[lacnog] Botnet servidores web
Roberto Alvarado
ralvarado en gtdinternet.com
Lun Mayo 19 16:27:39 BRT 2014
Estimados,
Me topé con un botnet que se alimenta de servidores web , la cual es
controlada por un usuario de Rumania a través de IRC.
En particular identifique los siguientes servidores a los cuales se conecta:
DST=190.196.157.227
DST=199.182.233.71
DST=60.2.247.132
DST=61.47.34.34
DST=89.19.24.50
DST=89.19.24.58
Todos en el puerto 2222/tcp.
Para quien tenga el log de iptables activo y filtra los puertos de salida,
se podrá encontrar con hits como este:
kernel: Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC= DST=60.2.247.132
LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59454 DF PROTO=TCP SPT=57826 DPT=2222
WINDOW=14600 RES=0x00 SYN URGP=0
Me explicaba el dueño del botnet, el cual era bastante amable que se
aprovechaba de una vulnerabilidad de phpmyadmin para subir un script y en
sus palabras:
> and u got php my admin installed :)
> update the pma and u`ll get free of me :)
Bueno, si alguien logra encontrar más servidores pertenecientes al botnet se
agradecería compartiera la información.
Saludos
Roberto
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20140519/bfe2b166/attachment.html>
Más información sobre la lista de distribución LACNOG