VoIP and Hacking | Consulenza Documentazione

Il mio webserver è uno zombie?

by admin on Jun.29, 2010, under Hacking, Linux, Sicurezza, Tools

Già qualche mese fa, su Slashdot era uscita la notizia della prima comparsa di una botnet di Linux webservers coordinata con una più convenzionale botnet di macchine Windows, e dedicata alla distribuzione di malware.

Ciascuno dei webserver infettati è un server dedicato o un virtual server dedicato ospitante un legittimo website. Ma oltre ad eseguire un Apache webserver per distribuire contenuto innocente, è stato modificato per fargli eseguire un secondo webserver noto come nginx, con lo scopo di distribuire malware [sulla porta 8080].
In pratica una botnet di web servers zombie! Un gruppo di web servers infetti interconnessi e con un comune centro di controllo, impiegato nella distribuzione di malware. A rendere le cose ancora più complicate, tale botnet di web servers è connessa a una botnet costituita da home computers infetti.

Presumibilmente, l’ attaccante ha dapprima compromesso un innocente Web server (probabilmente indovinando passwords deboli o simili meccanismi).
Dopodiché un Web server addizionale viene mandato in esecuzione sulla porta 8080.
Tale server, tuttavia è maligno; cercherà di mettere in pratica un exploit a carico di browsers vulnerabili con un tipico drive-by downloads.
Se un browser non-vulnerabile si connette, anziché servire il malware, il server lo redireziona (attraverso lo status “302 Found”) ad un altro Web server infetto, che tenta di fare la stessa cosa.

Tale redirezione è facile da rilevare con Nmap.

Lo script si chiama http-malware-host.nse, ed è un controllo raccomandabile a carico dei propri servers. 

# nmap -d -p80,443,8080 --script=http-malware-host www.voipandhack.it

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-29 11:11 CEST
--------------- Timing report ---------------
  hostgroups: min 1, max 100000
  rtt-timeouts: init 1000, min 100, max 10000
  max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
  parallelism: min 0, max 0
  max-retries: 10, host-timeout: 0
  min-rate: 0, max-rate: 0
---------------------------------------------
NSE: Loaded 1 scripts for scanning.
Initiating Ping Scan at 11:11
Scanning www.voipandhack.it (81.31.145.164) [4 ports]
Packet capture filter (device ppp0): dst host 151.65.46.202 and (icmp or ((tcp or udp or sctp) and (src host 81.31.145.164)))
We got a TCP ping packet back from 81.31.145.164 port 443 (trynum = 0)
Completed Ping Scan at 11:11, 0.03s elapsed (1 total hosts)
Overall sending rates: 152.87 packets / s, 5809.07 bytes / s.
mass_rdns: Using DNS server 212.216.112.112
mass_rdns: Using DNS server 8.8.8.8
Initiating Parallel DNS resolution of 1 host. at 11:11
mass_rdns: 0.15s 0/1 [#: 2, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]
Completed Parallel DNS resolution of 1 host. at 11:11, 0.15s elapsed
DNS resolution of 1 IPs took 0.15s. Mode: Async [#: 2, OK: 1, NX: 0, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating SYN Stealth Scan at 11:11
Scanning www.voipandhack.it (81.31.145.164) [3 ports]
Packet capture filter (device ppp0): dst host 151.65.46.202 and (icmp or ((tcp or udp or sctp) and (src host 81.31.145.164)))
Discovered open port 80/tcp on 81.31.145.164
Discovered open port 443/tcp on 81.31.145.164
Completed SYN Stealth Scan at 11:11, 1.21s elapsed (3 total ports)
Overall sending rates: 3.32 packets / s, 145.97 bytes / s.
NSE: Script scanning 81.31.145.164.
NSE: Starting runlevel 1 (of 1) scan.
Initiating NSE at 11:11
NSE: NSE Script Threads (2) running:
NSE: Starting http-malware-host against 81.31.145.164:443.
NSE: Starting http-malware-host against 81.31.145.164:80.
NSE: Final http cache size (341 bytes) of max size of 1000000
NSE: HTTP: Host returns proper 404 result.
NSE: Final http cache size (26059 bytes) of max size of 1000000
NSE: HTTP: Host returns proper 404 result.
NSE: Final http cache size (26385 bytes) of max size of 1000000
NSE: Finished http-malware-host against 81.31.145.164:80.
NSE: Final http cache size (26711 bytes) of max size of 1000000
NSE: Finished http-malware-host against 81.31.145.164:443.
Completed NSE at 11:11, 8.48s elapsed
NSE: Script Scanning completed.
Nmap scan report for www.voipandhack.it (81.31.145.164)
Host is up, received syn-ack (0.023s latency).
rDNS record for 81.31.145.164: da4.dnshosting.it
Scanned at 2010-06-29 11:11:08 CEST for 9s
PORT     STATE    SERVICE    REASON
80/tcp   open     http       syn-ack
|_http-malware-host: Host appears to be clean
443/tcp  open     https      syn-ack
|_http-malware-host: Host appears to be clean
8080/tcp filtered http-proxy no-response
Final times for host: srtt: 23471 rttvar: 13995  to: 100000

Read from /usr/local/share/nmap: nmap-services.
Nmap done: 1 IP address (1 host up) scanned in 10.15 seconds
           Raw packets sent: 8 (328B) | Rcvd: 3 (132B)
Send post as PDF to PDF | PDF Creator | PDF Converter
:, , , , ,

Comments are closed.

Cerchi qualcosa in particolare?

Usa il form qui sotto per cercare nel sito:

Blogroll!

Alcuni links...

Archives

Tutte le entries, in ordine cronologio...