servicios de alojamiento web más populares en la Dark Web, el
Hosting de Daniel, fue hackeado cuando la semana pasada cuando los
atacantes limpiaron alrededor de 6,500 servicios. El administrador dice
que se han ido para siempre. Al parecer el ataque se realizó gracias a una nueva vulnerabilidad en la función imap_open en PHP que permite el bypass de funciones deshabilitadas y prohibidas por motivos de seguridad en PHP. Aunque también podría haber sido explotando vulnerabilidades en phpMyAdmin 4.6.6 y/o Adminer 4.6.3.
El administrador de Daniel´s Hosting es un desarrollador de software alemán llamado Daniel Winzen, quien reconoció el ataque al portal del proveedor de alojamiento. Winzen dijo que sucedió el jueves por la noche, un día después de que se filtró un exploit de PHP de día cero. Aprovecha una vulnerabilidad en la librería-biblioteca IMAP bastante antigua. El parámetro SSH-oProxyCommand permite ejecutar una shell antigua (rssh) que en algunos sistemas basados en Debian hay un enlace simbólico de/usr/bin/rsh hacia /usr/bin/ssh lo que permite obtener una shell de comandos.
Se recomienda añadir la función php imap_open a las funciones deshabilitas por motivos de seguridad.
El servicio probablemente regresará en diciembre, dijo, pero incluso la cuenta "root" se ha eliminado, y todos los datos de esos 6,500 sitios están brindados:
¿Copias de seguridad? Olvídalo. Esta es la web oscura. Winzen le dijo a ZDNet que no existe tal cosa como copias de seguridad en el Hosting de Daniel, por diseño:
A partir de la semana pasada, Winzen dijo que su prioridad era hacer un análisis completo de los archivos de registro. Había determinado que los atacantes habían obtenido derechos de base de datos administrativos, pero parece que no obtuvieron acceso total al sistema. Algunas cuentas y archivos que no formaban parte de la configuración de alojamiento quedaron "intactos", dijo.
Según Dark Owl, cuando los atacantes eliminaron a Daniel's Hosting, borraron más del 30% de los servicios ocultos operativos y activos en Tor y el Invisible Internet Project (I2P), una capa de red anónima que permite la resistencia a la censura. Comunicación de igual a igual. Catalin Cimpanu de ZDNet tuiteó el lunes por la noche que esto coincidía con sus propios cálculos.
Los atacantes también eliminaron más de seis millones de documentos que DarkOwl, un proveedor de contenido y herramientas de red oscura, así como también de defensas de seguridad informática, habían archivado en la red oscura.
Esto es lo que el mundo perdió cuando Daniel Hosting se vino abajo, Dark Owl dice:
Para bien o para mal, el derribo de Daniel Hosting significa que se ha demolido un "pilar de la comunidad de Darknet" que sirvió una sala de chat y una lista de enlaces en línea, de forma gratuita, dice Dark Owl.
Dark Owl tiene algunas teorías sobre quién podría haber estado detrás del ataque. Podrían haber sido piratas informáticos rusos, quienes recientemente describieron los detalles técnicos de la explotación de la función imap_open () de PHP para extraer hashes de contraseña para cuentas privilegiadas, como una alternativa a los ataques por fuerza bruta.
Por otra parte, podría haber sido cualquiera que esté en contra de la fácil publicación y el intercambio de imágenes de abuso infantil. Dark Owl informa que Winzen, en 2016, hizo la vida más fácil para que las personas compartan esas imágenes en Tor sin exponer sus identidades:
Fuentes:
https://nakedsecurity.sophos.com/2018/11/21/hacker-erases-6500-sites-from-the-dark-web/
https://www.zdnet.com/article/popular-dark-web-hosting-provider-got-hacked-6500-sites-down/
El administrador de Daniel´s Hosting es un desarrollador de software alemán llamado Daniel Winzen, quien reconoció el ataque al portal del proveedor de alojamiento. Winzen dijo que sucedió el jueves por la noche, un día después de que se filtró un exploit de PHP de día cero. Aprovecha una vulnerabilidad en la librería-biblioteca IMAP bastante antigua. El parámetro SSH-oProxyCommand permite ejecutar una shell antigua (rssh) que en algunos sistemas basados en Debian hay un enlace simbólico de/usr/bin/rsh hacia /usr/bin/ssh lo que permite obtener una shell de comandos.
Se recomienda añadir la función php imap_open a las funciones deshabilitas por motivos de seguridad.
php_admin_value[disable_functions] imap_open,[..]
El servicio probablemente regresará en diciembre, dijo, pero incluso la cuenta "root" se ha eliminado, y todos los datos de esos 6,500 sitios están brindados:
No hay manera de recuperarse de este hackeo todos los datos se han ido. Volveré a habilitar el servicio una vez que se haya encontrado la vulnerabilidad, pero ahora mismo primero necesito encontrarla.
¿Copias de seguridad? Olvídalo. Esta es la web oscura. Winzen le dijo a ZDNet que no existe tal cosa como copias de seguridad en el Hosting de Daniel, por diseño:
Desafortunadamente, todos los datos se pierden y por diseño, no hay copias de seguridad.
A partir de la semana pasada, Winzen dijo que su prioridad era hacer un análisis completo de los archivos de registro. Había determinado que los atacantes habían obtenido derechos de base de datos administrativos, pero parece que no obtuvieron acceso total al sistema. Algunas cuentas y archivos que no formaban parte de la configuración de alojamiento quedaron "intactos", dijo.
Aparte de la cuenta root no se tocaron las cuentas no relacionadas con el alojamiento y tampoco se tocaron los archivos no relacionados en / home /. A partir de ahora no hay indicios de un mayor acceso al sistema y lo clasificaría como una violación de "solo base de datos", sin acceso directo al sistema. De los registros es evidente que tanto adminer como phpmyadmin se han utilizado para ejecutar consultas en la base de datos.
Según Dark Owl, cuando los atacantes eliminaron a Daniel's Hosting, borraron más del 30% de los servicios ocultos operativos y activos en Tor y el Invisible Internet Project (I2P), una capa de red anónima que permite la resistencia a la censura. Comunicación de igual a igual. Catalin Cimpanu de ZDNet tuiteó el lunes por la noche que esto coincidía con sus propios cálculos.
Los atacantes también eliminaron más de seis millones de documentos que DarkOwl, un proveedor de contenido y herramientas de red oscura, así como también de defensas de seguridad informática, habían archivado en la red oscura.
Esto es lo que el mundo perdió cuando Daniel Hosting se vino abajo, Dark Owl dice:
- 657 de los servicios ocultos tenían el título "Sitio alojado por el servicio de alojamiento de Daniel" y poco más (pero puede haber sido utilizado para algo más que para servir contenido web).
- La mayoría (más de 4900) estaban en inglés, 54 en ruso y dos de los más antiguos en portugués.
- 457 de los servicios ocultos contienen contenido relacionado con piratería y / o desarrollo de malware.
- 304 han sido clasificados como foros.
- 148 de ellas son salas de chat.
- 136 incluyen palabras clave específicas de drogas.
- 109 contienen contenido relacionado con falsificaciones.
- 54 mencionan específicamente información específica del cardado.
- Más de 20 contienen contenido que incluye armas y palabras clave relacionadas con explosivos.
Para bien o para mal, el derribo de Daniel Hosting significa que se ha demolido un "pilar de la comunidad de Darknet" que sirvió una sala de chat y una lista de enlaces en línea, de forma gratuita, dice Dark Owl.
Por ejemplo, su lista de enlaces en línea está referenciada por casi otros 500 servicios ocultos, lo que la convierte en la segunda lista de directorios más comúnmente referida (detrás de Fresh Onions) y proporciona un punto de partida fundamental para los nuevos usuarios que navegan en Tor.
Dark Owl tiene algunas teorías sobre quién podría haber estado detrás del ataque. Podrían haber sido piratas informáticos rusos, quienes recientemente describieron los detalles técnicos de la explotación de la función imap_open () de PHP para extraer hashes de contraseña para cuentas privilegiadas, como una alternativa a los ataques por fuerza bruta.
Por otra parte, podría haber sido cualquiera que esté en contra de la fácil publicación y el intercambio de imágenes de abuso infantil. Dark Owl informa que Winzen, en 2016, hizo la vida más fácil para que las personas compartan esas imágenes en Tor sin exponer sus identidades:
Como resultado, el código LE-Chat de Daniel se convirtió en una plataforma popular para la comunidad de pedofilia de Darknet y en el hogar de muchas salas de chat de intercambio de pornografía infantil, como Tabooless, Camp Fire y Child Priori.
Fuentes:
https://nakedsecurity.sophos.com/2018/11/21/hacker-erases-6500-sites-from-the-dark-web/
https://www.zdnet.com/article/popular-dark-web-hosting-provider-got-hacked-6500-sites-down/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.